Jak wdrożyć KSC / NIS2 - poradnik dla firm

Wstęp

Nasz poradnik przedstawia główne założenia ustawy o krajowym systemie cyberbezpieczeństwa (KSC) po nowelizacji, którą wdrożono dyrektywę NIS2. Wyjaśniamy w nim kluczowe elementy wymogów NIS2 skonkretyzowanych w ustawie o KSC. Dostarczymy Ci też praktycznych wskazówek, jak wdrożyć nowe przepisy.

Znajdziesz tu między innymi szczegółowe informacje o:

• zmianach i obowiązkach wprowadzonych ustawą o krajowym systemie cyberbezpieczeństwa (KSC),
• kwalifikacji do grona podmiotów kluczowych i podmiotów ważnych,
• obowiązkach podmiotów kluczowych i podmiotów ważnych,
• sektorach, których dotyczą regulacje,
• właściwych organach ds. cyberbezpieczeństwa,
• procedurach dotyczących zgłaszania incydentów,
• środków zarządzania ryzykiem w Twojej firmie.

Czym jest dyrektywa NIS2 i dlaczego jej wdrożenie jest ważne dla Twojej firmy

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijne przepisy mające na celu zapewnienie jednolitego, wysokiego poziomu cyberbezpieczeństwa w krajach członkowskich UE w związku ze stale rosnącymi cyberzagrożeniami. Jest ona następczynią dyrektywy NIS z 2016 r. – pierwszego unijnego aktu prawnego regulującego kwestie cyberbezpieczeństwa, który nakładał obowiązki na operatorów usług kluczowych i państwa członkowskie w zakresie reagowania na incydenty i współpracy między zespołami CSIRT (ang. Computer Security Incident Response Team – zespół reagowania na incydenty związane z bezpieczeństwem komputerowym).

Dyrektywa NIS2 rozwija wcześniejsze regulacje dyrektywy NIS 1. Odpowiada ona na nowe zagrożenia i niedoskonałości swojej poprzedniczki, zwiększając i zaostrzając obowiązki w zakresie cyberbezpieczeństwa. Między innymi obejmuje więcej sektorów i podmiotów, wprowadza nowe kategorie podmiotów, tj. podmioty kluczowe i podmioty ważne (we wcześniejszej dyrektywie obowiązywały pojęcia operatora usług kluczowych i dostawcy usług cyfrowych) oraz nakłada surowsze wymagania dotyczące zarządzania ryzykiem cybernetycznym, raportowania incydentów bezpieczeństwa i odpowiedzialności kadry zarządzającej. Nowe przepisy przewidują też sankcje za nieprzestrzeganie tych obowiązków oraz ustanawiają mechanizmy reagowania na incydenty o dużej skali na poziomie krajowym i europejskim oraz współpracy i wymiany informacji między organami i podmiotami prywatnymi.

Polski ustawodawca wdrożył wymogi określone Dyrektywą NIS2, poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UoKSC). Ustawa ta określa nowe obowiązki polskich przedsiębiorców, które odpowiadają wymogom NIS2. Prawidłowe spełnienie tych obowiązków wymagać będzie podejścia proaktywnego – nie tylko reagowania na incydenty, lecz także zapobiegania im dzięki systematycznym działaniom, takim jak zarządzanie ryzykiem, kontrola dostawców i zaangażowanie kierownictwa.

Na poziomie krajowym i unijnym dyrektywa NIS2 promuje współpracę i wymianę informacji przez:

• grupę współpracy – organ wspierający współpracę i wymianę najlepszych praktyk między państwami członkowskimi,
• sieć CSIRT – sieć zespołów reagowania na incydenty komputerowe, które koordynują działania związane z cyberbezpieczeństwem,
• europejską sieć organizacji łącznikowych ds. kryzysów cyberbezpieczeństwa (CyCLONe) – platformę do szybkiej wymiany informacji i koordynacji działań w sytuacjach kryzysowych,
• europejską bazę danych dotyczącą podatności – centralny zbiór informacji o lukach w zabezpieczeniach, wspierający zarządzanie ryzykiem.

Kto podlega wymogom NIS2

Dyrektywa NIS2 – w porównaniu z dyrektywą NIS 1 – uwzględnia dodatkowe sektory gospodarki. Wymóg ten odzwierciedla ustawa o KSC. Podmioty objęte nową regulacją są podzielone na dwie grupy: sektory kluczowe i sektory ważne. Klasyfikacja podmiotów jest oparta na szczegółowych kryteriach, które muszą spełniać przedsiębiorstwa, aby zostać uznanymi za podmioty kluczowe lub ważne. Podmioty te są wymienione w załącznikach do ustawy.

KSC - podmioty kluczowe

• Energetyka
• Transport
• Bankowość i infrastruktura rynków finansowych
• Ochrona zdrowia
• Zaopatrzenie w wodę pitną
• Odprowadzanie ścieków
• Infrastruktura cyfrowa
• Zarządzanie usługami ICT

• Przestrzeń kosmiczna
• Podmioty publiczne

KSC - podmioty ważne

• Usługi pocztowe
• Inwestycje energetyki jądrowej
• Gospodarka odpadami
• Produkcja (m.in. chemikaliów, żywności, wyrobów medycznych, elektroniki, maszyn, pojazdów)
• Dostawcy usług cyfrowych
• Badania naukowe
• Podmioty publiczne

Przepisy obejmują przede wszystkim średnie i duże przedsiębiorstwa, ale w niektórych sektorach – także mikro i małe firmy oraz podmioty niebędące przedsiębiorcami. Wyłączone spod ustawy są podmioty wykonujące działalność leczniczą, tworzone przez Szefa ABW lub Szefa Agencji Wywiadu.

Ocena podlegania pod przepisy ustawy o KSC może być skomplikowana, dlatego z pewnością wymaga skrupulatnej analizy. Warto zatem zaangażować w ten proces ekspertów, którzy pomogą przejść przez niego bezpiecznie i skutecznie.

Główne różnice między podmiotami kluczowymi a podmiotami ważnymi znajdziesz w poniższej tabeli.

Rozszerzenie obowiązków i nowe mechanizmy nadzoru 

Co zmienia nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa

• Rozszerza katalog podmiotów podlegających krajowemu systemowi cyberbezpieczeństwa o nowe sektory gospodarki, m.in. ścieki, ICT, przestrzeń kosmiczna, poczta, produkcja, dystrybucja chemikaliów i żywności, podmioty publiczne (zakres obowiązków w niektórych sektorach różni się w porównaniu z pozostałymi sektorami, np. w sektorze bankowości i infrastruktury rynków finansowych).
• Wprowadza nowe kategorie podmiotów – podmioty kluczowe i podmioty ważne.
• Wprowadza obowiązek samorejestracji w wykazie podmiotów kluczowych i podmiotów ważnych.
• Nakłada na podmioty kluczowe i podmioty ważne obowiązki związane z zarządzaniem ryzykiem.
• Znacząco rozszerza i uszczegóławia przepisy dotyczące stosowania środków technicznych i organizacyjnych.
• Zakłada odpowiedzialność kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa, w tym obowiązek odpowiedniego przeszkolenia, oraz przewiduje kary w razie niewywiązania się z nałożonych zadań.
• Wprowadza obowiązek przeprowadzania audytów bezpieczeństwa przez podmioty kluczowe co trzy lata oraz audytów doraźnych na zlecenie właściwego organu – także przez podmioty ważne.
• Wprowadza obowiązek zgłaszania incydentów przez podmioty kluczowe i podmioty ważne za pośrednictwem systemu teleinformatycznego.
• Tworzy CSIRT sektorowe, wspierające podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa.
• Poszerza kompetencje CSIRT na poziomie krajowym, w tym CSIRT NASK, w związku z większą liczbą podmiotów kluczowych i podmiotów ważnych wymagających wsparcia w incydentach.
• Przyznaje organom ds. cyberbezpieczeństwa większe kompetencje nadzorcze i w zakresie egzekwowania przepisów. Wyposaża je m.in. w możliwość wydawania ostrzeżeń, wyznaczania urzędników monitorujących wykonywanie obowiązków przez podmiot kluczowy, nakazywania ocen bezpieczeństwa systemu informacyjnego oraz przeprowadzania audytów bezpieczeństwa i kontroli.
• Wprowadza nowe kary pieniężne za niewykonanie obowiązków, m.in. za brak systemu zarządzania bezpieczeństwem informacji czy rejestracji w wykazie podmiotów kluczowych i podmiotów ważnych.
• Ustanawia krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę, określający zasady postępowania i współpracy między właściwymi organami.
• Rozszerza kompetencje ministra właściwego ds. informatyzacji, umożliwiające identyfikację dostawcy wysokiego ryzyka i wydawanie poleceń zabezpieczających w celu ograniczenia skutków incydentów krytycznych.
• Przyznaje Pełnomocnikowi Rządu ds. Cyberbezpieczeństwa prawo do wydawania rekomendacji, żądania informacji, zlecania badań oraz zakupu oprogramowania dla Połączonego Centrum Operacyjnego Cyberbezpieczeństwa w celu podniesienia poziomu bezpieczeństwa systemów informacyjnych.
• Rozszerza kompetencje ministra ds. informatyzacji o prowadzenie działalności edukacyjnej w zakresie cyberbezpieczeństwa, w tym kampanii i programów edukacyjnych.
• Wprowadza katalog kryteriów, które organ właściwy ds. cyberbezpieczeństwa będzie musiał przeanalizować, by podjąć działania nadzorcze i egzekwować przepisy, w tym nakładać kary pieniężne.
• Wprowadza instytucję okresowej kary pieniężnej w celu przymuszenia podmiotu kluczowego albo podmiotu ważnego do wykonania nałożonych na niego obowiązków.
• Wprowadza obowiązek zgłoszenia wczesnego ostrzeżenia, które pozwala poprosić o wytyczne dotyczące ograniczenia skutków incydentu lub o wsparcie techniczne (CSIRT sektorowy ma obowiązek udzielić pomocy w ciągu 24 godzin).
• Umożliwia dołączenie do systemu za pomocą rozwiązań chmurowych, bez konieczności zawierania porozumień i zakupu specjalnych urządzeń.
• Nakłada na podmioty kluczowe i podmioty ważne obowiązek dostosowania systemów informacyjnych do minimalnych wymagań technicznych i funkcjonalnych w ciągu 6 miesięcy od opublikowania tych wymagań przez ministra właściwego ds. informatyzacji na jego stronie BIP.

Jak wygląda proces rejestracji jako podmiot kluczowy lub podmiot ważny

• Podmiot, który spełnił przesłanki do uznania go za podmiot kluczowy lub podmiot ważny, w ciągu 3 miesięcy musi złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych za pośrednictwem systemu informatycznego.
• Wniosek sporządza się w formie elektronicznej i opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym kierownika podmiotu kluczowego lub podmiotu ważnego lub osoby przez niego upoważnionej albo kwalifikowaną pieczęcią elektroniczną. W przypadku składania wniosku przez pełnomocnika należy dołączyć pełnomocnictwo w wersji elektronicznej.
• Wpis dokonuje się z chwilą złożenia wniosku w systemie teleinformatycznym.
• Przedsiębiorcy telekomunikacyjni, dostawcy usług zaufania, podmioty publiczne i podmioty krytyczne są wpisywani do wykazu z urzędu przez ministra ds. informatyzacji na podstawie danych z rejestrów publicznych, bazy adresów elektronicznych lub informacji od organów nadzorczych. W razie braków minister wzywa do ich uzupełnienia w terminie 2 miesięcy od doręczenia wezwania, pod rygorem kary pieniężnej. Uzupełnienie danych następuje przez złożenie wniosku o zmianę wpisu w wykazie.
• Podmioty kluczowe i podmioty ważne otrzymują zawiadomienie o wpisie do wykazu, które jest doręczane przez ministra właściwego ds. informatyzacji.
• W przypadku zmiany danych należy w ciągu 14 dni złożyć wniosek o zmianę wpisu w wykazie.
• Jeśli podmiot prowadzi kilka rodzajów działalności, powinny one zostać wskazane we wniosku odrębnie.
• Podmiot, który przestał spełniać warunki uznania za podmiot kluczowy lub podmiot ważny, musi złożyć wniosek o wykreślenie z wykazu wraz z uzasadnieniem.
• Minister właściwy ds. informatyzacji udostępnia dane z wykazu do CSIRT MON, CSIRT NASK i CSIRT GOV, a także właściwemu CSIRT sektorowemu, organowi właściwemu w zakresie nadzorowanego sektora oraz podmiotowi kluczowemu lub podmiotowi ważnemu – w zakresie go dotyczącym.
• Dane mogą być udostępnione na wniosek innym podmiotom wymienionym w ustawie o KSC (takim jak odpowiednie służby i instytucje) w zakresie niezbędnym do realizacji ich ustawowych .

Organy ds. cyberbezpieczeństwa odpowiedzialne za nadzór i egzekwowanie przepisów

• Minister właściwy ds. energii – dla sektora energii oraz sektora inwestycji energii jądrowej
• Minister właściwy ds. transportu – dla sektora transportu (z wyłączeniem podsektora transportu wodnego)
• Minister właściwy ds. gospodarki morskiej oraz minister właściwy ds. żeglugi śródlądowej – dla podsektora transportu wodnego
• Komisja Nadzoru Finansowego – dla sektora bankowego i infrastruktury rynków finansowych
• Minister właściwy ds. zdrowia – dla sektora ochrony zdrowia (z wyłączeniem podmiotów wojskowych) oraz podsektora produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
• Minister Obrony Narodowej – dla sektora ochrony zdrowia (podmiotów wojskowych), sektora infrastruktury cyfrowej (wojskowej), sektora podmiotów publicznych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych oraz dla urzędu obsługującego tego ministra
• Minister właściwy ds. gospodarki wodnej – dla sektora zaopatrzenia w wodę pitną i jej dystrybucji oraz sektora zbiorowego odprowadzania ścieków
• Minister właściwy ds. informatyzacji – dla sektora infrastruktury cyfrowej (cywilnej), sektora dostawców usług cyfrowych, sektora zarządzania usług ICT oraz sektora podmiotów publicznych (z wyłączeniem podmiotów podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych oraz urzędu obsługującego tego ministra, podmiotów z sektora podległego ministrowi ds. finansów publicznych oraz podmiotów publicznych wymienionych w innym sektorze niż sektor podmiotów publicznych)
• Minister właściwy ds. finansów publicznych – dla sektora podmiotów publicznych podległych ministrowi ds. finansów publicznych
• Organ właściwy dla danego sektora – dla podmiotu publicznego wymienionego w innym sektorze niż sektor podmiotów publicznych
• Prezes Urzędu Komunikacji Elektronicznej – dla podsektora komunikacji elektronicznej (z wyłączeniem podmiotów wojskowych) oraz sektora usług pocztowych
• Minister właściwy ds. gospodarki – dla sektora przestrzeni kosmicznej, sektora produkcji, wytwarzania i dystrybucji chemikaliów oraz sektora produkcji (z wyłączeniem podsektora produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro)
• Minister właściwy ds. rolnictwa – dla sektora produkcji, przetwarzania i dystrybucji żywności
• Minister właściwy ds. klimatu – dla sektora gospodarowania odpadami
• Minister właściwy ds. szkolnictwa wyższego i nauki – dla sektora badań naukowych

Zespoły reagowania na incydenty bezpieczeństwa komputerowego odpowiedzialne za koordynację incydentów zgłaszanych przez podmioty przyporządkowane zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa

• CSIRT MON – dla podmiotów związanych z obronnością
• CSIRT GOV – dla administracji publicznej i instytucji państwowych
• CSIRT NASK – dla pozostałych podmiotów (większości podmiotów cywilnych), w tym sektora prywatnego, jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, instytutów badawczych, instytucji kultury i spółek komunalnych
• CSIRT sektorowe – w razie wyznaczenia dla konkretnego sektora (np. energetyki, zdrowia)

Jak przygotować organizację do wymogów ustawy o KSC / NIS2 – najważniejsze obowiązki

1. Samoocena i rejestracja – sprawdzenie podlegania pod ustawę o KSC i zgłoszenie jako podmiot kluczowy lub podmiot ważny..
2. Wyznaczenie osoby odpowiedzialnej – zgłoszenie do właściwego CSIRT danych osoby lub osób ds. cyberbezpieczeństwa.
3. Wdrożenie systemu zarządzania ryzykiem w celu ochrony sieci, systemów oraz ich środowiska przed incydentami za pomocą środków technicznych, operacyjnych i organizacyjnych.
4. Wdrożenie niezbędnych polityk i procedur.
5. Zapewnienie bezpieczeństwa zasobów ludzkich, podstawowych praktyk cyberhigieny i szkoleń z zakresu cyberbezpieczeństwa dla personelu i kierownictwa.
6. Stosowanie w razie potrzeby uwierzytelniania wieloskładnikowego lub ciągłego oraz bezpiecznych form komunikacji – głosowej, tekstowej i wideo – wewnątrz podmiotu.
7. Monitorowanie i wykrywanie zagrożeń – stosowanie mechanizmów do ciągłego monitoringu bezpieczeństwa.
8. Zapewnienie odporności usług – utrzymanie dostępności usług krytycznych przez wdrożenie planów ciągłości działania i zarządzania kryzysowego,
9. Raportowanie incydentów, w tym zgłoszenie incydentu do CSIRT w ciągu 24 godzin od wykrycia – zgodnie z procedurą szybkiego powiadamiania.
10. Odpowiedzialność kierownictwa – nadzór zarządu i osobista odpowiedzialność za zgodność z przepisami.
11. Dokumentacja działań – prowadzenie i przechowywanie dokumentacji związanej z cyberbezpieczeństwem.
12. Audyt i kontrola – przeprowadzanie audytu systemu zarządzania bezpieczeństwem (raz na 3 lata, a pierwszy audyt w ciągu 24 miesięcy od dnia spełnienia przesłanek do uznania za podmiot kluczowy).

Cyberbezpieczeństwo to nie jednorazowe zadanie, lecz trwały proces, który wymaga systemowego podejścia, dbałości, ciągłości, dostosowywania oraz testowania.

Zarząd pozostaje głównym odpowiedzialnym, jednak w proces ten musi być zaangażowana cała organizacja. Do prawidłowego funkcjonowania potrzebna jest ścisła współpraca działów i komórek merytorycznych – bez niej nie da się zapewnić bezpieczeństwa.

Jak wdrożyć wymogi UoKSC / NIS2 w pięciu krokach

1. Audyt zgodności z ustawą o KSC / NIS2

Przeprowadź kompleksową ocenę obecnego stanu bezpieczeństwa informacji w Twojej firmie. W ten sposób zidentyfikujesz, czy istnieją zagrożenia, podatności oraz zgodność z wymogami NIS2 określonymi w ustawie o KSC.

Działania

• Przegląd obecnych polityk, procedur i środków bezpieczeństwa.
• Identyfikacja krytycznych zasobów IT i potencjalnych luk w zabezpieczeniach.
• Ocena zgodności z aktualnymi przepisami i standardami cyberbezpieczeństwa.

2. Analiza ryzyka

Zidentyfikuj zagrożenia bezpieczeństwa informacji i ciągłości działalności, którą prowadzisz. Wdróż środki bezpieczeństwa adekwatne do zagrożeń, które stwierdzisz. W ten sposób zminimalizujesz potencjalne szkody dla firmy, zapewnisz jej ciągłość działania oraz zwiększysz odporności na incydenty cybernetyczne.

NIS2, podobnie jak RODO, nie precyzuje konkretnych środków ochrony – to Ty na podstawie przeprowadzonej analizy ryzyka musisz określić adekwatne środki zabezpieczeń.

Analiza ryzyka to kluczowy krok, który pozwala zidentyfikować zasoby, zagrożenia oraz luki w zabezpieczeniach.

OFERTA PROMOCYJNA

Czas na profesjonalną analizę ryzyka

Zastanawiasz się, jakie realne zagrożenia czyhają na Twoją firmę? Podczas krótkiej rozmowy, poznasz ofertę i otrzymasz rabat

WYBIERZ TERMIN ROZMOWY

Działania

• Określenie prawdopodobieństwa wystąpienia różnych rodzajów incydentów.
• Ocena potencjalnych skutków incydentów dla ciągłości działania firmy.
• Opracowanie planów zarządzania ryzykiem, które uwzględniają różne scenariusze zagrożeń.

3. Wdrożenie adekwatnych środków bezpieczeństwa

Wprowadź właściwe i proporcjonalne – do oszacowanego ryzyka – środki techniczne i organizacyjne (przynajmniej te, o których mowa w art. 8 KSC). W ten sposób zabezpieczysz firmę przed incydentami cybernetycznymi.

Uwaga: W stosunku do podmiotów publicznych będących podmiotami ważnymi wymogi dla systemu zarządzania bezpieczeństwem informacji zostały określone w załączniku nr 4 do KSC. Za niewykonanie obowiązków w tym zakresie podmiot ważny podlega karze pieniężnej.

Działania

• Implementacja mechanizmów kontroli dostępu i zabezpieczeń fizycznych.
• Wdrożenie środków monitorowania systemów informacyjnych w trybie ciągłym.
• Zabezpieczenie łańcucha dostaw ICT.
• Regularne aktualizacje oprogramowania.

4. Opracowanie dokumentacji i procedur

Stwórz i wdróż dokumentację – polityki oraz procedury, które są zgodne z wymogami NIS2 określonymi w art. 8 KSC. Dokumentacja ta powinna obejmować m.in.:

• analizy ryzyka i bezpieczeństwa systemów informatycznych,
• procedury reagowania na incydenty i ich zgłaszania,
• zarządzanie ciągłością działania,
• zapewnienie utrzymania kluczowych usług w przypadku incydentu oraz szybkiego przywracania systemów po awarii,
• zapewnienie bezpieczeństwa łańcucha dostaw (ocenę ryzyka u dostawców i eliminację dostawców wysokiego ryzyka),
• nabywanie, rozwój i utrzymywanie sieci i systemów informatycznych, reagowanie na wykryte podatności,
• ocenę skuteczności środków zarządzania ryzykiem,
• stosowanie kryptografii i szyfrowania,
• kontrolę dostępu i zarządzanie aktywami.

W ten sposób będziesz wspierać zarządzanie bezpieczeństwem informacji w firmie.

Działania

• Opracowanie i wdrożenie polityk i procedur.
• Dokumentowanie procedur reagowania na incydenty oraz planów ciągłości działania.
• Dokumentowanie realizacji procedur określonych w dokumentacji.

5. Szkolenie zarządu i personelu

Zapewnij odpowiednie kompetencje osób odpowiedzialnych za cyberbezpieczeństwo, zwiększaj ich świadomość i umiejętności. Dotyczy to zarówno zarządu, jak i personelu. Dzięki temu będziesz skutecznie realizować polityki i procedury bezpieczeństwa.

Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, muszą przechodzić szkolenia z zakresu cyberbezpieczeństwa przynajmniej raz w roku. Konieczne jest udokumentowanie takiego udziału.

Szkolenia mają na celu przygotowanie osób odpowiedzialnych za cyberbezpieczeństwo do skutecznego zarządzania ochroną systemów informatycznych w organizacji, a także wypełniania obowiązków wynikających z przepisów, w tym m.in. w zakresie:

• wniosków do wykazu podmiotów kluczowych i podmiotów ważnych,
• sprawowania nadzoru nad systemem zarządzania bezpieczeństwem oraz podejmowania związanych z tym decyzji,
• identyfikacji zagrożeń,
• reagowania na incydenty,
• współpracy z zespołami reagowania,
• przeprowadzania oceny ryzyka,
• przygotowywania do audytów,
• ochrony poufnych informacji.

Wszystko po to, by działać zgodnie z przepisami i zapewnić bezpieczeństwo cyfrowe organizacji.

Działania

• Organizacja szkoleń dla kierownictwa, które dotyczą zarządzania bezpieczeństwem informacji i zgodności z przepisami prawa.
• Regularne szkolenia personelu z zakresu podstawowych zasad cyberhigieny oraz specyficznych obowiązków NIS2 określonych w ustawie o krajowym systemie cyberbezpieczeństwa.
• Zapoznanie wszystkich pracowników z procedurami reagowania na incydenty oraz z przypisanymi im rolami i odpowiedzialnościami.

Środki zarządzania ryzykiem w zakresie bezpieczeństwa cybernetycznego

Jeśli Twoja firma jest podmiotem kluczowym lub podmiotem ważnym, masz obowiązek wdrożyć środki zarządzania bezpieczeństwem informacji. Robisz to po to, aby chronić swoje systemy informacyjne oraz zapewnić ciągłość świadczenia usług. Poniżej znajdziesz szczegółowe wymagania, jakie musisz spełnić.

1. Analiza ryzyka i bezpieczeństwo systemów informatycznych

• Systematycznie szacuj ryzyka wystąpienia incydentu oraz ustal plan zarządzania tym ryzykiem.
• Wdrażaj odpowiednie i proporcjonalne – do oszacowanego ryzyka – środki techniczne i organizacyjne. Uwzględnij najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu oraz prawdopodobieństwo wystąpienia incydentów.

2. Obsługa incydentów

• Zarządzaj incydentami – wykrywaj je, rejestruj, analizuj, klasyfikuj, nadawaj im priorytety, podejmuj działania naprawcze oraz ograniczaj skutki incydentów.
• Zbieraj informacje o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego, który wykorzystujesz do świadczenia usługi.

3. Środki ciągłości działania

• Utrzymuj i bezpiecznie eksploatuj system informacyjny.
• Wdrażaj, dokumentuj i utrzymuj plany działania, które umożliwiają ciągłe i niezakłócone świadczenie usługi oraz zapewniają poufność, integralność, dostępność i autentyczność informacji. Pamiętaj, że plany te powinny obejmować również odzyskiwanie danych po awarii i zarządzanie kryzysowe.

4. Bezpieczeństwo i ciągłość łańcucha dostaw

• Zapewnij bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi. Obejmuje to związki między Twoją firmą a dostawcą sprzętu lub oprogramowania.

5. Bezpieczeństwo na etapie tworzenia, rozwijania i utrzymywania systemów

• Wdrażaj system monitorowania w trybie ciągłym dla systemów informacyjnych wykorzystywanych do świadczenia usług.
• Wdrażaj polityki i procedury, które dotyczą ujawniania i obsługi luk w zabezpieczeniach.

6. Zasady i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa

• Wdrażaj polityki i procedury oceny skuteczności środków technicznych i organizacyjnych stosowanych w zarządzaniu ryzykiem.

7. Podstawowe zasady bezpieczeństwa i szkoleń komputerowych

• Zwiększaj świadomość pracowników z zakresu cyberbezpieczeństwa, w tym podstawowych zasad cyberhigieny.

8. Polityki dotyczące właściwego wykorzystania kryptografii i szyfrowania

• Wdrażaj polityki i procedury, które dotyczą stosowania kryptografii, w tym szyfrowania.

9. Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami

• Zapewniaj bezpieczeństwo fizyczne i środowiskowe. Uwzględniaj przy tym kontrolę dostępu.
• Wdrażaj polityki dotyczące zarządzania zasobami i kontroli dostępu.

10. Korzystanie z wieloskładnikowej, zabezpieczonej komunikacji głosowej/wideo/tekstowej i zabezpieczonej komunikacji awaryjnej

• Stosuj bezpieczne środki komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, które uwzględniają uwierzytelnianie wieloskładnikowe.
• Stosuj mechanizmy, które zapewniają poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym.
• Regularnie przeprowadzaj aktualizację oprogramowania zgodnie z zaleceniami producenta. Uwzględniaj analizę wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji.

Weź pod uwagę, że wszystkie środki muszą:

• być proporcjonalne do ryzyka, rozmiaru, kosztu oraz wpływu i stopnia szkodliwości incydentów,
• uwzględniać najnowszy stan wiedzy, a w stosownych przypadkach – także odpowiednie standardy europejskie i międzynarodowe.

Uprawnienia organów krajowych

Ustawa o krajowym systemie cyberbezpieczeństwa, zgodnie z wymogami dyrektywy NIS2, przewiduje minimalne kompetencje organów krajowych w zakresie egzekwowania przestrzegania przepisów. Organy krajow:

• wydają ostrzeżenia za nieprzestrzeganie przepisów,
• wydają wiążące polecenia,
• nakazują zaniechać postępowanie, które narusza przepisy,
• nakazują, by w określonym terminie i w określony sposób podmioty zapewniły zgodność środków zarządzania ryzykiem lub wypełniły obowiązki zgłaszania incydentów,
• nakazują poinformować osoby fizyczne lub prawne, dla których są świadczone usługi, o poważnym zagrożeniu cybernetycznym, jakie może mieć wpływ na te usługi,

• nakazują wdrożyć – w rozsądnym terminie – zalecenia, które zostały wydane w wyniku audytu bezpieczeństwa,
• wyznaczają na określony czas urzędnika, który będzie monitorował realizację określonych działań,
• nakładają obowiązek podania do wiadomości publicznej informacji o naruszeniu przepisów,
• nakładają kary administracyjne,
• zawieszają certyfikacje lub zezwolenia udzielone podmiotowi, jeśli termin na realizację działań nie został dotrzymany (dotyczy podmiotów kluczowych),
• tymczasowo pozbawiają osoby, które pełnią funkcje kierownicze, możliwości pełnienia swoich funkcji (dotyczy podmiotów kluczowych).

Zgłaszanie incydentów

Ustawa o KSC, zgodnie z wymogiem NIS2, wprowadza obowiązek stopniowego zgłaszania incydentów, które mają poważny wpływ na świadczenie usług. Incydent musisz zgłosić do właściwego CSIRT.

Incydent klasyfikuje się jako poważny, jeśli wiąże się z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczonej usługi, poważnymi stratami finansowymi bądź wywołuje szkody po stronie osób fizycznych lub innych podmiotów. Progi uznania incydentu za poważny są określone w rozporządzeniu Rady Ministrów.

W niektórych przypadkach musisz powiadomić odbiorców swoich usług o poważnych zagrożeniach cybernetycznych. Jeśli jest to w interesie publicznym, CSIRT lub odpowiedni właściwy organ może poinformować opinię publiczną o poważnym incydencie lub zobowiązać do tego Twoją firmę.

Zgłoszenia i raporty muszą być przekazywane za pomocą systemu teleinformatycznego Ministerstwa Cyfryzacji. W razie braku możliwości przekazania ich za pośrednictwem systemu sposób dokonywania zgłoszeń określi CSIRT w komunikacie odpowiednio na stronie BIP Ministra Obrony Narodowej, Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego, Agencji Bezpieczeństwa Wewnętrznego lub organu właściwego ds. cyberbezpieczeństwa.

W przypadku podmiotów publicznych przepisy przewidują pewne odrębności. Zgłaszanie incydentów jest realizowane przez jednostki, które zostały wyznaczone do tego w trybie określonym w ustawie o KSC. Jednostki wyznaczone dla danych podmiotów publicznych mogą wskazać im terminy, w których powinny przekazać informacje o incydentach.

Należy pamiętać, że jeśli incydent stanowi naruszenie ochrony danych osobowych, to może on podlegać zgłoszeniu także do Prezesa Urzędu Ochrony Danych Osobowych.

Do CSIRT mogą być przekazywane również informacje o:

• innych incydentach,
• cyberzagrożeniach (np. nowych metodach ataków),
• wynikach szacowania ryzyka,
• podatnościach (np. lukach w systemach),
• potencjalnych zdarzeniach mogących wpłynąć na cyberbezpieczeństwo,
• wykorzystywanych technologiach (np. nowych systemach i oprogramowaniu).

Odpowiedzialność za nieprzestrzeganie wymogów NIS2 określonych w KSC

Najwyższe kierownictwo podmiotów kluczowych i ważnych jest osobiście odpowiedzialne za zarządzanie ryzykiem związanym z cyberzagrożeniami i za wykonywanie obowiązków w tym zakresie przez zarządzany podmiot. Odpowiedzialność ta nie może być wyłączona lub ograniczona, co znaczy, że kierownictwo nie może jej przenieść na inne, wydelegowane osoby, np. zajmujące się IT.

Jeśli kierownikiem podmiotu jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna za ten obszar, odpowiedzialność spoczywa na wszystkich członkach tego organu.

Celem tak przyjętej odpowiedzialności jest zagwarantowanie, że cyberbezpieczeństwo będzie identyfikowane wśród głównych celów organizacji.

Obowiązki kierownictwa

Kierownictwo najwyższego stopnia w firmie odpowiada za to, aby zarządzać ryzykiem cyberbezpieczeństwa w podmiotach kluczowych lub podmiotach ważnych. Jeśli kierownictwo nie będzie przestrzegać wymogów NIS2 określonych w KSC, może to skutkować karami finansowymi, a także – w rażących sytuacjach – zawieszeniem certyfikacji lub zezwoleń niezbędnych do prowadzenia działalności czy nawet zakazem sprawowania funkcji zarządczych (środki te nie mają zastosowania do podmiotów publicznych).

Osoby, które pełnią funkcje kierownicze w podmiotach kluczowych lub podmiotach ważnych, muszą:

• zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, które są stosowane przez podmiot,
• nadzorować wdrażanie środków zarządzania ryzykiem,
• uczestniczyć w szkoleniach w celu zdobycia wystarczającej wiedzy i umiejętności, a także zidentyfikowania ryzyka i oceny praktyk zarządzania ryzykiem cyberbezpieczeństwa oraz ich wpływu na usługi świadczone przez podmiot,
• regularnie zapewniać podobne szkolenia swoim pracownikom,
• odpowiadać za nieprzestrzeganie przepisów.

Za naruszenia można otrzymać karę pieniężną:

Korzyści z wdrożenia NIS2 / KSC

Wdrożenie wymogów NIS2 / ustawy o KSC przekłada się na większą odporność na potencjalne zakłócenia działalności kluczowych dla funkcjonowania państwa i bezpieczeństwa polskiej gospodarki i społeczeństwa. Korzyści odczują też podmioty, które w tym systemie uczestniczą – dochowując wymogów prawa i wysokich standardów, zapewniają bezpieczeństwo własnej organizacji.

Dbałość o bezpieczeństwo jest wyrazem odpowiedzialności organizacji, a to z kolei przekłada się na zwiększenie zaufania wobec niej i na lepszą reputację.

Wymogi dotyczące poszczególnych działań, takie jak obowiązek oceniania dostawców w ramach łańcucha dostaw, pozwalają na wcześniejsze wykrycie potencjalnych zagrożeń i uniknięcie incydentów.

Zgodność z wymogami może mieć również przełożenie na zwiększenie liczby współprac, szczególnie z podmiotami z sektora publicznego, gdzie taka zgodność jest kluczowa. Dobrze funkcjonujący system i współpraca między państwami Unii Europejskiej wpływa też na zwiększenie bezpieczeństwa i skuteczności reagowania na transgraniczne zagrożenia.

Wytyczne lub materiały pomocnicze dotyczące NIS2

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała szczegółowe wytyczne techniczne do wdrożenia NIS2, obejmujące m.in. mapowanie wymagań na standardy ISO/NIST, przykłady dowodów zgodności oraz praktyczne porady:

• NIS2 Technical Implementation Guidance | ENISA
• Rozporządzenie wykonawcze Komisji (UE) 2024/2690 – EUR-Lex

Jak wdrożyć NIS2 / KSC – podsumowanie

NIS2 / KSC to kolejny milowy krok w kierunku poprawy cyberbezpieczeństwa oraz wyzwanie zarówno dla świata biznesu, jak i dla sektora publicznego. Nowe obowiązki obejmą wiele firm i podmiotów publicznych, a ich niewypełnienie może skutkować wysokimi karami i osobistą odpowiedzialnością kadry kierowniczej.

Kierunek wyznaczony przez Unię Europejską wydaje się słuszny i perspektywiczny. Bezpieczeństwo w cyfrowym świecie jest kluczowe i jednocześnie bardzo poważnie zagrożone. Zgodnie ze starym chińskim przysłowiem: najlepszy moment, aby zasadzić drzewo, był 20 lat temu, a drugi najlepszy moment jest teraz. Dziś to najlepszy moment, by z pomocą wysoko wykwalifikowanych specjalistów zadbać o bezpieczną przyszłość swojej organizacji.