Obowiązujące regulacje z zakresu cyberbezpieczeństwa

W dobie rosnących zagrożeń cyfrowych organizacje są zobowiązane do przestrzegania regulacji z zakresu cyberbezpieczeństwa, W Polsce kwestie te reguluje Krajowy System Cyberbezpieczeństwa (KSC) – jest to kompleksowa struktura zaprojektowana w celu zapewnienia ochrony cyberprzestrzeni państwa. Jego głównym celem jest zapewnienie wysokiego poziomu bezpieczeństwa usług kluczowych oraz cyfrowych, skuteczne reagowanie na incydenty w cyberprzestrzeni oraz ochrona interesów obywateli, instytucji i przedsiębiorstw przed zagrożeniami cybernetycznymi.

Dodatkowo kwestie szeroko rozumianego bezpieczeństwa IT i cyberbezpieczeństwa są w naszym kraju regulowane poszczególnymi dyrektywami i normami, których spełnienie jest wymagane nie tylko przez Polskie, ale też prawo Unii Europejskiej.

Najważniejsze z nich to:

NIS2 (Network and Information Security Directive 2) to nowa dyrektywa Unii Europejskiej, która zastępuje dyrektywę NIS z 2016 roku. Ma na celu wzmocnienie cyberbezpieczeństwa w państwach członkowskich UE, zwiększając zakres regulacji oraz obowiązki przedsiębiorstw i instytucji publicznych w zakresie ochrony systemów informatycznych.

Dyrektywa NIS2

Kogo dotyczy NIS2?

Dyrektywa obejmuje dwa typy podmiotów:

1. Podmioty kluczowe:
   • Energia (elektrownie, sieci)
   • Transport (koleje, lotniska)
   • Bankowość i infrastruktura finansowa
   • Opieka zdrowotna (szpitale)
   • Woda pitna i ścieki
   • Administracja publiczna
2. Podmioty ważne:
   • Usługi pocztowe i kurierskie
   • Zarządzanie odpadami
   • Produkcja (np. farmaceutyki, chemia)
   • Spożywcza, cyfrowa infrastruktura, MSP w sektorze wysokiego ryzyka\

Główne obowiązki podmiotów objętych NIS2

• Wdrożenie systemów zarządzania ryzykiem cybernetycznym
• Zgłaszanie incydentów bezpieczeństwa (wstępne do 24h, końcowe do 72h)
• Szkolenie pracowników w zakresie cyberbezpieczeństwa
• Ocena łańcucha dostaw i zarządzanie ryzykiem u dostawców
• Współpraca z organami nadzorczymi
• Audyty cykliczne i kontrolne

 Sankcje za nieprzestrzeganie NIS2

• Kary administracyjne: do 10 mln euro lub 2% globalnych przychodów (w zależności co wyższe)
• Odpowiedzialność osobista: możliwość zawieszenia członków zarządu za rażące zaniedbania
• Możliwe są też kary reputacyjne – wpisy do publicznych rejestrów

 NIS2 a Polska: nowelizacja ustawy o KSC

Polska przygotowuje się do implementacji NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Zmiany obejmą m.in.:

• Rozszerzenie katalogu podmiotów objętych regulacją
• Nowe kompetencje dla CSIRT i organów właściwych
• Obowiązek identyfikacji podmiotów kluczowych i ważnych

DORA

DORA (Digital Operational Resilience Act) to rozporządzenie Unii Europejskiej, które ma na celu zapewnienie, że wszyscy uczestnicy rynku finansowego w UE są w stanie wytrzymać i skutecznie reagować na incydenty związane z cyberbezpieczeństwem oraz inne zakłócenia operacyjne.

Cel DORA

DORA ma ujednolicić i wzmocnić zasady odporności cyfrowej w całym sektorze finansowym UE, w tym:

• Ochrona przed cyberatakami
• Zarządzanie ryzykiem ICT (Information and Communication Technology)
• Reagowanie na incydenty i zakłócenia
• Współpraca z dostawcami usług ICT (np. chmury obliczeniowej)

Kogo dotyczy DORA?

DORA obejmuje ponad 20 typów podmiotów z sektora finansowego, w tym:

• Banki
• Firmy inwestycyjne
• Towarzystwa ubezpieczeniowe i reasekuracyjne
• Fundusze inwestycyjne i emerytalne
• Instytucje płatnicze
• Biura maklerskie
• Dostawców usług kryptowalutowych
• Infrastruktury rynkowe (np. giełdy, izby rozliczeniowe)
• Dostawców usług ICT (np. chmury, analityki big data, dostawców oprogramowania) – podlegają również nadzorowi, jeśli świadczą usługi krytyczne

Główne obowiązki wynikające z DORA

1. Zarządzanie ryzykiem ICT
   • Obowiązek opracowania i wdrożenia strategii zarządzania ryzykiem ICT
   • Regularne testowanie i aktualizowanie systemów
   • Monitorowanie podatności i stosowanie łatek bezpieczeństwa
2. Zgłaszanie incydentów
   • Obowiązek zgłoszenia poważnych incydentów ICT do odpowiednich organów nadzorczych
   • Jasne ramy czasowe i struktura raportowania
3. Testowanie odporności cyfrowej
   • Regularne testy (w tym testy penetracyjne z udziałem podmiotów zewnętrznych dla dużych instytucji)
   • Sprawozdania z testów dla organów nadzoru
4. Zarządzanie dostawcami usług ICT
   • Nowe zasady dotyczące outsourcingu i korzystania z usług stron trzecich
   • Obowiązek zawierania odpowiednich umów, które gwarantują dostęp do informacji, kontroli i audytu
   • Obowiązek identyfikacji tzw. „krytycznych dostawców ICT”
5. Współpraca i wymiana informacji
   • Zachęta do uczestnictwa w dobrowolnych grupach wymiany informacji o zagrożeniach (threat intelligence sharing)

Sankcje za nieprzestrzeganie DORA

• • Kara może sięgnąć do 2% rocznych obrotów globalnych firmy

• Dodatkowo: ograniczenia działalności, cofnięcie licencji, nakazy restrukturyzacji systemów

Norma ISO/IEC 27001

Norma ISO/IEC 27001 to międzynarodowa norma dotycząca zarządzania bezpieczeństwem informacji. Określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu, który pomaga chronić dane przed zagrożeniami, np. kradzieżą, utratą czy nieautoryzowanym dostępem.

Obecnie obowiązująca wersja normy to: ISO/IEC 27001:2022

Cel normy ISO 27001

Umożliwienie organizacjom systematycznego zarządzania informacjami w celu zapewnienia ich:

• poufności
• integralności
• dostępności

Kluczowe elementy ISO 27001

1. Analiza ryzyka
   • Identyfikacja i ocena zagrożeń dla informacji
   • Zarządzanie ryzykiem i stosowanie odpowiednich zabezpieczeń
2. Polityki i procedury
   • Określenie zasad przetwarzania informacji i kontroli dostępu
3. Kontrole bezpieczeństwa
   • Fizyczne, techniczne i organizacyjne środki bezpieczeństwa
4. Szkolenia i świadomość
   • Regularne szkolenia dla personelu
5. Ciągłe doskonalenie
   • Audyty wewnętrzne, przeglądy zarządzania, działania korygujące
6. Plan działania
   • Wskazanie, które z 93 zabezpieczeń (w wersji 2022) organizacja wdrożyła i dlaczego

 Korzyści z wdrożenia ISO 27001

• Lepsza ochrona danych klientów, pracowników i firmy
• Zwiększenie zaufania partnerów i klientów
• Spełnienie wymogów prawnych i regulacyjnych (np. RODO, DORA, NIS2)
• Usprawnienie zarządzania incydentami bezpieczeństwa
• Możliwość uzyskania certyfikacji przez niezależną jednostkę

Jeśli dotyczy cię któraś z powyższych regulacji, lub chciałbyś spełnić standardy normy ISO 27001 zapraszamy do kontaktu w celu kompleksowego wsparcia w tym zakresie. Już teraz możesz zobaczyć jak Network Expert wspiera firmy i organizacje w ralizacji regulacji cyberbezpieczeństwa.