W dniu dzisiejszym upływa termin, który odpowiednie organy miały na wydanie decyzji, która zobowiązuje kategorie podmiotów wymienione w ustawie o krajowym systemie cyberbezpieczeństwa. Co prawda jeszcze parę dni może potrwać doręczenie decyzji wydanych dzisiaj ale wiele podmiotów otrzymało już swoje listy. Co dalej, jakie wymagania spełnić i kiedy?

REKLAMA
Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca. Ustawa ta stanowi implementację Dyrektywy NIS (2016/1148), której celem jest zagwarantowanie odpowiedniego poziomu bezpieczeństwa sieciowego. W ramach nowych przepisów nakłada się nowe obowiązki na różnego rodzaju podmioty, do których należą np. przedsiębiorstwa z sektorów energetyki, infrastruktury cyfrowej, zaopatrzenia w wodę pitną, bankowości, ochrony zdrowia i transportu, jak również dostawcy usług cyfrowych.
W dniu dzisiejszym kończy się czas na podjęcie decyzji odnośnie podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

Najważniejsze obowiązki
Obowiązki wskazane dla operatorów usług kluczowych są podzielone na trzy kategorie, dla których ustanowiono odrębne terminy na dostosowanie się. Terminy te liczone są począwszy od daty doręczenia decyzji, o której mowa powyżej:
- W terminie 3 miesięcy operatorzy:
dokonują szacowania ryzyka dla usług kluczowych, przygotowują zarządzanie incydentami, wyznaczają osobę kontaktową z właściwym CSIRT, prowadzą działania edukacyjne wobec użytkowników, obsługują incydenty we własnych systemach (zgłaszają incydenty poważne, usuwają wskazywane podatności);
- W terminie 6 miesięcy operatorzy: wdrażają odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbierają informacje o zagrożeniach i podatnościach, stosują środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, przygotowują i stosują wymaganą dokumentację;
- W terminie 12 miesięcy operatorzy muszą przeprowadzić pierwszy audyt bezpieczeństwa systemu (potem przeprowadzać go co najmniej raz na 2 lata) i przekazać sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Co zrobić w przypadku otrzymania decyzji?
Jeżeli jakikolwiek podmiot otrzymał decyzję o wpisie na listę operatorów usług kluczowych powinien niezwłocznie zacząć działać aby nie narazić się na kary. Poniższa lista powinna pomóc w przedsięwzięciu odpowiednich kroków:
1. Zwrócić się do profesjonalnego (wewnętrznego lub zewnętrznego) doradcy. W przypadku gdy uznanie za operatora usługi kluczowej nie było przewidywane można zweryfikować jego zasadność i spróbować ją wzruszyć w odpowiedniej procedurze. W pozostałych przypadkach taka osoba pomoże w zaplanowaniu i sprawnym wypełnieniu wszelkich wymagań formalnych.
2. Zweryfikować obowiązki, do których wypełnienia podmiot jest zobowiązany. W tym kroku chodzi o sytuację porównania obowiązków z aktualnymi procedurami/mechanizmami istniejącymi w danym przedsiębiorstwie w odniesieniu do cyberbezpieczeństwa.
3. Wyznaczenie osoby kontaktowej. Może to być również osoba odpowiedzialna za kwestie cyberbezpieczeństwa w tym podmiocie. Warto to zrobić na wczesnym etapie dostosowania aby osoba ta aktywnie uczestniczyła w całej procedurze.
4. Przygotowanie odpowiedniej dokumentacji, w tym wykonanie szacunku ryzyka.
5. Szkolenie pracowników z zakresu cyberbezpieczeństwa. Szkolenia są jednym z najważniejszych elementów tego systemu. To bowiem użytkownicy odpowiadają za znaczną część ryzyk, z którymi należy sobie poradzić.
6. Pierwszy audyt bezpieczeństwa.

Kary
Razem z nałożeniem dodatkowych obowiązków zazwyczaj podążają mechanizmy, które mają zapewnić ich wypełnienie. Najczęstszą metodą osiągnięcia tego celu jest wskazanie kar za niedostosowanie się do przepisów. W omawianym akcie prawnym znajduje się stosunkowo długa lista kar sięgających 1 000 000 zł.