Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Czego dotyczy i jakie obowiązki nakłada Ustawa o Krajowym Systemie Cyberbezpieczeństwa?

Celem ustawy o krajowym systemie cyberbezpieczeństwa jest kompleksowy wzrost bezpieczeństwa w zakresie odporności na cyberataki kluczowych podmiotów odpowiedzialnych za bezpieczeństwo i stabilność działania państwa polskiego jako elementu europejskiego systemu cyberbezpieczeństwa. Do obowiązków podmiotu objętego ustawą należy m.in wdrożeniem systemu zarządzania bezpieczeństwem w zakresie:

• systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem 

• wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy

• zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

• zarządzanie incydentami

• stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

• stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa Ponadto m.in.

Operator usługi kluczowej wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa i zapewnia obsługę incydentu oraz współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe

Obowiązkiem organizacji jest przeprowadzenie, co najmniej raz na 2 lata, zewnętrznego auditu bezpieczeństwa systemu informatycznego wykonanego przez jednostkę certyfikacyjną posiadającą akredytacje ISO 27001 lub ISO 22301. Jednostką taką jest Lloyd's Register.

Kogo dotyczy Ustawa o Krajowym Systemie Cyberbezpieczeństwa?

Ustawa o KSC wymienia m.in. następujące podmioty jako organizacje objęte ustawą:

1) operatorzy usług kluczowych
2) dostawcy usług cyfrowych

Czy moja organizacja jest objęta Ustawą o Krajowym Systemie Cyberbezpieczeństwa?

Decyzja w sprawie każdego podmiotu objętego Krajowym Systemem Cyberbezpieczeństwa podejmowana jest indywidualnie i każdy podmiot informowany jest bezpośrednio przez stosowny organ nadzoru.;
Istnieje jednak możliwość wstępnego samodzielnego zdiagnozowania czy jest się operatorem usług kluczowych. Szczegóły klasyfikacji zawarte są w Rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. 2018 poz. 1806). Wg powyższego rozporządzania ustawą objęte są m.in. podmioty prowadzące znaczącą działalność gospodarczą w zakresie:

ENERGIA:
    •     Wydobycia: o Ropy naftowej o Węgla brunatnego o Węgla kamiennego o Miedzi
    •     Wytwarzania, przesyłania, dystrybucji, obrotu i magazynowania
             o Energii elektrycznej
             o Ciepła
    •     Wytwarzanie paliw ciekłych I ropy naftowej 
    •     Przesyłanie, Magazynowanie, przeładunek, obrót  ropy naftowej i paliw ciekłych
    •     Wytwarzanie paliw syntetycznych
    •     Przesyłanie, dystrybucja, magazynowanie obrót paliwami gazowymi
    •     Wytwarzanie radiofarmaceutyków
    •     Postępowanie z odpadami promieniotwórczymi

TRANSPORT
    •     Transport lotniczy pasażerski i towarowy
    •    Zarządzający lotniskiem
    •     Transport kolejowy pasażerski
    •     Transport kolejowy towarów
    •     Transport morski pasażerski
    •     Transport morski towarów
    •     Transport śródlądowy pasażerski i towarowy
    •     Zarządzanie portem morskim
    •     Zarządzanie drogami

 BANKOWOŚĆ
     •     Przyjmowanie depozytów pieniężnych lub innych funduszy podlegających zwrotowi od             klientów;
     •     Udzielanie kredytów na swój własny rachunek
     •     Inne czynności realizowane przez Banki, SKOKi ich oddziały o których mowa z                    rozporządzeniu

 OCHRONA ZDROWIA
     •     Udzielanie świadczenia opieki zdrowotnej przez podmiot leczniczy
     •     Dowodzenie jednostkami systemu Państwowego Ratownictwa Medycznego
     •     Zarządzanie danymi epidemiologicznymi
     •     Gromadzenie i udostępnianie Elektronicznej Dokumentacji Medycznej
     •     Obrót i dystrybucja produktów leczniczych 

ZAOPATRYWANIA W WODĘ PITNĄ
     •     Ujmowanie wody
     •     Uzdatnianie wody
     •     Dostarczanie wody
     •     Odprowadzanie i oczyszczanie ścieków

W jakim terminie należy spełnić wymagania Ustawy o Krajowym Systemie Cyberbezpieczeństwa?

W terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej:
    •     wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu                        cyberbezpieczeństwa,
    •     ustanowienie wewnętrznych struktur zarządzania bezpieczeństwem cybernetycznym
    •     wdrożyć program systematycznej analizy ryzyka i zarządzania ryzykiem,
    •     przeprowadzić dobrze funkcjonujący proces zarządzania zdarzeniami związanymi z                 bezpieczeństwem, umożliwiając między innymi zgłaszanie poważnych incydentów                 krajowemu zespołowi CSIRT w ciągu 24 godzin od ich wykrycia,
    •     wdrożenie programu edukacyjnego kluczowych użytkowników usług w dziedzinie                     bezpieczeństwa cybernetycznego. 

W terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej:
•  opracowywać i aktualizować dokumentację dotyczącą bezpieczeństwa cybernetycznego       systemów informatycznych wykorzystywanych do świadczenia kluczowej usługi
•  wdrożyć zabezpieczenia proporcjonalne do szacowanego ryzyka, w tym realizacji planów      ciągłości działania, lub obejmujące systemy informatyczne z ciągłym monitorowaniem,
•  przeprowadzić skuteczny proces zarządzania brakami w zabezpieczeniach i gromadzenia       wiedzy na temat zagrożeń, 

W terminie 1 roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej:
    •     Przeprowadzić zewnętrzny audyt działania systemu bezpieczeństwa

Jakie konsekwencje grożą za nie wdrożenie wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa

Zgodnie z ustawą kary za niewywiązanie się z obowiązków przez dostawców usług kluczowych wynoszą do 200.000 PLN W przypadku, gdy poprzez zaniedbanie nastąpi zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych kara może wynosić do 1.000.000 PLN  

Jak Lloyd's Register może pomóc w spełnieniu wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa?

Lloyd's Register jako międzynarodowa jednostka audytowa, certyfikacyjna i szkoleniowa jest w stanie skutecznie pomóc każdej organizacji objętej Krajowym Systemem Cyberbezpieczeństwa. Nasi doświadczeni trenerzy i audytorzy mogą przeprowadzić u Państwa m.in.
•     Szkolenie edukujące wszystkich kluczowych użytkowników usług objętych ustawą w        Państwa organizacji
•     Usługi doradztwa w zakresie spełnienia wymagań ustawy o KSC
•     Usługi tzw. audytu zerowego, tj. wstępnej weryfikacji aktualnego stanu systemu i pomoc w stworzeniu planu działań doprowadzających system do spełnienia wymogów ustawy
•     Obowiązkowy audyt bezpieczeństwa systemu informatycznego wg wymagań         ustawy   

Ustawa o Krajowym Systemie Cyberbezpieczeństwa a ISO 27001 i ISO 22301

Wymagania ustawy o KSC są w bardzo dużej mierze spójne i bazują na wymaganiach norm ISO 27001 (Zarządzanie systemem bezpieczeństwa informacji) oraz ISO 22301 (Zarządzanie systemem ciągłości działania). 

Jeśli Państwa organizacja ma wdrożony któryś z powyższych systemów nasz uprawniony audytor wiodący i trener może pomóc i poinstruować Państwa jakie kroki należy podjąć aby przejść audyt wg wymagań Krajowego Systemu o Cyberbezpieczeństwie. 

Podobnie, jeśli wdrożyli Państwo wymagania stawiane przez Krajowy System Cyberbezpieczeństwa mogą Państwo zgłosić chęć certyfikacji systemu przez akredytowaną jednostkę certyfikacyjną wg wymagań ISO 27001 lub ISO 22301 i osiągnąć tego powodu dodatkowe korzyści oraz prestiż. 

Masz pytania? Skontaktuj się z nami już dziś:
Tel. 58 555 75 00  lrqa@lrqa.pl

Lloyd's Register (Polska) sp. z o.o.
al. Zwycięstwa 13a
80-219 Gdańsk

Więcej informacji:
Treść ustawy o Krajowym Systemie Cyberbezpieczeństwa: kliknij tutaj
Rozporządzenie w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych: kliknij tutaj
Wymogi dla dokumentacji ustawy o KSC: kliknij tutaj
Certyfikacja ISO 27001: kliki tutaj
Certyfikacja ISO 22301: kliknij tutaj