Cyberbezpieczeństwo

Cyberbezpieczeństwo stało się w obecnym czasie wyzwaniem dla wielu organizacji.

Wiąże się to nie tylko ze znalezieniem odpowiednich rozwiązań technicznych, które uchronią organizację przed cyberzagrożeniami, ale to także duże wyzwanie kadrowe i kompetencyjne. Wyzwanie, które wymusza na firmach zupełnie nowe podejście do doskonalenia umiejętności pracowników, tak aby potrafili skutecznie zadbać o cyberbezpieczeństwo.

W dzisiejszych czasach każda organizacja wykorzystuje narzędzia elektroniczne do komunikacji z klientami i kontrahentami czy pomiędzy pracownikami, a większości przypadków dostępność tych narzędzi jest kluczowa z punktu widzenia możliwości prowadzenia działalności, świadczenia usług. Ustawa o krajowym systemie cyberbezpieczeństwa dostosowała Polskie prawo do tzw. dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii).

Aby zapewnić bezpieczeństwo sieci i systemów informatycznych, zarówno w sektorze publicznym, jak i prywatnym:

  • wytypowano podmioty o istotnym znaczeniu dla działalności społecznej i gospodarczej Polski
  • utworzono krajowy system obsługi incydentów (oraz ich koordynacji na poziomie UE)
  • administracja rządowa objęła nadzór nad krajowym systemem cyberbezpieczeństwa
  • ogłoszono szczegółowe rozporządzenia, określające wymagania w zakresie warunków organizacyjnych i technicznych, dokumentacji, audytowania bezpieczeństwa systemu informacyjnego itp.
  • wytypowano podmioty o istotnym znaczeniu dla działalności społecznej i gospodarczej Polski
  • utworzono krajowy system obsługi incydentów (oraz ich koordynacji na poziomie UE)
  • administracja rządowa objęła nadzór nad krajowym systemem cyberbezpieczeństwa
  • ogłoszono szczegółowe rozporządzenia, określające wymagania w zakresie warunków organizacyjnych i technicznych, dokumentacji, audytowania bezpieczeństwa systemu informacyjnego itp.

Aby spełnić obowiązki wynikające z ustawy firmy muszą zapewnić niezbędne zasoby osobowe i techniczne, adekwatne do oszacowanego ryzyka.

W dniu uprawomocnienia się decyzji stwierdzającej, że dane przedsiębiorstwo jest operatorem usługi kluczowej, rozpoczyna się okres dostosowawczy, w którym:

  • w ciągu 3 miesięcy należy: powołać osobę odpowiedzialną za bezpieczeństwo, zaplanować proces dostosowywania organizacji do wymogów ustawy, powołać zespół do wdrożenia systemu bezpieczeństwa, przeprowadzić proces analizy ryzyka, stworzyć proces zarządzania incydentami bezpieczeństwa, przeprowadzić działania edukacyjne
  • w ciągu 6 miesięcy należy: wdrożyć wymaganą dokumentację oraz środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka
  • w ciągu 12 miesięcy należy: wykonać audyty wewnętrzne, zamknąć działania z nich wynikające, oraz przesłać do właściwego podmiotu raport z zewnętrznego audytu przeprowadzonego zgodnie z zasadami opisanymi w ustawie.