Jakie wyzwania stawia nam ustawa o cyberbezpieczeństwie?

28. sierpnia 2018 roku weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Jest to implementacja unijnej dyrektywy NIS (Network and Information Systems Directive), która nakłada na wiele polskich firm nowe obowiązki. Dotyczy to tzw operatorów kluczowych, którzy zostali określeni w ustawie. Postanowiliśmy sprawdzić, co kryje się za nowymi regulacjami, kogo dotyczą oraz jak im sprostać.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadza nowe obowiązki względem operatorów usług kluczowych. Jest to pierwszy w Polsce akt prawny, który definiuje pojęcia takie, jak:

• Cyberbezpieczeństwo,
• Incydent krytyczny,
• Operator usługi kluczowej,
• Ryzyko.

Wymusza ona zwiększony poziom bezpieczeństwa w systemach informatycznych operatorów kluczowych, organów publicznych i uczelni. Ustawa definiuje wiele elementów dotyczących bezpieczeństwa systemów informatycznych, które zostaną opisane w serii artykułów.

Kim jest operator usługi kluczowej?

Operator usługi kluczowej to wszystkie firmy lub instytucje, świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, przy pomocy usługi kluczowej. Są to m.in.:

• Banki
• Firmy z sektora energetycznego,
• Wodociągi,
• Firmy telekomunikacyjne,
• Przewoźnicy lotniczy oraz kolejowi,
• Szpitale,
• Sieci aptekarskie,
• Producenci leków.

Co jest usługą kluczową?

Usługą kluczową są wszystkie krytyczne usługi w kraju, takie jak:

• energia,
• transport,
• bankowość,
• uzdatnianie wody i odprowadzanie ścieków,
• ochrona zdrowia – szpitale i przemysł farmaceutyczny,
• infrastruktura cyfrowa.

Są to zatem wszystkie oferowane usługi przez operatorów usługi kluczowej (w skrócie OUK), które mają znaczący wpływ na infrastrukturę państwa. W przypadku wystąpienia awarii tych usług, zostałaby zaburzona struktura Państwa oraz jego poprawne działanie.

Wyzwania, jakie stawia ustawa dla operatorów usług kluczowych:

Ustawa opisuje wiele zadań, którym muszą sprostać UOK. Do najważniejszych, z punktu widzenia pracowników IT, należą:

1. Prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.
2. Utrzymanie i bezpieczna eksploatacja systemu informacyjnego.
3. Bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu.
4. Bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej.
5. Monitorowanie w trybie ciągłym systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
6. Zarządzanie incydentami.
7. Dbałość o aktualizację oprogramowania.

Jak sprostać wyzwaniom, które narzuca nam ustawa?

W związku z wyzwaniami wynikającymi z Ustawy o Krajowym Systemie Cyberbezpieczeństwa, zapraszamy do serii artykułów, w których przedstawimy, w jaki sposób radzić sobie z nowymi wymogami.
W artykułach omówimy następujące zagadnienia:

• Wczesna identyfikacja zagrożeń,
• Monitorowanie usług kluczowych,
• Efektywne reagowanie na incydenty,
• Odpowiedni poziom kontroli dostępu,
• Utrzymywania wysokiego poziomu dostępności usług kluczowych.

Każdy artykuł będzie dedykowany jednemu z powyższych zagadnień. Przedstawimy w nich dokładnie, jakie wymagania stawia przed nami ustawa oraz jak poprawnie sobie z nimi radzić.

Przeczytaj nasze artykuły i zdobądź wiedzę niezbędną do prawidłowego funkcjonowania organizacji!

Masz pytania? Chcesz dowiedzieć się więcej? Skontaktuj się z nami!