MFA i Dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa
To punkt, który niewątpliwie wzbudzał największe kontrowersje w przypadku każdej kolejnej próby nowelizacji. W projekcie zawarto regulacje dotyczące możliwości wskazania dostawcy wysokiego ryzyka (HRV), co ma się odbywać w drodze decyzji administracyjnej podjętej przez ministra cyfryzacji. Dyrektywa w sprawie bezpieczeństwa sieci i informacji NIS2 jest prawdopodobnie jednym z najważniejszych aktów prawnych dotyczących cyberbezpieczeństwa, jakie kiedykolwiek weszły w życie w Europie. 27 państw członkowskich UE ma czas do 17 października 2024 r.
Analiza ryzyka i bezpieczeństwo systemów informatycznych:
- Ważnym obowiązkiem dla CSIRT sektorowych w przypadku przyjęcia wczesnego ostrzeżenia o incydencie poważnym jest przekazanie podmiotowi zgłaszającemu wytycznych dotyczących wdrożenia odpowiednich środków lub udzielenie wsparcia technicznego.
- Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych.
- Jeżeli jest to w interesie publicznym, CSIRT lub odpowiedni właściwy organ może poinformować opinię publiczną o poważnym incydencie lub zobowiązać do tego Twoją firmę.
- Wypełnienie tych obowiązków będzie obwarowane wysokimi karami i osobistą odpowiedzialnością kadry kierowniczej.
- Inwestowanie w wiedzę i umiejętności z zakresu cyberbezpieczeństwa jest fundamentem budowania odporności na ataki i przygotowania na przyszłe wyzwania w tym zakresie.
W Polskiej Izbie Przemysłu Chemicznego pracuje od sierpnia 2020 roku. Za organizację pracy Sekretariatu oraz pionu administracyjnego. W PIPC zajmuje się opracowywaniem materiałów informacyjno-promocyjnych, wspiera działania komunikacyjne oraz przygotowywanie materiałów merytorycznych, a także koordynuje procedurę przyznawania patronatów na wydarzenia zewnętrzne. Ponadto zajmuje się wsparciem przy organizacji kluczowych wydarzeń i projektów związanych z działalnością PIPC, jak chociażby Kongres Polska Chemia, Program “Bezpieczna Chemia”, Chemia 4.0 i inne. Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w powyższym formularzu w celu zbierania anych przez PIPC oraz przez podmioty trzecie. Prace nad przygotowaną przez rząd ustawą prowadzono w trybie pilnym.
Proces zgłaszania incydentów
W PIPC odpowiada za całokształt prac Pionu Projektów i Komunikacji. Koordynuje działania związane z realizacją wszystkich projektów wewnętrznych oraz zewnętrznych, komunikacją, utrzymywaniem relacji z różnymi grupami interesariuszy, public affairs, oraz działaniami wizerunkowymi. Obecnie jest członkiem National Association Board (NAB) w Europejskiej Radzie Przemysłu Chemicznego (CEFIC), gdzie reprezentuje 7 krajów w Klastrze Europy Centralnej (Polski, Słowacji, Węgier, Republiki Czeskiej, Rumunii, Bułgarii Chorwacji). Zasiada w Zarządzie European Chemical Employers Group (ECEG), a także Advisory Board, organizacji World Refining Association.
Nasz poradnik przedstawia główne założenia dyrektywy NIS2
Kolejnym krokiem jest wdrożenie dyrektywy do krajowych porządków prawnych – państwa mają na to czas do 17 października 2024 r. Polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa ma służyć realizacji tego wymogu. W związku z tym, rozszerza on krąg podmiotów objętych przepisami ustawy oraz katalog obowiązków, które powinny one spełniać. W nowelizacji przewidziano również utworzenie nowych struktur realizujących zadania z zakresu cyberbezpieczeństwa oraz wdrożenie nowych kanałów komunikacyjnych. Nowe przepisy uszczegóławiają także zasady w zakresie nadzoru i egzekwowania przepisów. O ile już teraz obowiązek ten dotyczy niektórych jednostek, to jednak po Nowelizacji krąg podmiotów nim objętych zostanie znacznie rozszerzony.
Kiedy przyjęcie nowelizacji KSC?
Absolwent Technologii Chemicznej na Wydziale Budownictwa, Mechaniki i Petrochemii w Płocku, Politechniki Warszawskiej oraz Podyplomowych Studiów Zarządzania Finansami i Marketingu na Politechnice Warszawskiej. Uzyskał ponadto tytuł Master of Business Administration programu PL i University of Illinois at Urbana Przyczyny i konsekwencje poślizgo Forex Champion. Ukończył Strategic Business Management Program na Harvard University Extension School. Ekspert sektora chemicznego z wieloletnim stażem pracy na stanowiskach menadżerskich. W najważniejszych spółkach sektora chemicznego i petrochemicznego w Polsce i Europie Środkowej oraz w sektorze doradczym.
MFA i Dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa
W praktyce firmy muszą zapewnić sobie kompetentny sztab specjalistów zdolnych do obsługi i utrzymania cyfrowych działań operacyjnych. Projekt przewiduje szereg zmian w ustawie o krajowym systemie cyberbezpieczeństwa („dalej „Ustawa o KSC”). Wejście w życie nowelizacji Ustawy o KSC ma być skorelowane czasowo z nową ustawą Prawo komunikacji elektronicznej, która zastąpiłaby dotychczasową ustawę Prawo telekomunikacyjne i z którą nowa Ustawa o KSC będzie częściowo powiązana. Podmioty, które już teraz spełniają przesłanki uznania za podmioty kluczowe i ważne będą miały na wdrożenie nowych przepisów 6 miesięcy od dnia wejścia w życie nowelizacji.
1, z tym że kara ta może być wymierzona w kwocie nie większej niż 200 % jego miesięcznego wynagrodzenia. W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów. Może on jednak odstąpić od przekazania takiej informacji, jeżeli utrudniłoby to natychmiastowe działanie Główny problem agenta w polityce w celu zapobieżenia incydentom, reakcji na nie lub mogłoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny. W nowelizacji został dodany zupełnie nowy w stosunku do obowiązującej wersji ustawy rozdział 13a, dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę (dalej w tekście jako ,,Krajowy plan”).
Ponadto KSC wprowadza obowiązek regularnych audytów i testów penetracyjnych mających na celu identyfikację, a następnie eliminację słabych punktów systemów informatycznych. Podniesienie standardów bezpieczeństwa następuje również poprzez implementację rygorystycznych wymogów dotyczących zabezpieczeń, w szczególności w strategicznych dla funkcjonowania państwa sektorach, takich jak energetyka, transport, finanse czy ochrona zdrowia. Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, realizujący zadanie publiczne zależne od systemu informacyjnego może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. Informacje te przekazywane są w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji. Jak przekazał wiceminister cyfryzacji Paweł Olszewski, resort zakłada przyjęcie przepisów do końca roku. Miesiąc przewidziano na wejście przepisów w życie; a 6 miesięcy to czas, jaki otrzymają podmioty kluczowe i ważne na dostosowanie się do regulacji.
Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów. Obowiązkiem jest także zawarcie analizy treści wydanych przez Pełnomocnika Rządu ds. Zgodnie z projektem nowelizacji minister właściwy do spraw informatyzacji udostępnia w swoim Biuletynie Informacji Publicznej minimalne wymagania techniczne i funkcjonalne korzystania z systemu S46.
Projekt nowelizacji ustawy, podobnie jak dyrektywa NIS 2, zakłada samoidentyfikację podmiotów, które zobowiązane są następnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych. Nowe przepisy umożliwiają jednak wpisanie określonego podmiotu do wykazu, jeżeli nie złożył on wniosku o wpis, a spełnia przesłanki uznania go za kluczowy lub ważny. Dyrektywa NIS2 (Network and Information Systems Directive 2) to akt prawny, który ustanawia ogólne Cechy rynku towarów rolnych standardy cyberbezpieczeństwa dla kluczowych jednostek w Unii Europejskiej. Jest to aktualizacja pierwotnej dyrektywy NIS z 2016 r., mająca na celu dostosowanie przepisów do dynamicznie zmieniającego się środowiska cyfrowego i rosnącego zagrożenia cyberatakami. NIS2 wprowadza nowe zasady bezpieczeństwa dla operatorów usług kluczowych w sektorach takich jak energetyka, bankowość i opieka zdrowotna, obejmując zarówno sektor publiczny, jak i prywatny.
Różnice te wynikają z unikalnych kwestii legislacyjnych związanych z cyfryzacją, które są implementowane w Polsce i innych krajach Unii Europejskiej. Przykładem jest nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), mająca na celu dostosowanie przepisów do szybko zmieniającego się środowiska cyberzagrożeń i wzmocnienie bezpieczeństwa infrastruktury krytycznej. Do 17 października 2024 roku, 40 tysięcy firm z 18 sektorów musi przygotować się do wdrożenia dyrektywy NIS 2, co wymusza na nich inwestycje w zaawansowane technologie i zatrudnianie specjalistów IT. To sprawia, że zapotrzebowanie na kadry w Europie znacząco różni się od trendów obserwowanych w innych częściach świata. Oto kilka przypadków użycia, które pozwalają na zastosowanie odpowiednio zaawansowanego rozwiązania MFA do spełnienia wymienionych wczesniej wymagań dyrektywy NIS2 i odpowiadającym jej wymaganiom w ustawie o krajowym systemie cyberbezpieczeństwa.
Toolbox 5G wymaga transponowania przez kraje członkowskie, które mają wiele swobody co do jego wdrożenia. Powyższa kwestia jest o tyle istotna, że konsekwencją określenia przez Kolegium poziomu ryzyka danego dostawcy jako wysokiego jest zakaz wprowadzania do użytkowania sprzętu, oprogramowania czy usług oferowanych przez tego dostawcę i obowiązek wycofania z użytku ww. Taka sankcja może w praktyce wykluczyć danego dostawcę z rynku, ponieważ będzie obejmowała nie tylko zakaz wprowadzania do obrotu, lecz również zakaz używania sprzętu, oprogramowania czy usług oferowanych przez danego dostawcę.
Przepisy dopuszczają także możliwość przeprowadzenia oceny bezpieczeństwa przez CSIRT sektorowy za zgodą właściwego CSIRT poziomu krajowego, przy zachowaniu wymogu poinformowania organu właściwego dla danego sektora. Zintegrowany system bieżącego zarządzania bezpieczeństwem Cyberprzestrzeni RP ma za zadanie zapewnienie informacji o bieżącym stanie bezpieczeństwa teleinformatycznego niezbędnego do oceny sytuacji i stanu bezpieczeństwa cyberprzestrzeni w Polsce. System będzie dokonywał powyższej oceny na podstawie zarejestrowanych incydentów pochodzących z kluczowych sektorów gospodarki oraz korelacji i analiz własnych.