System Zarządzania Ciągłością Działania (SZCD) zgodnie z normą ISO 22301 i NS2/UoKSC - czym jest i kogo dotyczy ?
Wdrożenie SZCD to wymóg Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wejdzie w życie zapewne w 2025r. Przygotowywana ustawa jest wynikiem implementacji Dyrektywy NIS2 do polskiego prawa. Czas na dostosowanie będzie wynosił dla podmiotu 12 m-cy.
Prawdopodobny ostateczny kształt nowej Ustawy KSC jest znany. Podmioty objęte ustawą to m.in. podmioty publiczne (JST), dostawcy wody i świadczący usługi medyczne.
Wdrożenie SZCD ma zapewnić ciągłość funkcjonowania podmiotu, szczególnie niezakłócone świadczenie usługi po incydencie. Szczegółowy wymagany zakres precyzuje art.8 nowej Ustawy.
Obecnie wdrożenie SZCD może być sfinansowane dla podmiotów z branży wodociągowej w ramach konkursu CYBERBEZPIECZNY WODOCIĄG.
Niebawet takie możliwości będą także dla szpitali w ramach konkursu "Inwestycja D1.1.2 Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia" - KPO dla SPZOZ.
Jak wdrożyć SZCD ?
SZCD wdrażamy wg planu:
1. Analiza ryzyka:
- identyfikacja i ocena potencjalnych zagrożeń, które mogłyby zakłócić działalność podmiotu
2. Opracowanie polityki i planów ciągłości działania:
- przygotowanie polityk na podstawie analizy ryzyka i we współpracy z podmiotem
- tworzenie szczegółowych planów awaryjnych, które opisują konkretne procedury postępowania w przypadku wystąpienia incydentów.
3. Testowanie i doskonalenie SZCD:
- regularne testowanie opracowanych planów awaryjnych, aby sprawdzić ich skuteczność i zidentyfikować ewentualne słabe punkty
4. Szkolenia i komunikacja:
- przeszkolenie pracowników w zakresie zasad SZCD i procedur postępowania w sytuacjach kryzysowych
- zaangażowanie do systemu partnerów biznesowych, na wypadek wystąpienia incydentu
- regularne monitorowanie i przeglądy
- analiza wyniki testów, incydentów i audytów
- modyfikacje i ulepszenia.
5. Monitorowanie i przegląd SZCD po wdrożeniu:
- regularne monitorowanie i przeglądy
- analiza wyniki testów, incydentów i audytów
- modyfikacje i ulepszenia.
Rola podmiotu przy wdrożeniu SZCD
Przy wdrożeniu niezbędna jest współpraca z pracownikiem odpowiedzlanym za funkcjonowanie podmiotu i organizację technologiczną usług. Zastosowanie istniejących procedur działania jest konieczne. W podmiotach, w których takie procedury nie funkcjonują, konieczne jest ich stworzenie. Wdrożenie SZCD w tym przypadku może wymagać większego zaangażowania podmiotu i wykonawcy, gdyż konieczna jest wiedza z zakresu funkcjonowania przedsiębiorstwa.
Prace po wdrożeniu SZCD
Wdrożone SZCD wymaga oprócz stosowania, także stałego monitorowania, utrzymywania i doskonalenia. Dobrą praktyką jest przeprowadzanie okresowych audytów wewnętrznych z testowaniem systemu. Usługa może być też prowadzona przez podmiot zewnętrzny.
Audyt KSC
Spełnienie wymogów ustawy przez podmiot jest weryfikowane poprzez audyt. Pierwszy - wg założeń ustawy - należy przeprowadzić do 2 lat od wejścia w życie ustawy. Audyt przeprowadza 2 ceryfikowanych audytorów, zgodnie z wymogami ustawy.
Zapraszamy do kontaktu - przedstawimy szczegóły.