Niestety twoja wersja przeglądarki jest bardzo stara i nie potrafi poprawnie wyświetlić naszej strony.

Chcesz się szybko skontaktować? 801 801 913
Ustawa o KSC – co to jest? Jak wpływa na firmy? | Biznes Netia
Menu główne

Krajowy System Cyberbezpieczeństwa – co to jest? Czego dotyczy ustawa?

05 maja 2022, Autor: Tomasz Orłowski
Ustawa o cyberbezpieczeństwie, która weszła w życie w 2018 roku, była efektem wprowadzenie unijnej dyrektywy NIS. Szacuje się, że regulacje dotknęły nawet 500 podmiotów w Polsce. Firmy i instytucje, które otrzymały decyzję administracyjną, były zmuszone wprowadzić wiele zmian w obszarze bezpieczeństwa swoich zasobów cyfrowych oraz przepływu informacji i gromadzenia danych. W tym artykule powiemy, czym jest Krajowy System Cyberbezpieczeństwa i na jakie zmiany powinniśmy przygotować się w ciągu najbliższych kilku miesięcy.
 
 
 
   

Ustawa o Krajowym Systemie Cyberbezpieczeństwa – co to jest?

 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w życie w sierpniu 2018 roku i została sformułowana na podstawie dyrektywy NIS (Network and Information Systems), którą dwa lata wcześniej uchwalił Parlament Unii Europejskiej. Dyrektywa NIS była pierwszym europejskim prawem regulującym kwestie cyberbezpieczeństwa w krajach członkowskich UE. Składała się z trzech filarów, pośród których, obok obowiązku współpracy pomiędzy członkami wspólnoty i przekazywania sobie informacji, znalazły się także:

 

• konieczność stworzenia krajowych instytucji sprawujących kontrolę nad bezpieczeństwem firmy,

 

• zalecenia dotyczące systemów i praktyk cyberbezpieczeństwa w podmiotach poszczególnych sektorów gospodarki.

 

Zadaniem ustawy KSC, przygotowanej przez Ministerstwo Cyfryzacji, było opracowanie uregulowań prawnych umożliwiających implementację dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym (KSC), w szczególności:

 

• niezakłóconego świadczenia usług kluczowych i usług cyfrowych,

 

• osiągnięcia odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

 

Podmioty sklasyfikowane jako operatorzy usług kluczowych (m.in. z sektora energetycznego, transportowego, zdrowotnego i bankowości) otrzymywali od Ministerstwa Cyfryzacji specjalne pismo administracyjne, które zobowiązywało ich do wdrożenia istotnych zmian w zakresie bezpieczeństwa informacji, m.in. skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem, przeprowadzania audytów kontrolnych, przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z powołanymi zespołami CSIRT (z ang. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). W skład KSC poza operatorami usług kluczowych oraz zespołami CSIRT (CSIRT NASK, CSIRT GOV i CSIRT MON) wchodzą również dostawcy usług cyfrowych, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, a także jednostki administracji publicznej oraz przedsiębiorcy telekomunikacyjni.

 

Nowelizacja ustawy o KSC – dlaczego jest istotna dla polskich przedsiębiorców?

 

Pod koniec 2020 roku dyrektywa NIS doczekała się aktualizacji w postaci dyrektywy NIS2. Tym samym pojawiła się potrzeba nowelizacji polskiej ustawy o KSC, by jej założenia były zgodne z przepisami unijnymi.

 

Dyrektywa NIS2 jest aktualizacją istniejącego prawa unijnego. Główne zmiany, jakie wprowadza dyrektywa NIS2, to rozszerzenie obowiązku zwiększenia bezpieczeństwa i kontroli kolejnych sektorów gospodarki, które podczas uchwalania pierwszej dyrektywy nie zostały uznane za kluczowe. Do wzrostu poziomu cyfryzacji oraz przeniesienia wielu usług na platformy cyfrowe z całą pewnością przyczyniła się także pandemia COVID-19.

 

Przewiduje się, że ustawa o KSC zostanie znowelizowana w ciągu kilku miesięcy, a jej przepisy obejmą nie kilkaset podmiotów kluczowych, jak miało to miejsce w pierwotnej wersji przepisów, ale nawet kilka tysięcy firm i instytucji. Oprócz omawianych wcześniej operatorów usług kluczowych (OUK), na liście znajdą się też tak zwane podmioty istotne. O szczególne bezpieczeństwo danych będą więc musiały zadbać także podmioty świadczące usługi:

 

• kurierskie,

 

• pocztowe,

 

• transportowe,

 

• zajmujące się produkcją chemikaliów, maszyn i pojazdów transportowych,

 

• telekomunikacyjne,

 

• a także dostawcy usług cyfrowych, firmy gospodarujące odpadami i wiele innych.

 

Ustawa o KSC – nowelizacja – na co powinniśmy się przygotować?

 

• Już za kilka miesięcy w życie wejdzie nowelizacja ustawy o KSC, obejmująca nawet kilka tysięcy nowych podmiotów, które nie zostaną poinformowane administracyjnie o tym fakcie, tak jak to miało miejsce przy pierwszej regulacji. Nie zwolni to ich jednak z obowiązku dostosowania się do przepisów.

 

• Ustawą o KSC zostaną objęci również przedsiębiorcy telekomunikacyjni.

 

• Nowelizacja ustawy zakłada, że cyberbezpieczeństwem w firmach i instytucjach objętych regulacjami mogą zajmować się zespoły SOC (Security Operations Center) – powołane wewnętrznie jednostki organizacyjne lub wyspecjalizowane podmioty zewnętrze.

 

Niedostosowanie się do obowiązujących przepisów rodzi skutki prawne i może podlegać wysokim karom, które przewidział ustawodawca (wchodzą w to również kary nakładane na zarządy firm). Kary mogą sięgać do 10 milionów € lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa.

 

Ustawodawca proponuje niezwykle krótkie vacatio legis (30 dni), w porównaniu z realnym czasem samodzielnego wprowadzenia w życie wymaganych ustawą rozwiązań, np. uformowanie zespołu SOC przy ogromnym niedoborze specjalistów na rynku, może zająć w niektórych przypadkach nawet 2 lata, nie wspominając o kosztach utrzymania takiego zespołu, które mogą przekroczyć kwotę 2-3 miliony zł rocznie.

 

Cyberbezpieczeństwo od Netii dla Twojej firmy

 

Wiesz już, czym jest ustawa o Krajowym Systemie Cyberbezpieczeństwa. Czy Twoja firma jest gotowa na oczekiwaną nowelizację przepisów? Ustawa będzie nakładać na podmioty kosztowne i skomplikowane obowiązki. Na szczęście nowe przepisy dają możliwość outsourcingu najbardziej złożonych procesów, w szczególności poprzez powierzenie monitoringu cyberbezpieczeństwa wyspecjalizowanej firmie, zapewniającej obsługę przez zespół SOC.

 

Security Operations Center Netii to grupa wysoce wykwalifikowanych specjalistów pokrywająca kompetencjami najważniejsze obszary bezpieczeństwa cyfrowego. Skorzystanie ze wsparcia profesjonalnego SOC wpisuje się w założenia ustawy o cyberbezpieczeństwie i jednocześnie zdejmuje z firmy ciężar związany z koniecznością budowania nowych struktur i wdrażania kolejnych procesów. Jest też nieporównywalnie tańszym i wygodniejszym rozwiązaniem, możliwym do wdrożenia w bardzo krótkim czasie.

 

SOC jest centralnym ośrodkiem, który jest „uszami i oczami” profesjonalnego systemu zabezpieczeń. Zapewnia stały proaktywny monitoring poszczególnych systemów bezpieczeństwa, wyszukuje i weryfikuje informacje o potencjalnych zagrożeniach, eliminuje wykryte podatności w naszej sieci, a na koniec przygotuje rekomendacje dotyczące wzmocnienia systemu odporności firmy. W przypadku wykrycia zagrożenia, kompleksowo obsłuży incydent oraz przekaże w imieniu firmy wymagane informacje do właściwych sektorowych i krajowych zespołów reagowania.

 

Mamy nadzieję, że nasz artykuł pozwolił zorientować się w nadchodzących wielkimi krokami zmianach w prawie. Pamiętaj, że o cyberbezpieczeństwo swojej firmy powinno się dbać dokładnie tak samo, jak o jej materialne zasoby. Polecamy lekturę naszego artykułu podsumowującego najważniejsze informacje dotyczące zasad cyberbezpieczeństwa.

 

Może Cię również zainteresować...

Dowiedz się więcej

Umów kontakt
Komentarze
Skip Navigation Links.

Wybierz swój język ×