The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Jak spełnić wymagania wynikające z dyrektywy NIS?

28 sierpnia 2018 roku weszła w życie Ustawa o krajowym systemie cyberbezpieczeństwa, która wraz z towarzyszącymi jej rozporządzeniami wykonawczymi wdraża w Polsce wymagania unijne dotyczące cyberbezpieczeństwa sieci i systemów informatycznych określone w dyrektywie NIS (Network and Information Systems Directive). Celem Ustawy jest stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC), który umożliwi przeciwdziałanie zagrożeniom i skuteczne reagowanie w przypadku wystąpienia incydentów.

Kogo dotyczy Ustawa?

Ustawa wyróżnia dwa typy podmiotów, których dotyczą wprowadzone wymogi:

  • operatorów usług kluczowych, czyli m.in. przedsiębiorstwa z sektora energetycznego, przewoźników lotniczych i kolejowych, armatorów, szpitale, banki
  • dostawców usług cyfrowych, czyli internetowe platformy handlowe, dostawców usług przetwarzania w chmurze i wyszukiwarki internetowe

9.11.2018
termin decyzji o uznaniu podmiotu za operatora usług kluczowych

Co to oznacza dla zidentyfikowanych podmiotów podlegających ustawie?

24h
na zgłoszenie incydentu poważnego lub incydentu istotnego do właściwego CSIRT-u

Regularny audyt
bezpieczeństwa systemu informacyjnego operatorów usług kluczowych i dostawców usług cyfrowych

Do 1 mln zł kary za naruszenie przepisów ustawy

Operatorzy usług kluczowych będą zobowiązani m.in. do:

  • Prowadzenia systematycznego szacowania ryzyka oraz wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych z zakresu bezpieczeństwa systemów informatycznych.
  • Zbierania informacji o zagrożeniach i podatnościach na incydenty.
  • Obsługi, klasyfikacji i zgłaszania incydentu oraz usuwania podatności.
  • Stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów informatycznych niezbędnych dla świadczenia usługi kluczowej.
  • Powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcia umowy z pomiotem zewnętrznym w tym zakresie.
  • Przeprowadzenia audytu bezpieczeństwa systemu informatycznego co najmniej raz na 2 lata.
  • Opracowania, aktualizacji i nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej.
  • Wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Dostawcy usług cyfrowych będą zobowiązani m.in. do:

  • Wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych z zakresu bezpieczeństwa systemów informatycznych.
  • Podjęcia środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową.
  • Zarządzania incydentami – wykrywania, rejestrowania, analizowania, klasyfikowania, zgłaszania i obsługi incydentów, usuwania podatności.
  • Zarządzania ciągłością działania.
  • Monitorowania, audytu i testowania systemów informatycznych wykorzystywanych do świadczenia usługi cyfrowej.

Jakie ramy czasowe narzuca ustawa?

EY - Najważniejsze obowiązki operatorów usług

Czy jako operator usług kluczowych / dostawca usług cyfrowych:

  • jesteś świadomy swoich nowych obowiązków?
  • wdrożyłeś odpowiednie środki bezpieczeństwa?
  • potrafisz niezwłocznie wykryć incydent bezpieczeństwa IT i OT i wiesz jak go zgłosić?
  • znasz podatności swojego systemu i potrafisz je usunąć?
  • zaplanowałeś audyt bezpieczeństwa?
  • wiesz co powinieneś poprawić aby uniknąć kary?

Jak EY może pomóc?

Opracowanie oraz wsparcie przy wdrożeniu i utrzymaniu Systemu zarządzania bezpieczeństwem:

  • Strategia cyberbezpieczeństwa, polityki i struktura organizacyjna
  • Środki techniczne i organizacyjne obejmujące utrzymanie i bezpieczną eksploatację systemu informatycznego, bezpieczeństwo fizyczne i środowiskowe, kontrolę dostępu, bezpieczeństwo i ciągłość dostaw usług, wdrażanie, dokumentowanie i utrzymywanie planów działania, system monitorowania systemu informatycznego w trybie ciągłym
  • Środki zapobiegające i ograniczające wpływ incydentów (mechanizmy zapewniające poufność, integralność, dostępność i autentyczność danych, dbałość o aktualizację oprogramowania, działania po wykryciu podatności lub zagrożeń cyberbezpieczeństwa)
  • Procedury zarządzania incydentami
  • Centrum bezpieczeństwa operacyjnego (tzw. SOC) włączając oprogramowanie do zarządzania zdarzeniami i incydentami (SIEM)
  • Zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informatycznego
  • Plan ciągłości działania (tzw. BCP) oraz odtworzenia po sytuacji awaryjnej (tzw. DRP)
  • Procedury przekazywania informacji organowi właściwemu do spraw cyberbezpieczeństwa

Program zgodności z wymaganiami Ustawy o krajowym systemie cyberbezpieczeństwa oraz towarzyszących jej rozporządzeń wykonawczych:

  • Weryfikacja spełnienia wymagań wraz z oceną dojrzałości dla poszczególnych wymagań.
  • Wskazanie luk i niezgodności.
  • Opracowanie dopasowanych rekomendacji w celu wypełnienia / poprawy niespełnionych wymagań.
  • Ponowna weryfikacja wymagań po wprowadzeniu rekomendowanych środków / procedur / czynności.

Wdrożenia nowoczesnych narzędzi monitorowania infrastruktury IT i OT wspomagających wykrywanie incydentów cyberbezpieczeństwa:

  • Opracowanie koncepcji dopasowanej do monitorowanego środowiska zgodnie z wymaganiami i dobrymi praktykami / standardami.
  • Wsparcie przy wyborze dostawcy.
  • Wsparcie przy wdrożeniu narzędzi do monitorowania oraz zintegrowaniu ich z innymi narzędziami (np. typu SIEM, Firewall).

Świadczenie usług wsparcia dla infrastruktury IT i OT:

  • Usługa zewnętrznego Centrum bezpieczeństwa operacyjnego (SOC) lub wsparcie istniejącego SOC
  • Weryfikacja sprawności i szybkości reakcji na incydenty cyberbezpieczeństwa.

Audyt bezpieczeństwa Systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej obowiązkowego co dwa lata zgodnie z Art. 15 Ustawy o krajowym systemie cyberbezpieczeństwa:

  • Zastosowanie naszej wieloletniej praktyki w zakresie przeprowadzania audytów bezpieczeństwa systemów informatycznych – zarówno infrastruktury IT jak i OT.
  • Wsparcie audytorów EY, którzy legitymują się licznymi certyfikatami związanymi z audytami bezpieczeństwa systemów informatycznych, m.in. CISA, CISM i CISSP.

Dlaczego EY to najlepszy wybór?

Posiadamy wieloletnie doświadczenie w zakresie cyberbezpieczeństwa IT, OT oraz IoT. Nasz zespół uczestniczy w tworzeniu standardów dla operatorów infrastruktury krytycznej

Zrealizowaliśmy tysiące projektów związanych z bezpieczeństwem IT/OT/IoT dla lokalnych i międzynarodowych podmiotów, w tym dużych przedsiębiorstw z sektorów kluczowych, organów rządowych oraz agencji UE.

Mamy najlepszych na rynku ekspertów bezpieczeństwa IT/OT/IoT posiadających liczne certyfikaty, m.in. CISSP, CISA, CISM, ISO27001, GICSP, ISA / IEC 62443.

Osoby kontaktowe

EY - Kazimierz Klonecki
Kazimierz Klonecki

Lider obszaru zarządzania ryzykiem
Centralna i Południowo-Wschodnia Europa

kazimierz.klonecki@pl.ey.com
+48 505 105 080

EY - Piotr Ciepiela
Piotr Ciepiela

Lider bezpieczeństwa OT/IoT & Infrastruktury Krytycznej
EMEIA

piotr.ciepiela@pl.ey.com
+48 519 511 603

EY - Leszek Mróz
Leszek Mróz

Lider bezpieczeństwa OT/IoT
Centralna i Południowo-Wschodnia Europa

leszek.mroz@pl.ey.com
+48 513 135 736

EY - Wojciech Dańczyszyn
Wojciech Dańczyszyn

Menadżer, Zespół Zarządzania Ryzykiem IT
Centralna i Południowo-Wschodnia Europa

wojciech.danczyszyn@pl.ey.com
+48 502 782 692