Wiosną tego roku przez polskie firmy przetoczyła się „akcja RODO”. Choć nie jest o tym teraz aż tak głośno, właśnie rozpoczyna się druga, pod wieloma względami podobna rewolucja związana z dostosowywaniem procedur wewnętrznych, tym razem chodzi o tzw. dyrektywę NIS (Network and Information Systems Directive), która nakłada obowiązek wprowadzenia rygorystycznych zasad dotyczących cyberbezpieczeństwa. W odróżnieniu od RODO, regulacje NIS nie dotyczą wszystkich firm, a tylko tych, które mają wpływ na bezpieczeństwo systemu gospodarczego w Polsce.

  • Dyrektywa NIS wymaga od firm zapewnienia odpowiednich środków technicznych i organizacyjnych, przeprowadzenia oceny ryzyka bezpieczeństwa i zakłócenia ciągłości świadczonej usługi oraz wdrożenia działań zabezpieczających.
  • Przepisy definiują kilka sektorów gospodarki, które mają kluczowe znaczenie dla bezpieczeństwa kraju. Wśród nich zostaną zidentyfikowane przedsiębiorstwa, które ze względu na swoją rolę i wielkość muszą być objęte wymogami dyrektywy NIS.
  • Za niewywiązanie się z obowiązków nałożonych przez nową ustawę przedsiębiorstwom grożą dotkliwe kary finansowe.

Czym jest Krajowy System CYBERbezpieczeństwa i co on oznacza dla działających w Polsce firm?

W sierpniu 2018 r. w życie weszła ustawa o Krajowym Systemie Cyberbezpieczeństwa, która implementuje w Polsce dyrektywę NIS. Ustawa ta określa, w jaki sposób tworzony jest w naszym kraju system, mający zapobiegać cyberatakom, które mogą być zagrożeniem dla działalności polskiej gospodarki czy polskiego państwa.

Trzon systemu mają stanowić instytucje państwowe, m.in. Ministerstwo Cyfryzacji, Rządowe Centrum Bezpieczeństwa, Ministerstwo Obrony Narodowej, Agencja Bezpieczeństwa Wewnętrznego czy Narodowy Bank Polski. To one mają tworzyć sieć wykrywania ataków informatycznych rodzące ryzyko dla bezpieczeństwa kraju oraz szybkiego reagowania na nie. Jednak w system włączane są również przedsiębiorstwa i podmioty życia gospodarczego.

Obecnie przedsiębiorstwa, które mają być objęte ustawą, są informowane o tym przez rząd. Uznawane są za tzw. dostawców usług kluczowych, a to oznacza, że będzie na nich spoczywał obowiązek pilnego dostosowania się do określonych wymogów bezpieczeństwa informatycznego. Aby spełnić pierwsze z nich, będą miały tylko 3 miesiące od dnia doręczenia decyzji.

Firmy będą musiały zapewnić odpowiednie środki techniczne i organizacyjne, ocenić ryzyko bezpieczeństwa i zakłócenia ciągłości świadczonej usługi oraz wdrożyć działania zabezpieczające, w tym monitorować poziom bezpieczeństwa i raportować incydenty do organów odpowiedzialnych za bezpieczeństwo na poziomie krajowym. Ponadto, przynajmniej co dwa lata poddawać się audytowi bezpieczeństwa i na wezwanie udostępniać raporty z audytu.

Sprawdź Konsulting cyfrowy Grant Thornton

Jakie sektory wchodzą w skład systemu?

Ustawa definiuje kilka sektorów gospodarki, które mają wyjątkowe znaczenie dla bezpieczeństwa kraju. To wśród nich identyfikowane są przedsiębiorstwa, które ze względu na swoją rolę lub wielkość muszą być objęte wymogami cyberbezpieczeństwa. Są to:

  • Wydobywanie kopalin
  • Produkcja, obrót, dystrybucja, przetwarzanie i magazynowanie energii elektrycznej, zarządzanie infrastrukturą elektryczną
  • Wytwarzanie, obrót i dystrybucja ciepła
  • Wytwarzanie, obrót i dystrybucja paliw płynnych
  • Obrót, przesył, dystrybucja i magazynowanie gazu
  • Produkcja urządzeń dla wyżej wymienionych działalności
  • Przewozy lotnicze, lotnisko i obsługa lotniska, kontrola powietrzna
  • Przewozy kolejowe, zarządzanie infrastrukturą kolejową
  • Zarządzanie portem, usługi żeglugi morskiej i śródlądowej, kontrola statków
  • Zarządzanie infrastrukturą drogową, podmioty wdrażające ITS (inteligentne systemy transportowe)
  • Bank krajowy
  • Oddział banku zagranicznego
  • Oddział instytucji kredytowej, SKOK-i
  • Podmiot prowadzący rynek regulowany
  • PWPW, BGK, BFG
  • Instytucje płatnicze
  • Podmiot leczniczy
  • Przedsiębiorca prowadzący aptekę ogólnodostępną
  • Hurtownia farmaceutyczna
  • Podmiot, który uzyskał pozwolenie na produkcję produktu leczniczego lub substancji czynnej
  • Importer produktu leczniczego lub substancji czynnej
  • Importer równoległy produktu leczniczego lub substancji czynnej
  • Przedsiębiorstwo wodociągowo-kanalizacyjne
  • Podmiot świadczący usługi DMS (Domain Name System)
  • Podmiot prowadzący punkt wymiany ruchu internetowego (IXP)
  • Podmiot zarządzający TLD (Top Level Domain) 

Jakie obowiązki ciążą na dostawcy usług kluczowych?

Najważniejsze obowiązki to:

  • wdrożenie systemu zarządzania bezpieczeństwem,
  • powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umów z podmiotami świadczącym usługi z zakresu cyberbezpieczeństwa,
  • systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających bezpieczeństwo IT,
  • wdrożenie polityki zarządzania incydentami i obsługi incydentów,
  • niezwłocznie zgłaszanie CSIRT poważnych incydentów (nie później niż w ciągu 24 godzin od wykrycia),
  • przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa teleinformatycznego,
  • usuwanie podatności na cyberataki oraz informowanie o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa,
  • ustanowienie nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Warto odpowiednio wcześnie przygotować się i zaimplementować nowe regulacje NIS również dlatego, że za niewywiązanie się z obowiązków nałożonych przez ustawę przedsiębiorstwom grożą dotkliwe kary finansowe sięgające od 15 do 200 tys. zł w zależności od rodzaju przewinienia lub niedopatrzenia.

Zapraszamy do kontaktu z naszym ekspertem.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Dyrektywa NIS, czyli nowe CYBERobowiązki firm

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Mariusz Maik

Partner

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.