Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na operatorów usług kluczowych obowiązki dotyczące m.in. szacowania ryzyka wystąpienia incydentu, stosowania właściwych środków bezpieczeństwa oraz obsługi i zarządzania incydentami.
Jak przeprowadzić audyt bezpieczeństwa systemu informacyjnego?Ustawa nakłada na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt może przeprowadzić:
Zespół dwóch audytorów powinien posiadać certyfikaty określone we właściwym rozporządzeniu lub posiadać odpowiednią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych (tzn. co najmniej trzyletnią praktykę bez wykształcenia kierunkowego lub co najmniej dwuletnią praktykę oraz dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych). |
Jaką dokumentację muszę mieć przygotowaną?Każdy system informacyjny służący do świadczenia usługi kluczowej musi być zabezpieczony przed ingerencją osób trzecich i awariami. Przygotowane zabezpieczenia należy udokumentować. Dokumentację w rozumieniu ustawy stanowi:
Szczegółowe wymogi są określone w rozporządzeniu w sprawie rodzajów dokumentacji. |
Jaki jest cel ustawy o krajowym systemie cyberbezpieczeństwa?Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym . Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności :
Budowany system obejmuje:
Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie. Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej. |
Jakie są obowiązki dostawcy usług cyfrowych?
Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:
|
Jakie są obowiązki operatorów kluczowych?Pełne obowiązki operatorów usług kluczowych są określone w ustawie o KSC i każdy operator powinien się z nimi zapoznać, aby móc zapewnić zgodność z ustawą. Do najważniejszych grup obowiązków należą:
|
Jakie są rodzaje incydentów?
|
Jakie są zadania CSIRT NASK, CSIRT GOV i CSIRT MON?Do zadań CSIRT NASK, CSIRT GOV i CSIRT MON, należy koordynacja obsługi incydentów zgłaszanych przez: CSIRT NASK:
CSIRT GOV:
CSIRT MON:
|
Jakie są zadania organu właściwego?
|
Jakie wymogi techniczne wynikają z ustawy?Ustawa obejmuje wiele różnych podmiotów z różnych sektorów gospodarki, zatem staraliśmy się zminimalizować ilość sztywnych wymogów technicznych. Sposób realizacji obowiązków dotyczących szacowania ryzyka czy zapewnienia odpowiedniego poziomu bezpieczeństwa świadczonych usług zależy od operatora danej usługi. Postawiono jednak wymogi w zakresie dokumentacji (patrz punkt poniżej) oraz warunków. |