Ustawa o krajowym systemie cyberbezpieczeństwa okiem audytora

Przyjęta w lipcu 2018 roku ustawa o krajowym systemie cyberbezpieczeństwa (wraz z towarzyszącymi rozporządzeniami) tworzy nowe ramy dla zarządzania bezpieczeństwem systemów informacyjnych w polskich przedsiębiorstwach i instytucjach. Na tzw. „operatorów usług kluczowych” oraz ich podwykonawców i dostawców usług cyfrowych nałożono szereg nowych obowiązków. Podmioty, które w terminie nie wdrożą wymaganych zmian w obszarze struktury organizacyjnej, analizy ryzyka, dokumentacji itp. lub nie udokumentują przeprowadzenia audytu, muszą się liczyć z sankcjami – w tym karą pieniężną nawet do 1 mln zł.


Autor: Piotr Ubych, Menedżer ds. usług ochrony danych i assessmentów, Grupa DEKRA w Polsce


Ustawa o krajowym systemie cyberbezpieczeństwa dostosowała polskie prawo do tzw. dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Aby zapewnić bezpieczeństwo sieci i systemów informatycznych, zarówno w sektorze publicznym, jak i prywatnym:

  • wytypowano podmioty o istotnym znaczeniu dla działalności społecznej i gospodarczej Polski
  • utworzono krajowy system obsługi incydentów (oraz ich koordynacji na poziomie UE)
  • administracja rządowa objęła nadzór nad krajowym systemem cyberbezpieczeństwa
  • ogłoszono szczegółowe rozporządzenia, określające wymagania w zakresie warunków organizacyjnych i technicznych, dokumentacji, audytowania bezpieczeństwa systemu informacyjnego itp.


Czy moja firma jest operatorem usługi kluczowej?

Jedną z najważniejszych grup podmiotów, które wchodzą w skład krajowego systemu cyberbezpieczeństwa, jest grupa „operatorzy usług kluczowych” (OUK). Zgodnie z art. 5.1 ustawy przedsiębiorstwo, które zostało uznane za OUK, otrzyma urzędową decyzję w tej sprawie. Biorąc pod uwagę krótkie terminy, w jakich operator musi dostosować się do nowych przepisów, warto z wyprzedzeniem samodzielnie sprawdzić, czy dana firma spełnia przesłanki OUK.


Sektory i rodzaje przedsiębiorstw, które świadczą usługi kluczowe, wymienia załącznik nr 1 do ustawy. Są wśród nich m.in. podmioty branży energetycznej, transportowej, bankowej i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) oraz sektor infrastruktury cyfrowej. Należy przy tym pamiętać, że obowiązki nałożone na OUK wpływają również na łańcuch dostawców, np. serwis instalacji przemysłowych itp.


Niezbędne działania

W dniu uprawomocnienia się decyzji stwierdzającej, że dane przedsiębiorstwo jest operatorem usługi kluczowej, rozpoczyna się okres dostosowawczy, w którym:


  • w ciągu 3 miesięcy należy: powołać osobę odpowiedzialną za bezpieczeństwo, zaplanować proces dostosowywania organizacji do wymogów ustawy, powołać zespół do wdrożenia systemu bezpieczeństwa, przeprowadzić proces analizy ryzyka, stworzyć proces zarządzania incydentami bezpieczeństwa, przeprowadzić działania edukacyjne
  • w ciągu 6 miesięcy należy: wdrożyć wymaganą dokumentację oraz środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka
  • w ciągu 12 miesięcy należy: wykonać audyty wewnętrzne, zamknąć działania z nich wynikające, oraz przesłać do właściwego podmiotu raport z zewnętrznego audytu przeprowadzonego zgodnie z zasadami opisanymi w ustawie.


Aby spełnić obowiązki wynikające z ustawy firmy muszą zapewnić niezbędne zasoby osobowe i techniczne, adekwatne do oszacowanego ryzyka.


Jak wybrać ludzi do zespołu odpowiedzialnego za system bezpieczeństwa?

Niezwykle istotnym elementem każdego systemu są ludzie. To od ich wiedzy i postaw zależy w dużej mierze skuteczność systemu bezpieczeństwa, a tym samym efektywność nakładów poniesionych na jego wdrożenie przez przedsiębiorstwo.


Zdaniem eksperta DEKRA w obszarze bezpieczeństwa informacji, Tomasza Szczygła, klienci mogą mieć problem z wyborem osób z organizacji o odpowiednich kompetencjach w zakresie bezpieczeństwa informacji.


Wtedy należy opracować program rozwoju wybranych osób w zakresie bezpieczeństwa, od osoby odpowiedzialnej za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa, po członków zespołu wdrożeniowego – radzi ekspert.

Warto również skorzystać z oferty podmiotów zajmujących się oceną systemów bezpieczeństwa – dodaje. - Jest to doskonała okazja do poznania najlepszych praktyk w tym obszarze.

Istotne jest zapewnienie odpowiedniego poziomu szkolenia, które będzie odzwierciedlało ryzyka, jakie zidentyfikowaliśmy, oraz środki, które umożliwią skuteczne przeciwdziałanie tym zagrożeniom. Organizacjom budującym systemy bezpieczeństwa zaleca się stworzenie skutecznej platformy szkoleniowej. Jej zawartość powinna odzwierciedlać aktualny poziom ryzyka oraz możliwe wektory ataku na system bezpieczeństwa danego przedsiębiorstwa.


Dokumentacja i analiza ryzyka

Doświadczenie audytowe pokazuje, że warunkiem skuteczności systemu cyberbezpieczeństwa jest jego integracja z innymi systemami zarządzania (np. ISO 27001, ISO 22301, RODO/GDPR), szczególnie w takich obszarach, jak szacowanie ryzyka, identyfikacja, zbieranie danych i raportowanie incydentów.


Podczas wdrażania procesu zarządzania ryzykiem firmy mogą skorzystać z wiedzy pozyskanej w trakcie dostosowywania się do wymagań RODO – podpowiada Tomasz Szczygieł. - Warto rozważyć zasady i wytyczne zawarte w dobrych praktykach inżynierskich, takich jak ISO 31000, która podaje wytyczne dla zarządzania ryzykiem oraz ISO 27005, która mówi o zarządzaniu ryzykiem w bezpieczeństwie informacji.

Przygotowując się, a następnie wdrażając system bezpieczeństwa, polecam także sięgnąć po inne standardy ISO, np. ISO 27001, ISO 22301, ISO 27002, ISO 27043, ISO 27041, czy ISO 27035 – wymienia ekspert DEKRA.

Pamiętajmy, że urzędowe kontrole, jakim może zostać poddana nasza firma, najpewniej obejmą dokumentację dot. cyberbezpieczeństwa, która powinna spełniać wytyczne rozporządzenia Rady Ministrów z 16.10.2018 roku. Ważne jest, aby systematyczne audyty bezpieczeństwa wykonywane przez profesjonalnych audytorów, do których OUK zobowiązuje ustawa, swoim zakresem obejmowały zarówno zgodność dokumentacji z wymaganiami, jak i jej adekwatność i skuteczność.


Jak zgłaszać incydenty?

Jednym z podstawowych obowiązków operatora usługi kluczowej jest zgłoszenie tzw. „incydentu poważnego” do właściwego CSIRT nie później niż w ciągu 24 godzin od momentu wykrycia. Oznacza to konieczność posiadania przez organizację zdolności detekcji, analizy, obsługi i dalszej prewencji takich zdarzeń.


Za incydent poważny uznaje się zajście, które powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej. Dla przykładu, w elektrowni może to być utrata na co najmniej 3 minuty zasilania odbiorców w wysokości powyżej 10% rzeczywistego zapotrzebowania systemu w okresie poprzedzającym incydent, a w szpitalu - brak dostępności usługi powyżej 24 godzin.


Również w przypadku zarządzania incydentami związanymi z cyberbezpieczeństwem możemy skorzystać z procedur, które już stosujemy w organizacji.


Zgłaszanie incydentów można zintegrować z rozwiązaniem opracowanym na potrzeby RODO – proponuje Tomasz Szczygieł. - Podobnie jak przy incydentach dotyczących danych osobowych należy wdrożyć proces umożliwiający wykrywanie incydentu, zbieranie na jego temat dowodów i raportowanie do właściwego CSIRT-u.


Dowiedz się więcej. Porozmawiaj z ekspertem

Więcej o obowiązkach wynikających z ustawy o krajowym systemie cyberbezpieczeństwa dowiesz się podczas bezpłatnego webinaru, który Grupa DEKRA w Polsce organizuje w dniu 16 maja br.


Szczegóły i formularz rejestracyjny znajdziesz na stronie https://szkolenia.dekra.pl


Skontaktuj się z autorem: assessment.pl@dekra.com

www.dekra-certification.com.pl/cyberbezpieczenstwo

Grupa DEKRA w Polsce - logo