Reklama

KPMG: Nowe obowiązki firm w zakresie cyberbezpieczeństwa
wtorek, 28 sierpnia 2018 08:41

28 sierpnia wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Network and Information Systems Directive) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.

NIS weszła w życie w sierpniu 2016 r. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje mają gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami. Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa, do 9 listopada mają czas na podjęcie decyzji odnośnie do podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

W terminie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.

- Dla większości dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem, jak również sprawnego procesu zarządzania incydentami, zapewniającego szybką analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa KPMG w Polsce.

Wdrożenie w/w obowiązków nie będzie oznaczało końca spełniania wymagań nałożonych ustawą o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będą bowiem zobowiązani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu operatorzy usług kluczowych będą zobowiązani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.

- Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach – mówi Michał Kurek.
(AM, źródło: KPMG)

 

Vienna Life: Witold Czechowski członkiem zarządu ds. ryzyka

18 września Komisja Nadzoru Finansowego (KNF) jednogłośnie wyraziła zgodę na powołanie Witolda Czechowskiego na stanowisko członka zarządu Vienna...


czytaj dalej

Saltus TUW: Robert Łoś zatwierdzony na stanowisku prezesa

18 września Komisja Nadzoru Finansowego (KNF) jednogłośnie wyraziła zgodę na powołanie Roberta Łosia na stanowisko prezesa zarządu Saltus...


czytaj dalej

Australia: Klienci Allianz wprowadzeni w błąd

Australijski oddział niemieckiego ubezpieczyciela Allianz SE wprowadzał w błąd przy sprzedaży ubezpieczenia podróżnego, obiecując nieograniczoną...


czytaj dalej

Niemcy: Sabotaż cyfrowy w firmach produkcyjnych

2/3 niemieckich przedsiębiorstw produkcyjnych było obiektem ataków cyberprzestępców, które kosztowały przemysł największej gospodarki europejskiej...


czytaj dalej

Ubea.pl: Niski poziom sierpniowego barometru

Z barometru cenowego Ubea.pl, sporządzonego na postawie wszystkich kalkulacji wykonanych w sierpniu przez klientów porównywarki wynika, że w...


czytaj dalej

Effie Awards 2018: Silna reprezentacja ubezpieczeń

Stowarzyszenie Komunikacji Marketingowej SAR ogłosiło pierwsze nominacje do tegorocznej edycji konkursu Effie Awards Poland. Na liście...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook