Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa do 9 listopada br. mają czas na podjęcie decyzji odnośnie podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.

W terminie zaledwie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.

Dla większości dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem, jak również sprawnego procesu zarządzania incydentami, zapewniającego szybką analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Wdrożenie powyższych obowiązków nie będzie oznaczało końca spełniania wymagań nałożonych ustawą o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będą bowiem zobowiązani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu operatorzy usług kluczowych, będą zobowiązani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.

Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Jakub Malczewski, e-mail: jmalczewski@kpmg.pl, tel.: (22) 528 15 72 lub 605 511 308

Patrycja Kowalczyk, e-mail: patrycjakowalczyk@kpmg.pl, tel.: (22) 528 11 87 lub 664 718 676

Krzysztof Krzyżanowski, e-mail: kkrzyzanowski@kpmg.pl, tel.: (22) 528 11 14 lub 508 047 582