Reklama

KPMG: Nowe obowiązki firm w zakresie cyberbezpieczeństwa
wtorek, 28 sierpnia 2018 08:41

28 sierpnia wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Network and Information Systems Directive) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.

NIS weszła w życie w sierpniu 2016 r. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje mają gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami. Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa, do 9 listopada mają czas na podjęcie decyzji odnośnie do podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

W terminie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.

- Dla większości dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem, jak również sprawnego procesu zarządzania incydentami, zapewniającego szybką analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa KPMG w Polsce.

Wdrożenie w/w obowiązków nie będzie oznaczało końca spełniania wymagań nałożonych ustawą o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będą bowiem zobowiązani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu operatorzy usług kluczowych będą zobowiązani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.

- Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach – mówi Michał Kurek.
(AM, źródło: KPMG)

 

Aviva PTE: Maciej Karasiński nowym prezesem

Maciej Karasiński od kwietnia obejmie funkcję prezesa Aviva PTE. Jego nominacja jest efektem złożenia rezygnacji (ze skutkiem od końca marca)...


czytaj dalej

Gothaer TU: Marek Gołębiewski nowym członkiem zarządu

11 marca rada nadzorcza Gothaer TU zdecydowała o przedłużeniu kadencji dotychczasowego zarządu spółki na kolejnych pięć lat i poszerzeniu jego...


czytaj dalej

VIG: Wyniki lepsze od zakładanych

Według Vienna Insurance Group (VIG), wstępne wyniki za rok finansowy 2018 wskazują, że był to pomyślny okres dla grupy.

Elisabeth Stadler, CEO...


czytaj dalej

Talanx: Zmiana pokoleniowa w zarządzie

Niemiecki ubezpieczyciel i reasekurator Talanx dokonał zmiany pokoleniowej w zarządach swoich spółek.

Christian Hinsch, członek zarządu...


czytaj dalej

Agencie, porozmawiaj z klientem o pogodzie

Rozmowa z Rafałem Mańkowskim, analitykiem-ekspertem w Dziale Monitoringu Warunków Prowadzenia Działalności Ubezpieczeniowej w Polskiej Izbie...


czytaj dalej

UNIQA: Zyskowny rok

2018 był udanym rokiem dla UNIQA w Polsce. Grupa uzyskała wysoki wynik finansowy, a jej spółka majątkowa ponad sześciokrotnie poprawiła swój wynik...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Zamów newsletter
Facebook