Nowe obowiązki firm dotyczące cyberzagrożeń

Zofia Gałązka, radca prawny, Grupa Prawna Togatus
opublikowano: 24-10-2018, 22:00

Gdy większość przedsiębiorców opanowała już wdrożenie obowiązków związanych z RODO, 28 sierpnia weszła w życie ustawa z 5 lipca o krajowym systemie cyberbezpieczeństwa.

Określa ona zadania i obowiązki podmiotów wchodzących w jego skład, to jest instytucji administracji rządowej i samorządowej oraz największych przedsiębiorców z kluczowych sektorów gospodarki. Zgodnie z art. 3 w/w ustawy Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług i zapewnienie obsługi incydentów.

Usługa kluczowa to taka, która ma znaczenie podstawowe dla utrzymania działalności społecznej lub gospodarczej, takiej jak np. ochrona zdrowia, zaopatrzenie w wodę pitną, energię oraz usługi transportowe oraz usługi świadczone przez sektor bankowy. Usługi cyfrowe natomiast to usługi związane z działaniem wyszukiwarek internetowych, internetowe platformy handlowe i usługi przetwarzania w chmurze. Nowe przepisy nakładają obowiązki na operatorów opisanych wyżej usług kluczowych, czyli przedsiębiorców z sektorów: energia, w tym wydobywanie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora energii, jednostki nadzorowane i podległe, transport, w tym lotniczy, kolejowy, wodny i drogowy, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

Do zadań przedsiębiorców z ww. sektorów będzie należało m.in. wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, publikowanie informacji skierowanych do usługobiorców na stronie internetowej przedsiębiorstwa na temat zagrożeń cyberbezpieczeństwa i stosowania skutecznych sposobów zabezpieczania się przed nimi oraz przekazywanie organowi właściwemu do spraw cyberbezpieczeństwa danych wskazanych w ustawie w zakresie prowadzenia usług kluczowych w innych państwach UE. Inne obowiązki to opracowanie i stosowanie odpowiedniej dokumentacji dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług, prowadzenie nadzoru nad tą dokumentacją, obsługa incydentów tj. zgłaszanie, rejestrowanie i klasyfikowanie przypadków naruszenie cyberbezpieczeństwa oraz zapewnianie prowadzenia raz na dwa lata audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Obowiązki mają także dostawcy usług cyfrowych. Należy do nich m.in. przeprowadzanie czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów, a także zapewniania w niezbędnym zakresie dostępu do informacji dla właściwych organów Krajowego Systemu Cyberbezpieczęństwa. Jak podaje na swoich stronach Ministerstwo Cyfryzacji, stworzenie nowych przepisów miało na celu powstanie systemu, który umożliwi sprawne działanie na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo kraju. © Ⓟ

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Zofia Gałązka, radca prawny, Grupa Prawna Togatus

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Gospodarka / Nowe obowiązki firm dotyczące cyberzagrożeń