Nowy system cyberbezpieczeństwa — obowiązki przedsiębiorcy

opublikowano: 26-03-2019, 22:00

Rozwój technologiczny, nowy rodzaj zagrożeń i ataków pochodzących z sieci teleinformatycznych spowodowały zmiany w polskim prawie.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która obowiązuje od sierpnia 2018 roku, nałożyła nowe obowiązki na część przedsiębiorstw oraz na administrację publiczną. Jest ona naturalną konsekwencją obowiązującej w Unii Europejskiej Dyrektywy NIS.

Kto został zobowiązany do przestrzegania ustawy?

Trzy typy podmiotów: operatorzy usług kluczowych, dostawcy usług cyfrowych oraz podmioty publiczne. O tym, która z organizacji podlega wymogom ustawy jako operator usług kluczowych informuje organ właściwy (ministerstwo), który wydaje decyzję administracyjną o zakwalifikowaniu do tej grupy. Wykaz operatorów usług kluczowych prowadzi minister właściwy do spraw informatyzacji. Ustawa wskazuje też sektory, w których powinni zostać zidentyfikowani operatorzy usług kluczowych. Są to sektory: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. Dokładna lista usług kluczowych jest zawarta w rozporządzeniu wykonawczym do ustawy z dnia 11 września 2018 r.

— Operator usługi kluczowej jest zobowiązany do wdrożenia zarządzania bezpieczeństwem w systemie informacyjnym używanym do świadczenia usługi kluczowej. Ma także obowiązek systematycznego szacowania ryzyka i dostosowaniado niego środków bezpieczeństwa. Poza tym musi opracowywać i uaktualniać dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego oraz przechowywać ją przez co najmniej dwa lata — tłumaczy Juliusz Brzostek, dyrektor Centrum Cyberbezpieczeństwa w NASK.

NASK jest jednym z trzech — obok MON i ABW — zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) poziomu krajowego, odpowiedzialnym za sferę cywilną. Obsługa incydentu jest obowiązkiem operatora usługi kluczowej, a w przypadku, gdy jest powołany sektorowy zespół cyberbezpieczeństwa, operator przekazuje zgłoszenie do tego zespołu, współdziała z nim, wysyłając niezbędne dane i zapewnia dostęp do informacji o rejestrowanych incydentach. Operator usług kluczowych do realizacji zadań określonych w ustawie o KSC powołuje struktury wewnętrzne odpowiedzialne za cyberbezpieczeństwo. Jednak ustawa dopuszcza też outsourcing tych zadań na podmiot zewnętrzny świadczący takie usługi. Warunki działania dla tych podmiotów określa rozporządzenie z dnia 10 września 2018 r. Operatorzy usług kluczowych mają obowiązek, w ramach swoich struktur lub korzystając z podmiotuzewnętrznego, przeprowadzić raz na dwa lata audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Pierwszy audyt powinien się odbyć w ciągu roku od doręczenia decyzji o uznaniu za operatora usługi kluczowej.

Zobowiązania dostawców usług cyfrowych

W nieco innym wymiarze ustawa dotyczy dostawców usług cyfrowych (DSP — Digital Service Providers), do których zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Ustawie nie podlegają małe i mikroprzedsiębiorstwa. Ze względu na transgraniczny charakter usług cyfrowych i międzynarodową specyfikę podmiotów świadczących tego rodzaju usługi DSP zostały objęte lżejszą regulacją niż operatorzy usług kluczowych. Z tego powodu oraz aby zapobiec fragmentacji Jednolitego Rynku Cyfrowego, Komisja Europejska opublikowała w rozporządzenie wykonawcze, które obowiązuje od 10 maja 2018 r. Dostawcy usług cyfrowych oprócz odpowiedniego zarządzania ryzykiem systemów informacyjnych wykorzystywanych do świadczenia usługi cyfrowej, mają obowiązek prowadzenia czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów. Podobnie jak operatorzy usług kluczowych, dostawcy usług cyfrowych również podlegają nadzorowi organów właściwych, które są uprawnione do kontrolowania i nakładania kar pieniężnych.

NASK informuje — obsługa incydentów w świetle ustawy o KSC

Operatorzy usług kluczowych zobowiązani są do:

  • klasyfikowania incydentu na podstawie kryteriów określonych w rozporządzeniu (Rozporządzenie Rady Ministrów z 31.10.2018 r. w sprawie progów uznania incydentu za poważny)
  • zgłoszenia incydentu poważnego do właściwego CSIRT, nie później niż w ciągu 24 godzin od momentu jego wykrycia
  • współdziałania z CSIRT w obsłudze incydentu, w tym zapewnienia dostępu do informacji oraz usunięcia podatności systemu

Dostawca usług cyfrowych w przypadku wystąpienia incydentu powinien:

  • zapewnić utrzymanie procesów wykrywania zagrożeń, systemu zgłaszania incydentów oraz reagować na nie zgodnie z procedurami
  • ocenić powagę incydentu oraz prowadzić jego pełną dokumentację
  • w miarę możliwości prowadzić realizację usługi lub przywrócić ją po ustąpieniu zakłócenia
  • w ramach zapewnienia ciągłości działania, wdrożyć plany awaryjne oraz dokonać oceny zdolności w zakresie przywracania gotowości do pracy
  • monitorować system oraz ulepszać go na podstawie przeprowadzonych testów i audytów

Operatorzy usług kluczowych mają obowiązek raportowania incydentów poważnych, a dostawcy usług kluczowych incydentów istotnych. Należy je zgłaszać do CERT Polska na stronie https://incydent.cert.pl/ poprzez znajdujący się na niej formularz online.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane

Inspiracje Pulsu Biznesu