Ustawa o krajowym systemie cyberbezpieczeństwa – jak się przygotować?
Wiele firm nie skończyło jeszcze projektów dostosowujących do wymagań RODO, a już czekają na nie kolejne wyzwania. 28 sierpnia br. wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca wymagania europejskiej dyrektywy NIS. Wiele polskich przedsiębiorstw z niepokojem oczekuje decyzji tzw. organów właściwych ds. cyberbezpieczeństwa (czyli określonych w ustawie ministerstw i regulatorów) odnośnie wpisania podmiotów do rejestru operatorów usług kluczowych. Decyzje te zostaną podjęte do 9 listopada 2018 r. Od tego momentu zaczyna nieubłagalnie tykać zegar, odliczający narzucone przez ustawę terminy jej obowiązywania. A terminy te nie są odległe.
Co w pierwszej kolejności należy zrobić?
W terminie zaledwie trzech miesięcy operatorzy usług kluczowych będą musieli:
- powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (ew. wsparte usługami zewnętrznymi na podstawie podpisanych umów outsourcingowych),
- wdrożyć program systematycznej analizy ryzyka i zarządzania ryzykiem,
- uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie nieprzekraczającym 24 godzin od ich wykrycia,
- wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa,
- wdrożyć program edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa.
Dla większości z dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale dla mniejszych podmiotów lub firm z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa może stanowić to duży problem. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe.
Dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem. Warto pamiętać, że punktem wyjścia do analizy ryzyka (jak zresztą i wielu innych kluczowych procesów zarządzania cyberbezpieczeństwem) jest inwentaryzacja zasobów informatycznych. A jest to niestety pięta achillesowa wielu polskich korporacji.
Termin 24 godzin na zgłoszenie incydentu to wyzwanie dla każdej organizacji. Wymaga bardzo sprawnie działającego procesu zarządzania incydentami, który w wielu firmach nie został formalnie wdrożony i nie jest regularnie testowany. W celu odpowiednio szybkiej klasyfikacji takiego incydentu, konieczny jest uporządkowany i dobrze zorganizowany proces jego analizy. Warto pamiętać, że każdorazowy brak terminowej notyfikacji może wiązać się z karami finansowymi (do 20 tys. zł).
Jeśli natomiast firmy zamierzają zlecić pewne funkcje zarządzania cyberbezpieczeństwem na zewnątrz, należy jak najszybciej uruchomić procesy zakupowe, aby zdążyć w trzy miesiące wybrać dostawców i podpisać stosowne umowy. Wg badania KPMG „Barometr Cyberbezpieczeństwa” (styczeń 2018) na outsourcing usług cyberbezpieczeństwa decyduje się znaczna większość polskich firm (71%). Najczęściej zlecane na zewnątrz są usługi związane z reakcją na cyberataki (49% przedsiębiorstw).
Minęły trzy miesiące, co dalej?
To nie koniec zmagań. W terminie do sześciu miesięcy operatorzy usług kluczowych muszą:
- wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym,
- uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń,
- opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.
Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach.
Czy to już wszystko?
Gdy uda się wszystko uporządkować, należy przeprowadzić w terminie jednego roku zewnętrzny audyt bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.
Nie warto tracić więcej czasu
Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Dodatkowo należy pamiętać, że jeśli planowane jest wsparcie zewnętrznych dostawców, końcówka roku kalendarzowego to okres, kiedy znacznie trudniej jest znaleźć na rynku cyberbezpieczeństwa wolne ręce do pracy…
Dowiedz się, jak możemy pomóc dostosować cyberbezpieczeństwo Twojej organizacji do dzisiejszych wyzwań, identyfikując luki w bezpieczeństwie, usprawniając bezpieczeństwo oraz wspierając w reakcji na cyberataki. Zapraszamy również na nasz blog poświęcony cyberbezpieczeństwu.