pl 
28. sierpnia 2018 roku weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Jest to implementacja unijnej dyrektywy NIS (Network and Information Systems Directive), która nakłada na wiele polskich firm nowe obowiązki. Dotyczy to tzw operatorów kluczowych, którzy zostali określeni w ustawie. Postanowiliśmy sprawdzić, co kryje się za nowymi regulacjami, kogo dotyczą oraz jak im sprostać.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadza nowe obowiązki względem operatorów usług kluczowych. Jest to pierwszy w Polsce akt prawny, który definiuje pojęcia takie, jak:
- Cyberbezpieczeństwo,
- Incydent krytyczny,
- Operator usługi kluczowej,
- Ryzyko.
Wymusza ona zwiększony poziom bezpieczeństwa w systemach informatycznych operatorów kluczowych, organów publicznych i uczelni. Ustawa definiuje wiele elementów dotyczących bezpieczeństwa systemów informatycznych, które zostaną opisane w serii artykułów.
Kim jest operator usługi kluczowej?
Operator usługi kluczowej to wszystkie firmy lub instytucje, świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, przy pomocy usługi kluczowej. Są to m.in.:
- Banki
- Firmy z sektora energetycznego,
- Wodociągi,
- Firmy telekomunikacyjne,
- Przewoźnicy lotniczy oraz kolejowi,
- Szpitale,
- Sieci aptekarskie,
- Producenci leków.
Co jest usługą kluczową?
Usługą kluczową są wszystkie krytyczne usługi w kraju, takie jak:
- energia,
- transport,
- bankowość,
- uzdatnianie wody i odprowadzanie ścieków,
- ochrona zdrowia – szpitale i przemysł farmaceutyczny,
- infrastruktura cyfrowa.
Są to zatem wszystkie oferowane usługi przez operatorów usługi kluczowej (w skrócie OUK), które mają znaczący wpływ na infrastrukturę państwa. W przypadku wystąpienia awarii tych usług, zostałaby zaburzona struktura Państwa oraz jego poprawne działanie.
Wyzwania, jakie stawia ustawa dla operatorów usług kluczowych:
Ustawa opisuje wiele zadań, którym muszą sprostać UOK. Do najważniejszych, z punktu widzenia pracowników IT, należą:
- Prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.
- Utrzymanie i bezpieczna eksploatacja systemu informacyjnego.
- Bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu.
- Bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej.
- Monitorowanie w trybie ciągłym systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
- Zarządzanie incydentami.
- Dbałość o aktualizację oprogramowania.
Jak sprostać wyzwaniom, które narzuca nam ustawa?
W związku z wyzwaniami wynikającymi z Ustawy o Krajowym Systemie Cyberbezpieczeństwa, zapraszamy do serii artykułów, w których przedstawimy, w jaki sposób radzić sobie z nowymi wymogami.
W artykułach omówimy następujące zagadnienia:
- Wczesna identyfikacja zagrożeń,
- Monitorowanie usług kluczowych,
- Efektywne reagowanie na incydenty,
- Odpowiedni poziom kontroli dostępu,
- Utrzymywania wysokiego poziomu dostępności usług kluczowych.
