Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nowe obowiązki dla przedsiębiorców – kogo dotyczą?
W sierpniu 2018 roku weszła w życie nowa ustawa nakładająca na wiele firm dodatkowe obowiązki oraz obciążenia finansowe. Mowa o ustawie o Krajowym Systemie Cyberbezpieczeństwa, uchwalonej w efekcie wprowadzenia europejskiej dyrektywy NIS (Network and Information Systems Directive). Jakie zapisy zostały zawarte w dokumencie i kogo one dotyczą?
Operatorzy usług kluczowych
Ustawa o Krajowym Systemie cyberbezpieczeństwa nie dotyczy wszystkich firm, a jedynie operatorów usług kluczowych, czyli strategicznych z punktu widzenia kraju. Za firmy wykonujące usługi kluczowe uznaje się te, które działają w następujących sektorach:
- infrastruktura cyfrowa
- przetwarzanie w chmurze
- internetowe platformy cyfrowe
- wyszukiwarki internetowe
- transport
- woda pitna
- finanse
- energetyka
- ochrona zdrowia
Według ustawodawcy system obejmie tylko największe firmy, zatrudniające ponad 50 osób. W sumie wezwanie do wprowadzenia systemu bezpieczeństwa ma otrzymać nieco ponad 500 firm. Jednak jak wskazują eksperci z Grant Thornton, szacunki te mogą być mocno zaniżone. Ich zdaniem z ustawy wynika, iż również najmniejsze firmy mogą zostać objęte jej zapisami. Co więcej, nawet uwzględniając jedynie największe podmioty, może się okazać, że ich liczba jest zdecydowanie większa. W tym miejscu ponownie powołamy się na specjalistów Grant Thornton, którzy wskazują, iż ustawodawca nie wymienia wielu firm, które podlegają ustawie. Przykładowo, wśród firm z sektora ochrony zdrowia wymienione są tylko szpitale, podczas gdy zdaniem ekspertów bezpodstawne jest wykluczanie pozostałych podmiotów. Na podstawie danych GUS specjaliści oszacowali, iż ustawie będzie się musiało podporządkować co najmniej 2 tys. firm, zakładając, iż obowiązek ten nie zostanie narzucony mniejszym przedsiębiorstwom, zatrudniającym mniej niż 50 pracowników.
Obowiązki i wdrożenie systemu
Wdrożenie systemu to obowiązek każdej firmy, która otrzyma powiadomienie o uznaniu jej za operatora usług kluczowych. Czas podporządkowania się decyzji to 3 miesiące. Wdrożenie i działanie systemu ma zostać poddane audytowi zewnętrznemu po 1 roku, następnie kontrole będą się odbywały co 2 lata. Najważniejsze obowiązki, które będą spoczywały na firmach to:
- regularny monitoring poziomu bezpieczeństwa
- przekazywanie informacji o naruszeniu cyberbezpieczeństwa wyznaczonym podmiotom
- zatrudnienie specjalisty z zakresu bezpieczeństwa teleinformatycznego
- utworzenie operacyjnego centrum bezpieczeństwa (SOC) – w postaci jednostki wewnętrznej lub zatrudnienia firmy zewnętrznej
- przeprowadzenie audytu raz na 2 lata
Powyższe obowiązki operatora usług kluczowych wiążą się oczywiście z pewnymi kosztami. Zatrudnienie specjalisty to koszt miesięczny rzędu co najmniej 5 tys. złotych brutto. Przeprowadzenie audytu to obciążenie w wysokości ok. 50 tys., utworzenie centrum operacyjnego to 1 mln, a jego utrzymanie to koszt nawet 2 mln złotych. Należy również pamiętać o ewentualnych karach nakładanych na firmy niedopełniające obowiązków. Ich zakres rozpościera się od 1 tys. do 200 tys. złotych.
Operatorzy usług kluczowych to często duże firmy dysponujące własnymi zabezpieczeniami, dzięki którym są gotowe na wdrożenie nowego systemu. Jednak wśród podmiotów objętych ustawą znajdą się również mniejsze firmy, dla których wprowadzenie zmian będzie wyzwaniem logistycznym i finansowym. Warto podjąć w tej kwestii współpracę z fachowcami, którzy pomogą zminimalizować koszty oraz uniknąć błędów skutkujących nałożeniem kary finansowych.
Szykaj
Kategorie
- Aktualności (1)
- Concierge (2)
- Doradztwo strategiczne (1)
- Opieka prawna (14)
- Poradnik (21)
- Pozostałe (11)
- Szkolenia (1)
- Upadłość konsumencka (2)
- Wdrożenia AML IV (2)
- Wdrożenia RODO (10)
- Zakończone szkolenia (9)
Archiuwm
- październik 2022
- styczeń 2022
- listopad 2021
- październik 2021
- maj 2021
- listopad 2020
- wrzesień 2020
- kwiecień 2020
- marzec 2020
- luty 2020
- lipiec 2019
- czerwiec 2019
- maj 2019
- kwiecień 2019
- marzec 2019
- styczeń 2019
- grudzień 2018
- październik 2018
- wrzesień 2018
- sierpień 2018
- lipiec 2018
- czerwiec 2018
- maj 2018
- kwiecień 2018
- marzec 2018
- luty 2018
- styczeń 2018