W sierpniu 2018 roku weszła w życie nowa ustawa nakładająca na wiele firm dodatkowe obowiązki oraz obciążenia finansowe. Mowa o ustawie o Krajowym Systemie Cyberbezpieczeństwa, uchwalonej w efekcie wprowadzenia europejskiej dyrektywy NIS (Network and Information Systems Directive). Jakie zapisy zostały zawarte w dokumencie i kogo one dotyczą?

Operatorzy usług kluczowych

Ustawa o Krajowym Systemie cyberbezpieczeństwa nie dotyczy wszystkich firm, a jedynie operatorów usług kluczowych, czyli strategicznych z punktu widzenia kraju. Za firmy wykonujące usługi kluczowe uznaje się te, które działają w następujących sektorach:

  • infrastruktura cyfrowa
  • przetwarzanie w chmurze
  • internetowe platformy cyfrowe
  • wyszukiwarki internetowe
  • transport
  • woda pitna
  • finanse
  • energetyka
  • ochrona zdrowia

Według ustawodawcy system obejmie tylko największe firmy, zatrudniające ponad 50 osób. W sumie wezwanie do wprowadzenia systemu bezpieczeństwa ma otrzymać nieco ponad 500 firm. Jednak jak wskazują eksperci z Grant Thornton, szacunki te mogą być mocno zaniżone. Ich zdaniem z ustawy wynika, iż również najmniejsze firmy mogą zostać objęte jej zapisami. Co więcej, nawet uwzględniając jedynie największe podmioty, może się okazać, że ich liczba jest zdecydowanie większa. W tym miejscu ponownie powołamy się na specjalistów Grant Thornton, którzy wskazują, iż ustawodawca nie wymienia wielu firm, które podlegają ustawie. Przykładowo, wśród firm z sektora ochrony zdrowia wymienione są tylko szpitale, podczas gdy zdaniem ekspertów bezpodstawne jest wykluczanie pozostałych podmiotów. Na podstawie danych GUS specjaliści oszacowali, iż ustawie będzie się musiało podporządkować co najmniej 2 tys. firm, zakładając, iż obowiązek ten nie zostanie narzucony mniejszym przedsiębiorstwom, zatrudniającym mniej niż 50 pracowników.

Obowiązki i wdrożenie systemu

Wdrożenie systemu to obowiązek każdej firmy, która otrzyma powiadomienie o uznaniu jej za operatora usług kluczowych. Czas podporządkowania się decyzji to 3 miesiące. Wdrożenie i działanie systemu ma zostać poddane audytowi zewnętrznemu po 1 roku, następnie kontrole będą się odbywały co 2 lata. Najważniejsze obowiązki, które będą spoczywały na firmach to:

  • regularny monitoring poziomu bezpieczeństwa
  • przekazywanie informacji o naruszeniu cyberbezpieczeństwa wyznaczonym podmiotom
  • zatrudnienie specjalisty z zakresu bezpieczeństwa teleinformatycznego
  • utworzenie operacyjnego centrum bezpieczeństwa (SOC) – w postaci jednostki wewnętrznej lub zatrudnienia firmy zewnętrznej
  • przeprowadzenie audytu raz na 2 lata

Powyższe obowiązki operatora usług kluczowych wiążą się oczywiście z pewnymi kosztami. Zatrudnienie specjalisty to koszt miesięczny rzędu co najmniej 5 tys. złotych brutto. Przeprowadzenie audytu to obciążenie w wysokości ok. 50 tys., utworzenie centrum operacyjnego to 1 mln, a jego utrzymanie to koszt nawet 2 mln złotych. Należy również pamiętać o ewentualnych karach nakładanych na firmy niedopełniające obowiązków. Ich zakres rozpościera się od 1 tys. do 200 tys. złotych.

Operatorzy usług kluczowych to często duże firmy dysponujące własnymi zabezpieczeniami, dzięki którym są gotowe na wdrożenie nowego systemu. Jednak wśród podmiotów objętych ustawą znajdą się również mniejsze firmy, dla których wprowadzenie zmian będzie wyzwaniem logistycznym i finansowym. Warto podjąć w tej kwestii współpracę z fachowcami, którzy pomogą zminimalizować koszty oraz uniknąć błędów skutkujących nałożeniem kary finansowych.