Reklama

KPMG: Nowe obowiązki firm w zakresie cyberbezpieczeństwa
wtorek, 28 sierpnia 2018 08:41

28 sierpnia wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Network and Information Systems Directive) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.

NIS weszła w życie w sierpniu 2016 r. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje mają gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami. Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa, do 9 listopada mają czas na podjęcie decyzji odnośnie do podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

W terminie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.

- Dla większości dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem, jak również sprawnego procesu zarządzania incydentami, zapewniającego szybką analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa KPMG w Polsce.

Wdrożenie w/w obowiązków nie będzie oznaczało końca spełniania wymagań nałożonych ustawą o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będą bowiem zobowiązani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu operatorzy usług kluczowych będą zobowiązani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.

- Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach – mówi Michał Kurek.
(AM, źródło: KPMG)

 

Ubezpieczenia Pocztowe: Nominacja Angeliki Hruban zatwierdzona przez KNF

15 stycznia Komisja Nadzoru Finansowego (KNF) jednogłośnie wyraziła zgodę na powołanie Angeliki Hruban na stanowisko członka zarządu Pocztowego...


czytaj dalej

Prezes PIU członkiem Rady Konsultacyjnej ds. PPK

Polski Fundusz Rozwoju (PFR) powołał Radę Konsultacyjną do spraw Pracowniczych Planów Kapitałowych (PPK). W jej skład wszedł Jan Grzegorz...


czytaj dalej

UKNF: Brytyjski nadzór uruchomił nabór notyfikacji w ramach TPR

Urząd Komisji Nadzoru Finansowego (UKNF) poinformował, że brytyjski organ nadzoru finansowego Financial Conduct Authority (FCA) uruchomił nabór...


czytaj dalej

Insurance Europe: Wniosek KE może być wyrokiem na polisy telematyczne

Choć Insurance Europe (IE) deklaruje zadowolenie z wniosku Komisji Europejskiej (KE) dotyczącego rozporządzenia w sprawie e-prywatności, mającego...


czytaj dalej

Rozmowy bez Asekuracji: Jak wybrać odpowiednią polisę na zimowy wyjazd?

W 49. odcinku podcastu ubezpieczeniowego „Rozmowy bez Asekuracji”, zatytułowanym „Jak wybrać odpowiednią polisę na zimowy wyjazd?” tematem rozmowy...


czytaj dalej

Reso/Balcia: Podsumowanie ubiegłego roku

Reso Europa Service oraz Balcia Insurance SE podsumowały miniony rok. Do najważniejszych zjawisk oraz przedsięwzięć zrealizowanych na przestrzeni...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook