Progress Q&S – Wdrożenia, Audyt, Szkolenia

Menu
Facebook Linkedin Youtube Instagram
Menu

Wymagania NIS2 i Ustawy o Krajowym Systemie Cyberbezpieczeństwa – Co Musisz Wiedzieć?

/ ISo 27001 / By

W dzisiejszym, coraz bardziej zdigitalizowanym świecie, ochrona przed cyberzagrożeniami staje się priorytetem dla państw, instytucji publicznych oraz firm prywatnych. Dyrektywa NIS2 (Network and Information Security) oraz Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) w Polsce są kluczowymi elementami prawnymi, mającymi na celu zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informacyjnych w całej Europie.

Dyrektywa NIS2, wprowadzona przez Unię Europejską, zaostrza i rozszerza wymagania dotyczące cyberbezpieczeństwa, nakładając obowiązki na nowe sektory i organizacje. Z kolei Ustawa o Krajowym Systemie Cyberbezpieczeństwa dostosowuje te wymogi do polskiego systemu prawnego, stawiając polskie firmy przed nowymi wyzwaniami i obowiązkami. W artykule przybliżymy główne założenia NIS2, omówimy, kogo obejmują te przepisy, oraz jakie kroki należy podjąć, aby zapewnić zgodność z nowymi regulacjami.

Podsumowanie projektu ustawy o KSC z dnia 3 października 2024 r.

I. Kryteria uznawania za podmiot kluczowy i podmiot ważny

  1. Podmiot kluczowy:
  2. a) Osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE.
  3. b) Przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy.
  4. c) Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy albo je przewyższa.
  5. d) Niezależnie od wielkości podmiotu:

– Dostawca usług DNS

– Kwalifikowany dostawca usług zaufania

– Podmiot krytyczny w rozumieniu dyrektywy CER

– Podmiot publiczny

– Podmiot zidentyfikowany jako podmiot kluczowy przez organ właściwy do spraw cyberbezpieczeństwa

– Państwowa osoba prawna zidentyfikowana jako podmiot kluczowy w sektorze podmiotów publicznych

– Podmiot wskazany z nazwy albo rodzaju w załączniku nr 1, niebędący przedsiębiorcą

– Operator obiektu energetyki jądrowej

– Rejestr nazw domen najwyższego poziomu (TLD)

 

  1. Podmiot ważny:
  2. a) Osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 lub nr 2 do ustawy, która spełnia wymogi dla średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE oraz nie jest podmiotem kluczowym.
  3. b) Niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą.
  4. c) Przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą.

 

  1. d) Podmiot zidentyfikowany jako podmiot ważny przez organ właściwy do spraw cyberbezpieczeństwa.
  2. e) Inwestor obiektu energetyki jądrowej, który uzyskał decyzję zasadniczą.
  3. f) Podmiot określony w załączniku nr 2 nazwą rodzajową, niebędący przedsiębiorcą.

Nie wiesz jak wdrożyć system wymagania NIS2 i spełnić wymagania Dyrektywy?

Jeżeli tak jest, to dobrze trafiłeś. Przeprowadzimy audyt wstępny, zweryfikujemy Twoje potrzeby w zakresie wymagań, a następnie pomożemy Ci spełnić wdrożyć odpowiednie zabezpieczenia organizacyjne, techniczne i fizyczne, optymalizując koszy całego projektu.

Kliknij i zapytaj o szczegóły

II. Obowiązki podmiotów kluczowych

    1. Wdrożenie systemu zarządzania bezpieczeństwem informacji obejmującego:
    2. a) Systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem
    3. b) Wdrożenie odpowiednich środków technicznych i organizacyjnych, w tym:

          – Polityki szacowania ryzyka i bezpieczeństwa systemu informacyjnego

          – Bezpieczeństwo w procesie nabywania, rozwoju i eksploatacji systemu informacyjnego

          – Bezpieczeństwo fizyczne i środowiskowe

          – Bezpieczeństwo zasobów ludzkich

          – Bezpieczeństwo łańcucha dostaw

          – Plany ciągłości działania i odtwarzania

          – Monitorowanie systemu informacyjnego

          – Polityki oceny skuteczności środków bezpieczeństwa

          – Edukację z zakresu cyberbezpieczeństwa

          – Podstawowe zasady cyberhigieny

          – Polityki kryptografii

          – Bezpieczne środki komunikacji elektronicznej

          – Zarządzanie aktywami

          – Polityki kontroli dostępu

    1. c) Zbieranie informacji o cyberzagrożeniach i podatnościach
    2. d) Zarządzanie incydentami
    3. e) Stosowanie środków zapobiegających i ograniczających wpływ incydentów

     

    1. Wyznaczenie kierownika odpowiedzialnego za cyberbezpieczeństwo
    2. Zapewnienie, że osoby realizujące zadania z zakresu cyberbezpieczeństwa nie były karane za przestępstwa przeciwko ochronie informacji
    3. Wyznaczenie co najmniej dwóch osób do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa
    4. Zapewnienie użytkownikom dostępu do wiedzy o cyberzagrożeniach
    5. Zgłaszanie incydentów poważnych do CSIRT sektorowego
    6. Dokumentowanie działań związanych z zarządzaniem ryzykiem i obsługą incydentów
    7. Przeprowadzanie audytu bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata
    8. Stosowanie się do poleceń zabezpieczających wydawanych przez ministra właściwego ds. informatyzacji
    9. Wycofanie produktów, usług i procesów ICT pochodzących od dostawców uznanych za dostawców wysokiego ryzyka
    10. Uczestnictwo w ćwiczeniach z zakresu cyberbezpieczeństwa organizowanych przez CSIRT
    11. Przekazywanie organom właściwym informacji niezbędnych do realizacji ich zadań

III. Obowiązki podmiotów ważnych

Podmioty ważne mają w zasadzie takie same obowiązki jak podmioty kluczowe, z następującymi różnicami:

 

  1. Mogą wyznaczyć jedną osobę do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa (zamiast dwóch)
  2. Nie mają obowiązku przeprowadzania regularnych audytów bezpieczeństwa (audyt może być zarządzony przez organ właściwy)
  3. Podlegają uproszczonemu systemowi nadzoru – tylko ex post (w przeciwieństwie do podmiotów kluczowych, które podlegają nadzorowi ex ante i ex post)
  4. Mają dłuższy termin na wycofanie produktów, usług i procesów ICT od dostawców wysokiego ryzyka (7 lat zamiast 5 lat)
  5. Podlegają niższym karom finansowym za naruszenia przepisów ustawy

Podsumowując, główna różnica polega na mniej rygorystycznym reżimie nadzorczym wobec podmiotów ważnych, przy zachowaniu większości obowiązków merytorycznych w zakresie cyberbezpieczeństwa.

Kogo dotyczy NIS2

Nowa dyrektywa jest wymogiem dla podmiotów zatrudniających minimum 50 osób, klasyfikowanych jako kluczowe i ważne z 18 sektorów w takich branżach jak:


Podmioty kluczowe wg NIS2 (zgodnie z załącznikiem I dyrektywy):

    • energetyka,
    • transport,
    • bankowość,
    • infrastruktura rynków finansowych,
    • opieka zdrowotna,
    • sektor wody pitnej,
    • ścieki,
    • infrastruktura cyfrowa,
    • zarządzanie usługami ICT,
    • administracja publiczna,
    • przestrzeń kosmiczna.


Podmioty ważne wg NIS2 (zgodnie z załącznikiem II dyrektywy):

    • usługi pocztowe i kurierskie,
    • gospodarowanie odpadami,
    • produkcja, przetwarzanie i dystrybucja chemikaliów,
    • produkcja, przetwarzanie i dystrybucja żywności,
    • produkcja (w szerokim znaczeniu),
    • usługi cyfrowe,
    • badania naukowe.




Nowość !!! DARMOWY WEBINAR

Jak wykorzystać AI w Zarzadzaniu jakością I Audytowaniu

Jeśli zależy Ci na przyspieszeniu procesów, efektywnym SZJ zgodnym z ISO 9001, najlepszym wykorzystaniu narzędzi i metod jakości oraz skuteczniejszych audytach, ten bezpłatny webinar jest dla Ciebie!

Zapisz się na webinar już teraz