Go to ...

biznes-gospodarka.plportal.pl

Reklama

Nadchodzi “nowe RODO”, o którym być może nie wiecie. Kary za niedostosowanie się są ogromne


Nawet 2,1 tys. podmiotów może być objętych ustawą o Krajowym Systemie Cyberbezpieczeństwa, która implementuje unijną dyrektywę NIS. Nowe prawo weszło w życie w sierpniu 2018 roku. Nie jest o nim tak głośno, jak o RODO, mimo że od pod wieloma względami – podobnie jak Rozporządzenie o Ochronie Danych Osobowych – oznacza rewolucję w polskich firmach.

Formalnie już w listopadzie tzw. kluczowi usługodawcy powinni otrzymać powiadomienia, że mają obowiązek dostosować się do kreślonych wymogów bezpieczeństwa informatycznego. Z naszej wiedzy wynika jednak, że resort cyfryzacji dopiero zaczął rozsyłać informacje do firm. Na dostosowanie się do nowych wymogów wytypowana firma będzie mieć 3 miesiące od dnia doręczenia decyzji.

– Powiadomienia otrzymuje każdy zidentyfikowany podmiot w postaci doręczenia stosownej decyzji administracyjnej o uznaniu podmiotu za operatora usługi kluczowej. Termin rozsyłania decyzji administracyjnych przez organy właściwe był uwarunkowany terminem wejścia w życie rozporządzenia Rady Ministrów z 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, co miało miejsce 22 września br. – słyszymy w biurze prasowym Ministerstwa Cyfryzacji.

Dyrektywa NIS (Network and Information Systems Directive) to unijna regulacja, na bazie, której powstaje w Polsce Krajowy System Cyberbezpieczeństwa. Nie dotyczy wszystkich firm, tylko wybranych – tzw. firm kluczowych dla gospodarki. W Ocenie Skutków Regulacji (OSR) Ministerstwo Cyfryzacji szacuje, że objętych nowymi obowiązkami będzie około 360 firm. Najwięcej z nich to szpitale (131) i podmioty finansowe (47). Zdaniem ekspertów Grant Thornton wyliczenia te są mocno niedoszacowane. Eksperci policzyli, że jeśli wprost czytać ustawę, to nowe wymogi obejmą ponad 2,1 tys. firm.

– Z ostatecznej wersji Oceny Skutków Regulacji towarzyszącej rządowemu projektowi ustawy wynikało, że szacowana liczba podmiotów, wobec których mogą zostać wydane decyzje administracyjne o uznaniu za operatora usług kluczowych to 542 podmioty. Faktyczny wpływ na liczbę podmiotów miały kryteria progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych zawartych we wspomnianym rozporządzeniu, które weszło w życie 22 września – precyzuje Ministerstwo Cyfryzacji.

Nowe obowiązki dla kluczowych firm

Niektóre przedsiębiorstwa być może już otrzymały od resortu cyfryzacji informację, że zostały uznane za tzw. Operatorów Usług Kluczowej (UOK). Co to oznacza? Że muszą wdrożyć system zarządzania bezpieczeństwem. Mają też m.in. obowiązek regularnego monitorowania poziomu bezpieczeństwa i niezwłocznego przekazywania specjalnym podmiotom (tzw. CSIRT z ang. Computer Security Incident Response Team) informacji o wystąpieniu poważnych incydentów naruszających cyberbezpieczeństwo.

Co więcej, firma uznana za UOK musi zatrudnić osobę odpowiedzialną za kwestie bezpieczeństwa teleinformatycznego. W Ocenie Skutków Regulacji Ministerstwo szacuje, że będzie się to wiązać z kosztem od 5 do 10 tys. zł brutto, przy czym jest to uzależnione od kwalifikacji i obowiązków pracownika oraz od wielkości przedsiębiorstwa.

– Do tego należy doliczyć także koszt utworzenia operacyjnego centrum bezpieczeństwa (SOC) – szacunkowo 1 mln zł oraz jego utrzymania – szacunkowo 2 mln zł, przy czym kwota ta może się zmienić w przypadku utworzenia sektorowego SOC albo skorzystania z komercyjnych usług podmiotu działającego na rynku. Operatorzy usług kluczowych będą zobowiązani m.in. ponieść koszty audytu zewnętrznego raz na dwa lata. Szacuje się, że koszt jednostkowy wykonania audytu wyniesie 50 tys. zł. Audyt po raz pierwszy będzie przeprowadzony w roku 2019, a następnie co 2 lata – czytamy w Ocenie Skutków Regulacji.

Na dostosowanie się do nowych wymogów wytypowana firma będzie mieć 3 miesiące od dnia doręczenia decyzji.

– Najpóźniej po upływie 6 miesięcy od uzyskania decyzji operatorzy usług kluczowych zobowiązani są spełnić wymagania w zakresie bezpieczeństwa fizycznego, zarządzania ciągłością działania, obsługi i zarządzania incydentem, zarządzania podatnościami, objęcia systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym oraz stosowania środków łączności umożliwiających prawidłową i bezpieczną komunikację. Ustawodawca wskazał również, że pierwszy audyt przewidziany przepisami ustawy ma być przeprowadzony w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – słyszymy w Ministerstwie Cyfryzacji.

Jakie są obowiązki dostawcy usług kluczowych?

Kto będzie tworzyć system?

Ustawa określa, w jaki sposób tworzony jest w naszym kraju system, mający zapobiegać cyberatakom, które mogą być zagrożeniem dla działalności polskiej gospodarki i kraju. Jolanta Jackowiak partner Grant Thornton wskazuje, że trzon systemu mają stanowić instytucje państwowe m.in. resort cyfryzacji i obrony narodowej, Rządowe Centrum Bezpieczeństwa, ABW i NBP.

– To one mają tworzyć sieć wykrywana ataków informatycznych rodzących ryzyko dla bezpieczeństwa kraju oraz szybkiego reagowania na nie – mówi Jolanta Jackowiak. Ekspertka wskazuje jednak, że w system włączone są również prywatne firmy, które – jak zdecydowali twórcy regulacji – mają istotne znaczenie dla bezpieczeństwa kraju. Ustawa definiuje dziewięć sektorów gospodarki, które mają wyjątkowe znaczenie dla bezpieczeństwa kraju: sześć z nich to operatorzy usług kluczowych, a trzy – operatorzy usług cyfrowych. Sektory to: energetyka, transport, finanse, ochrona zdrowia, woda pitna, infrastruktura cyfrowa, internetowe platformy cyfrowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.

– Jeśli przyjrzeć się szacunkom dokonanym przez rząd w ramach OSR, to okazuje się, że wynik jest znacząco niedoszacowany. Dla przykładu: zgodnie z ustawą do grona dostawców usług kluczowych włączone mają być np. hurtownie farmaceutyczne czy producenci i importerzy leków. Tymczasem w OSR w kategorii “ochrona zdrowia” wpisano jedynie szpitale – zauważa Jolanta Jackowiak.

Grant Thornton policzył, ile podmiotów tak naprawdę może być realnie objętych obowiązkami NIS, wykorzystując dane GUS i zakładając, że ustawa dotyczy wszystkie średnie i duże firmy (zatrudniające przynajmniej 50 osób) świadczące dane usługi.

– Licząc w ten sposób, okazuje się, że obowiązki związane z dyrektywą NIS mogą dotyczyć ponad 2,1 tys. podmiotów. Naszym zdaniem i tak jest to szacunek dość ostrożny, bo teoretycznie – zgodnie z ustawą – do grona dostawców usług kluczowych mogą być włączone również małe przedsiębiorstwa, np. drobne apteki, zatrudniające kilka osób – wskazuje Jolanta Jackowiak.

Ile podmiotów czeka wprowadzenie wymogów NIS?

Dla nieprzestrzegających nowych przepisów ustawodawca przewiduje kary od 1 tys. do 200 tys. zł. Jak długo potrwa dostosowywanie się wytypowanych firm do nowej rzeczywistości?

– Zapewnienie cyberbezpieczeństwa w związku z wdrożeniem dyrektywy NIS jest procesem ciągłym, który rozpoczął się z dniem wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa i towarzyszących rozporządzeń. Część podmiotów – tych najbardziej świadomych cyberzagrożeń – prowadziła działania w sferze organizacyjnej i technologicznej od wielu lat i podmioty te w dużym stopniu gotowe były już w dniu wejścia w życie ustawy. W przypadku wielu podmiotów uznanych za operatorów usług kluczowych wdrażanie wymogów NIS będzie wymagało wielomiesięcznych działań, których efekty będą mogły być formalnie potwierdzane podczas audytów prowadzonych po roku od doręczenia decyzji – wskazuje Ministerstwo Cyfryzacji.

Źródło: businessinsider

Polub Plportal.pl:

Tags: ,


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

+ 30 = 33

About koscielniakk

Reklama

WSPARCIE: propublicobono-rp.org | ffon.pl