Reklama

KPMG: Nowe obowiązki firm w zakresie cyberbezpieczeństwa
wtorek, 28 sierpnia 2018 08:41

28 sierpnia wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Network and Information Systems Directive) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.

NIS weszła w życie w sierpniu 2016 r. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje mają gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami. Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa, do 9 listopada mają czas na podjęcie decyzji odnośnie do podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

W terminie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.

- Dla większości dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem, jak również sprawnego procesu zarządzania incydentami, zapewniającego szybką analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa KPMG w Polsce.

Wdrożenie w/w obowiązków nie będzie oznaczało końca spełniania wymagań nałożonych ustawą o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będą bowiem zobowiązani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu operatorzy usług kluczowych będą zobowiązani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.

- Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach – mówi Michał Kurek.
(AM, źródło: KPMG)

 

Rynek ubezpieczeń: Wiener TU zamiast Gothaer TU

Po prawie siedmiu latach z polskiego rynku ubezpieczeń znika marka Gothaer. Za kilka tygodni przejęte przez Vienna Insurance Group towarzystwo...


czytaj dalej

Aviva TUnŻ: Mariusz Grendowicz przewodniczącym rady nadzorczej

Mariusz Grendowicz został powołany na przewodniczącego rady nadzorczej Aviva TUnŻ. To pierwszy niezależny członek RN firmy w Polsce, który objął...


czytaj dalej

WTW: Padły nowe rekordy inwestycji w insurtech

Inwestujący w insurtech na całym świecie w I kwartale 2019 r. wykonali największą liczbę transakcji, największą liczbę transakcji w sektorze...


czytaj dalej

Generali: Kwartał wzrostów

Pierwsze trzy miesiące obecnego roku były udane dla Generali. Grupa zanotowała wysokie wzrosty zysków i przypisu składki.

Przypis składki brutto...


czytaj dalej

Rynek ubezpieczeń: Lokalne porządki

Ostatnie lata w branży ubezpieczeniowej stały pod znakiem globalnych zmian w przepisach dotyczących branży ubezpieczeniowej. Zmniejszona aktywność...


czytaj dalej

SN: Odmowa podjęcia uchwał w dwóch sprawach

16 maja Sąd Najwyższy (SN) odmówił podjęcia uchwały w dwóch sprawach dotyczących materii ubezpieczeniowej, skierowanych do niego przez sądy...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Zamów newsletter
Facebook