24.02.2021
CeCert wydał pierwszy certyfikat Bezpieczny Obiekt – przedszkole
Z dumą informujemy, że CeCert po przeprowadzeniu oceny na miejscu w Niepublicznym Przedszkolu Akademia Przedszkolaka...
Skontaktujemy się z Tobą najszybciej jak będzie to możliwe
13.12.2024
Wraz z rozwojem nowoczesnych technologii wzrasta również ryzyko naruszenia bezpieczeństwa informacji. Aby nadążyć za zmianami i sprostać pojawiającym się wyzwaniom konieczne jest wprowadzania adekwatnych regulacji prawnych. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi odpowiedź nie tylko zagrożenia dotyczące spraw cyberbezpieczeństwa, ale i wymogów dyrektywy NIS2, której celem jestem harmonizacji przepisów w całej Unii Europejskiej w zakresie reagowania na zagrożenia cyfrowe. Dowiedz się, co zmieniają nowe przepisy.
Krajowy system cyberbezpieczeństwa (w skrócie KSC) obejmuje instytucje i organizacje odpowiedzialne za ochronę infrastruktury krytycznej, monitorowanie zagrożeń oraz reagowanie na incydenty w cyberprzestrzeni, stanowiąc fundament bezpieczeństwa cyfrowego w Polsce. W skład KSC wchodzą operatorzy usług kluczowych, w tym podmioty z sektora energetycznego, transportowego, zdrowotnego oraz bankowego, a także dostawcy usług cyfrowych, zespoły CSIRT, organy administracji publicznej oraz firmy świadczące usługi z zakresu cyberbezpieczeństwa. Do głównych celów systemu zalicza się ochrona infrastruktury krytycznej, ciągłe monitorowanie zagrożeń i szybka reakcja na incydenty, które mogłyby wpłynąć na funkcjonowanie państwa lub gospodarki.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest bezpośrednią odpowiedzią na wymogi dyrektywy NIS2, której implementacja w Polsce miała zostać zakończona do 17 października 2024 roku. Przedstawione w projekcie zmiany koncentrują się przede wszystkim na harmonizacji przepisów z regulacjami unijnymi oraz na poprawie współpracy międzynarodowej w zakresie cyberbezpieczeństwa. Oprócz tego rozszerzono katalog podmiotów objętych regulacjami, wprowadzono nowe obowiązki w zakresie raportowania incydentów i wdrażania planów zarządzania ryzykiem. Nowelizacja przewiduje również utworzenie nowych struktur organizacyjnych oraz zwiększenie nadzoru nad przestrzeganiem przepisów.
Dyrektywa NIS2 zmienia kategorie podmiotów w krajowym systemie cyberbezpieczeństwa. Obowiązujący do tej pory podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony podmiotami kluczowymi i ważnymi. Nowe nazewnictwo lepiej odzwierciedla wagę i zakres działalności tych organizacji w kontekście bezpieczeństwa cyfrowego. Główne kryteria wprowadzonej klasyfikacji obejmują m.in. rozmiar organizacji czy potencjalne ryzyko dla bezpieczeństwa narodowego. Integralnym elementem nowelizacji jest również obowiązek współpracy podmiotów objętych przepisami z zespołami CSIRT (Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego).
Nowe przepisy nakładają obowiązek raportowania incydentów bezpieczeństwa w ściśle określonych terminach, aby móc szybciej reagować i skutecznie minimalizować skutki zagrożeń. Wprowadzono również systematyczne audyty bezpieczeństwa oraz szczegółowe plany zarządzania ryzykiem, które muszą zostać opracowane przez podmioty kluczowe i ważne. Wskazane działania mają usprawnić współpracę między różnymi podmiotami krajowego systemu cyberbezpieczeństwa a strukturami nadzoru na poziomie krajowym i unijnym.
Nowelizacja szczegółowo określa procedury związane z klasyfikacją incydentów bezpieczeństwa oraz obowiązek ich zgłaszania do odpowiednich zespołów CSIRT. Incydenty bezpieczeństwa, takie jak ataki hakerskie czy naruszenia danych, muszą być zgłoszone w określonych terminach. Dla podmiotów kluczowych i ważnych termin zgłoszenia poważnego incydentu wynosi maksymalnie 72 godziny od momentu jego wykrycia, a wstępne ostrzeżenie powinno zostać przesłane w ciągu 24 godzin.
Nowelizacja – jak już wspomniano wcześniej – wprowadza nową klasyfikację podmiotów, dzieląc je na kluczowe i ważne. Wprowadzono również nowe obowiązki rejestracji w wykazie prowadzonym przez Ministerstwo Cyfryzacji. Sektory kluczowe, takie jak energia, transport czy finanse, zostały dodatkowo rozszerzone o nowe obszary, np. przestrzeń kosmiczną. Dla mniejszych podmiotów, takich jak mikro i małe przedsiębiorstwa, przewidziano bardziej elastyczne podejście, uwzględniające ich znaczenie dla infrastruktury krytycznej.
Nowelizacja nakłada obowiązek przeprowadzania regularnych audytów bezpieczeństwa dla podmiotów kluczowych i ważnych co dwa lata. Ich celem jest ocena zgodności z przepisami ustawy, identyfikacja potencjalnych luk w zabezpieczeniach oraz wskazanie działań korygujących. Podmioty zobowiązane są również do wdrożenia procedur zapewniających ciągłość działania oraz ochronę infrastruktury krytycznej. Wprowadzono także wymóg dokumentowania wyników audytów, które mają być przedstawiane odpowiednim organom nadzoru.
Jednym z najważniejszych rozwiązań w nowelizacji jest utworzenie zespołów CSIRT sektorowych, które będą odpowiedzialne za przyjmowanie zgłoszeń incydentów, udzielanie pomocy w ich usuwaniu oraz raportowanie do centralnych organów. CSIRT ma również wspierać integrację działań pomiędzy różnymi podmiotami w ramach krajowego systemu cyberbezpieczeństwa, aby zwiększy skuteczność reagowania na zagrożenia i koordynację działań w sektorach kluczowych.
Nowelizacja ustawy obejmuje szerokie spektrum podmiotów, w tym organizacje z sektorów energetycznego, finansowego, zdrowotnego, transportowego oraz łączności. Rozszerzono także zakres regulacji o sektory takie jak dostawcy usług cyfrowych, przestrzeń kosmiczna czy gospodarka odpadami. Każdy podmiot, który spełnia kryteria określone w ustawie, jest zobowiązany do dostosowania swoich działań i systemów do nowych przepisów.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma na celu zapewnienie wyższego poziomu ochrony infrastruktury krytycznej oraz poprawę zarządzania bezpieczeństwem cyfrowym w Polsce. Główne założenia ustawy koncentrują się na określeniu minimalnych standardów bezpieczeństwa dla podmiotów kluczowych i ważnych oraz na wdrożeniu szczegółowych zasad zarządzania ryzykiem. Wprowadzono również system kar finansowych dla podmiotów, które nie spełniają wymogów ustawowych, a ich wysokość może sięgać nawet 10 milionów euro.
Jak nowelizacja wpłynie na certyfikację systemów zarządzania i produktów?
Nowelizacja wprowadza jasne wymagania wobec systemów zarządzania i produktów, które muszą być zgodne z wymogami ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane do wdrożenia systemów zarządzania bezpieczeństwem informacji, spełniające wymogi ustawy oraz międzynarodowe standardy, np. ISO/IEC 27001. Certyfikacja systemów może zapewnić zgodność z regulacjami oraz ułatwić procesy oceny bezpieczeństwa. Organizacje posiadające już certyfikaty zgodności mogą skorzystać z uproszczonych procedur. Nowelizacja zakłada również utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, który umożliwi sprawniejsze weryfikowanie poziomu zabezpieczeń w poszczególnych sektorach.
Surowe kary finansowe motywują organizacje do priorytetowego traktowania kwestii bezpieczeństwa cyfrowego. Dostosowanie się do nowych przepisów to jednak nie tylko obowiązek prawny, ale przede wszystkim szansa na wzmocnienie bezpieczeństwa i konkurencyjności organizacji. Zgodność z regulacjami wpływa na skuteczniejsze zarządzanie ryzykiem, ochronę infrastruktury krytycznej czy zabezpieczenie danych. Warto również inwestować w edukowanie zespołów – szkolenia z bezpieczeństwa informacji pomagają podnieść świadomość pracowników i lepiej dostosować procedury do nowych wymagań, a w razie potrzeby również reagować na zagrożenia.
Proces certyfikacji zgodności z ustawą o krajowym systemie cyberbezpieczeństwa rozpoczyna się od szczegółowej analizy i identyfikacji obszarów wymagających poprawy. Organizacje powinny przeprowadzić audyty wewnętrzne, które pozwolą na wykrycie luk w zabezpieczeniach oraz określenie działań koniecznych do dostosowania się do wymagań. Kolejnym krokiem jest nawiązanie współpracy z jednostkami certyfikującymi posiadającymi odpowiednią akredytację, które są uprawnione do przeprowadzania szczegółowych ocen zgodności z przepisami.
Po wdrożeniu niezbędnych procedur oraz zabezpieczeń przeprowadzany jest audyt zewnętrzny, który ocenia, czy organizacja spełnia wymogi ustawowe. W przypadku pozytywnego wyniku audytu podmiot otrzymuje certyfikat zgodności, który stanowi potwierdzenie dostosowania do wymagań ustawy oraz międzynarodowych standardów. Warto jednak pamiętać, że zgodność musi być regularnie monitorowana poprzez cykliczne audyty. Ich częstotliwość zależy od specyfiki organizacji, ale zazwyczaj odbywają się co najmniej raz w roku.
W celu skutecznego egzekwowania przepisów nowelizacja wprowadza kontrole doraźne, pozwalające na podjęcie natychmiastowych działań w przypadku wykrycia naruszeń. Prowadzą je urzędnicy monitorujący, którzy mogą być delegowani na określony czas, nie dłuższy niż miesiąc. Nowe przepisy precyzują również zasady nakładania kar finansowych. Wysokość kary zależy od charakteru naruszenia, czasu jego trwania oraz możliwości finansowych podmiotu. Uwzględnia się również poziom współpracy z organami nadzoru. Takie podejście motywuje organizacje do szybkiego reagowania na wykryte nieprawidłowości oraz do stałego doskonalenia procesów związanych z cyberbezpieczeństwem.
AktualnościDyrektor Działu Certyfikacji Wyrobów Medycznych
CeCert Sp z o. o.