Dlaczego cyberbezpieczeństwo ma znaczenie? 

Digitalizacja oraz przetwarzanie dużej ilości danych oznacza wzrost znaczenia wdrożenia przez organizacje adekwatnego, wewnętrznego systemu cyberbezpieczeństwa. Przestępcy oraz nieuczciwi konkurenci na stale zadomowili się w cyberprzestrzeni. W ostatnich latach mamy także do czynienia ze wzrostem liczby oraz wyrafinowaniem cyberataków. Z drugiej strony, działalność organizacji w dużej mierze opiera się o cyfrowe procesy i infrastrukturę. W związku z coraz rzadszą pracą z biura, pracownicy wyjątkowo często korzystają z własnych urządzeń elektronicznych w celach służbowych. Incydenty cyberbezpieczeństwa mogą mieć negatywny wpływ na reputację organizacji oraz mogą spowodować utratę kontroli nad istotnymi informacjami poufnymi.

Jednocześnie zagęszcza się otoczenie regulacyjne – coraz więcej aktów prawnych i wytycznych organów nadzoru dotyczy, pośrednio lub bezpośrednio, cyberbezpieczeństwa. Katarzyna Szczudlik i Jakub Kubalski, partnerzy odpowiedzialni w SSW za praktykę cyberbezpieczeństwa, łączą dogłębną znajomość wszelkich regulacji, które mają znaczenie dla cyberbezpieczeństwa, z praktycznymi doświadczeniami we wdrażaniu odpowiednich polityk i procedur wewnętrznych w organizacjach z różnych sektorów, m.in. energetycznego, telekomunikacyjnego i finansowego. Praktyka cyberbezpieczeństwa SSW współpracuje z doradcami IT, zwłaszcza w zakresie pentestów i wdrażania rozwiązań technicznych

DORA – istotne dla instytucji finansowych 

Unijne rozporządzenie zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości w sektorze finansowym – Projekt Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE ) nr 1060/2009, (UE ) nr 648/2012, (UE ) nr 600/2014, (UE ) nr 909/2014 oraz (UE ) 2016/1011 („DORA”). Rozporządzenie rozpocznie stosowanie po upływie 24 miesięcy od jego wejścia w życie, czyli od 17 stycznia 2025 roku.

Kogo obejmie DORA?

  • Instytucje finansowe, w tym m.in.:
    • instytucje kredytowe i płatnicze;
    • dostawców świadczących usługę dostępu do informacji o rachunku;
    • instytucje pieniądza elektronicznego;
    • dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia w sprawie rynków kryptoaktywów;
    • emitentów tokenów powiązanych z aktywami;
  • Zarządzających alternatywnymi funduszami inwestycyjnymi;
  • Spółki zarządzające;
  • Zewnętrznych dostawców usług technologii informacyjno-telekomunikacyjnych („information and communication technologies” – ICT)

Należy przy tym zaznaczyć, że dokładne definicje powyższych podmiotów znajdują się w DORA oraz powiązanych aktach prawnych, do których odniesienia znajdują się w DORA, tj. MICA.

Zgodnie z DORA wyżej wymienione podmioty powinny:

  • wprowadzić ramowe zasady zarządzania ryzkiem ICT ;
  • używać i utrzymywać zaktualizowane systemy ICT ;
  • utworzyć i wdrożyć polityki i procedury związane z bezpieczeństwem ICT ;
  • utworzyć i wdrożyć procedury, które pozwolą zarządzać incydentami związanymi
  • z ICT ;
  • » zgłaszać poważne incydenty związane z ICT do odpowiednich organów
  • w czasie uzależnionym od sytuacji;
  • » przeprowadzać regularne testy operacyjnej odporności cyfrowej.

Niedopełnienie obowiązków skutkować może użyciem przez organy nadzorcze środków zapobiegawczych (zakaz prowadzenia działalności, publiczne ogłoszenie sankcji) i nałożeniem administracyjnych kar pieniężnych.

Z uwagi na okoliczność, że DORA jest rozporządzeniem unijnym, będzie stosowana bezpośrednio we wszystkich państwach UE.

NIS2 – objęcie regulacją cyberbezpieczeństwa nowych sektorów gospodarki

27 grudnia 2022 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE ) 016/1148 („NIS2”). Od wejścia dyrektywy w życie, państwa członkowskie będą miały 21 miesięcy na jej wprowadzenie do krajowych porządków prawnych – termin upływa 16 października 2024 roku.

Kogo obejmie NIS2? („Podmioty NIS2”)

Podmioty kluczowe z następujących sektorów:

  • energetyka;
  • transport;
  • bankowość;
  • infrastruktura rynków finansowych;
  • opieka zdrowotna;
  • woda pitna;
  • ścieki;
  • infrastruktura cyfrowa;
  • zarządzanie usługami ICT ;
  • administracja publiczna;
  • przestrzeń kosmiczna.

Podmioty ważne z następujących sektorów:

  • usługi pocztowe i kurierskie;
  • gospodarowanie odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja;
  • usługi cyfrowe;
  • badania naukowe.

Najważniejsze postanowienia NIS2: 

Wprowadzono obowiązki organów zarządzających Podmiotów NIS2:

  • zatwierdzanie środków zarządzania ryzykiem w zakresiecyberbezpieczeństwa;
  • nadzorowanie wdrażania środków zarządzania ryzykiem;
  • uczestnictwo w regularnych szkoleniach dotyczących rozumieniai oceny ryzyka związanego z cyberbezpieczeństwem;
  • ponoszenie odpowiedzialności za nieprzestrzeganie postanowień dyrektywy;
 

Wprowadzono dla Podmiotów NIS2 obowiązek wprowadzenia środków zarządzania ryzykiem w cyberprzestrzeni:

  • analiza ryzyka i polityka bezpieczeństwa systemów informacyjnych;
  • procedura postępowania w przypadku incydentów (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);
  • ciągłość działania i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym bezpieczeństwo stosunków między Podmiotem NIS2 a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich identyfikacja;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych;

Nałożenie na Podmioty NIS2 obowiązku zgłaszania istotnych incydentów właściwym organom w ciągu 24 godzin od uzyskania informacji o incydentach istotnych.

Podmioty NIS2 naruszające obowiązki wynikające z NIS2 będą podlegały administracyjnym karom pieniężnym w wysokości do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. NIS2 jako dyrektywa pozostawia organom krajowym swobodę wyboru formy i środków jej wdrożenia do krajowego systemu prawnego (nie musi być stosowana bezpośrednio).

Aby zapewnić zgodność z nowoprzyjętymi przepisami po ich wejściu w życie, podmioty, które zostaną objęte DORA i NIS2 powinny:

  1. przygotować odpowiednie polityki i procedury odpowiadające wymogom wynikającym z tych aktów prawnych;
  2. egzekwować ich przestrzeganie;
  3. wdrożyć odpowiednie programy szkoleniowe m.in. dla pracowników.

Jeżeli działalność Państwa organizacji objęta jest powyższymi aktami prawnymi lbo chcieliby Państwo zweryfikować ewentualność takiej kwalifikacji, zapraszamy do kontaktu.

28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. 

28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. 

Ustawa wdrożyła do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS1). Nowe regulacje nałożyły liczne obowiązki na wiele podmiotów: operatorów usług kluczowych (podmioty z sektora energetyki, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, dostawcy i dystrybutorzy wody pitnej lub zaopatrzenia w infrastrukturę cyfrową) i dostawców usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe).

Co robimy?

  • Audyty cyberbezpieczeństwa
  • Wsparcie przy mapowaniu i szacowaniu ryzyka
  • Projektowanie strategii cyberbezpieczeństwa dla podmiotów korzystających z chmury obliczeniowej
  • Przygotowanie i wdrożenie procedur i regulaminów bezpieczeństwa informatycznego
  • Doradztwo przy ustanawianiu zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), określaniu obowiązków zespołów
  • Przygotowanie polityk BYOD
  • Bieżące doradztwo przy reagowaniu na incydenty bezpieczeństwa (hot-desk – 24/7) – analiza w kierunku ew. działań przed organami ścigania, administracji publicznej, dostawców i usługodawców IT
  • Opracowywanie, na podstawie wewnętrznych polityk i procedur, praktycznych checklist postępowania w przypadku wystąpienia cyberataków
  • Prowadzenie szkoleń w zakresie cyberbezpieczeństwa
 

Skontaktuj się z nami

Katarzyna Szczudlik, FIP, LLM, CIPP/E, CIPM

Katarzyna Szczudlik, FIP, LLM, CIPP/E, CIPM

Partner

Kontakt

więcej
Jakub Kubalski

Jakub Kubalski

Partner

Kontakt

więcej

Formularz kontaktowy

    Administratorem Twoich danych osobowych jest SSW Pragmatic Solutions Spaczyński, Szczepaniak, Okoń sp.k. z siedzibą przy ulicy Rondo ONZ 1, P. 12, 00-124 Warszawa. Twoje dane osobowe umieszczone przez Ciebie w formularzu przetwarzane są w celu umożliwienia kontaktu z nami. Szczegóły na temat tego, jak przetwarzamy Twoje dane osobowe, w tym na temat przysługujących Ci praw wobec Twoich danych osobowych, znajdziesz w polityce prywatności umieszczonej pod tym linkiem Polityka prywatności.



    Jeżeli jesteś zainteresowany uzyskiwaniem ofert oraz materiałów o produktach i usługach SSW Pragmatic Solutions Spaczyński, Szczepaniak, Okoń sp.k. prosimy, wyraź zgodę na przesyłanie Ci takich materiałów: