Business Law Firm

RODOKZP

Co oznacza powstanie Krajowego Systemu Cyberbezpieczeństwa?

Powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC) ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. KSC jest tworzony przez operatorów usług kluczowych, dostawców usług cyfrowych, odpowiednie zespoły ds. reagowania na incydenty, tzw. sektorowe zespoły cyberbezpieczeństwa, wybrane jednostki sektora finansów publicznych, instytuty badawcze, NBP, BGK, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, właściwe ministerstwa i inne wskazane w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (UKSC) podmioty i instytucje.

 

Zmiany przepisów i wynikające z nich nowe obowiązki dotkną szczególnie tzw. operatorów usług kluczowych. Podmioty te zobowiązane będą w ciągu kilku miesięcy m.in. wdrożyć system zarządzania bezpieczeństwem w systemach informatycznych, zapewnić obsługę zdarzeń zagrażających cyberbezpieczeństwu, a w kolejnych krokach, przeprowadzać regularne audyty bezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Informacje, akty prawne, porady dotyczące dostosowania przedsiębiorstw do nowych wymogów KSC

Opracowane przez Kochański Zięba i Partnerzy

Wdrożenie wymogów ustawy o krajowym systemie cyberbezpieczeństwa

Wsparcie dla operatorów usług kluczowych i dostawców usług cyfrowych w zakresie wdrożenia wymogów ustawy obejmuje w szczególności analizę potrzeb w zakresie rodzaju i zawartości dokumentacji dotyczącej cyberbezpieczeństwa. Na podstawie przeprowadzonej analizy, przygotowana zostaje dokumentacja dostosowana do potrzeb danego przedsiębiorstwa opisująca procedury mające na celu zapewnienie odpowiedniego poziomu cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usług.

Analiza powdrożeniowa

Procedury przyjęte w celu spełnienia wymogów w zakresie cyberbezpieczeństwa powinny podlegać dalszej ocenie. Analiza powdrożeniowa obejmuje w szczególności ocenę realizacji przyjętych procedur pod kątem ich zgodności z prawem oraz rekomendacje w zakresie działań naprawczych.

Wsparcie w trakcie incydentu

Na operatorów usług kluczowych i dostawców usług cyfrowych nałożony został szereg obowiązków w zakresie obsługi incydentów wpływających na cyberbezpieczeństwo. Wsparcie w tym zakresie obejmuje w szczególności pomoc w klasyfikacji incydentu, zgłaszaniu incydentu i współdziałaniu z właściwym CSIRT podczas obsługi incydentu.

Wsparcie po incydencie

Po zakończeniu obsługi incydentu ważne jest przeprowadzenie analizy zaistniałego incydentu oraz oceny skuteczności podjętych działań i ich zgodności z przyjętymi procedurami w zakresie cyberbezpieczeństwa oraz wymogami ustawy. Pozwala to udoskonalić realizację przyjętych procedur w ramach organizacji i ograniczyć ryzyko ewentualnych naruszeń obowiązków wskazanych w ustawie w przyszłości.

Wsparcie dla dostawców usług cyfrowych

Zapewnienie zgodności działalności dostawców usług cyfrowych z wymogami w zakresie cyberbezpieczeństwa jest procesem ciągłym. Bieżące wsparcie obejmuje w szczególności pomoc w aktualizacji przyjętych środków technicznych i organizacyjnych w celu zarządzania ryzykiem na jakie narażone są systemy informatyczne wykorzystywane do świadczenia usługi cyfrowej.

Wsparcie dla operatorów usług kluczowych

Zapewnienie zgodności działalności operatorów usług kluczowych z wymogami w zakresie cyberbezpieczeństwa jest procesem ciągłym. Bieżące wsparcie obejmuje w szczególności pomoc w stosowaniuobowiązkowej aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej, a także pomoc w zakresie przeprowadzania obowiązkowych audytów bezpieczeństwa takiego systemu informatycznego.

KALENDARZ

19 października 2018 r.

19 października 2018 r. Wejście w życie Rozporządzenia Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa.

13 października 2018 r.

13 października 2018 r. Wejście w życie Rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.

22 września 2018 r.

Wejście w życie Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.

17 września 2018 r.

Wejście w życie Rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

4 września 2018 r.

Opublikowanie projektu z dnia 31 sierpnia 2018 r. rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny

28 sierpnia 2018 r.

Wejście w życie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (stanowiącej implementację dyrektywy NIS)

20 czerwca 2018 r.

Opublikowanie projektu z dnia 15 czerwca 2018 r. rozporządzenia Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych

8 sierpnia 2016 r.

Wejście w życie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS)

AKTY PRAWNE

h

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

h

Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu

h

Rozporządzenie Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa

h

Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych

h

Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo

h

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS)

h

Strona internetowa Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)

PUBLIKACJE

h

Krajowy System Cyberbezpieczeństwa – obowiązki dla operatorów usług kluczowych

h

Cyberbezpieczeństwo w transporcie

h

Krajowy System Cyberbezpieczeństwa – nowe obowiązki dla dostawców usług cyfrowych

h

Trzy scenariusze cyberataku, na które należy przygotować przedsiębiorstwo

h

Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 1

h

Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 2

h

Wspólne standardy cyberbezpieczeństwa w UE?

Zespół ds. Cyberbezpieczeństwa

Paweł Gruszecki

Lider Zespołu, Szef Praktyki Nowych Technologii i Telekomunikacji. Posiada szerokie doświadczenie w zakresie wykonywania skomplikowanych projektów wymagających wiedzy z zakresu prawa IT, prawa autorskiego, prawa mediów oraz prawa telekomunikacyjnego takich jak: współudział w prowadzeniu negocjacji umowy o zarządzanie oraz rozwój infrastruktury telekomunikacyjnej (ang. „managed service agreement”), współudział w opracowywaniu założeń prawnych modelu biznesowego podmiotu mającego oferować usługę telewizji mobilnej w standardzie DVB-H, prowadzenie negocjacji umowy mającej na celu wdrożenie platformy OTT, a także opracowanie założeń prawnych kompleksowego systemu logistyczno-płatniczego mającego na celu zwiększenie sprzedaży w e-commerce.

więcej..

Dr Marcin Huczkowski

Starszy Prawnik w Praktyce Nowych Technologii i Telekomunikacji. Specjalizuje się w prawie własności intelektualnej, prawie mediów i zagadnieniach związanych z ochroną dóbr osobistych. Ma również obszerną wiedzę w zakresie prawa ochrony danych osobowych, w szczególności w związku z przeprowadzeniem szeregu szkoleń / seminariów dotyczących RODO. Posiada szczególne doświadczenie w obsłudze prawnej: (i) podmiotów funkcjonujących na rynku mediów w tym: wydawców prasowych oraz książkowych, producentów telewizyjnych, i filmowych oraz instytucji kultury oraz (ii) podmiotów działających w branży IT / TMT, w zakresie dotyczącym m.in. implementacji i świadczenia usług serwisowych w odniesieniu do oprogramowania / systemów informatycznych

więcej…

Bartosz Jussak

Prawnik w Praktyce Nowych Technologii i Telekomunikacji. Specjalizuje się w prawie autorskim, prawie nowych technologii ze szczególnym uwzględnieniem prawa Internetu oraz w zagadnieniach związanych z ochroną dóbr osobistych. Posiada doświadczenie w przygotowywaniu umów z zakresu IT, regulaminów usług świadczonych drogą elektroniczną, a także uczestniczył w przygotowaniu i prowadzeniu sporów z zakresu IT, NTT i ochrony dóbr osobistych .

więcej…

Aleksandra Piech

Prawnik w Praktyce Nowych Technologii i Telekomunikacji. Specjalizuje się w obsłudze firm z sektora IT, w szczególności w zakresie prawa autorskiego, prawa cywilnego oraz prawa zamówień publicznych. Posiada doświadczenie w przygotowaniu i negocjacji umów z zakresu IT oraz szerokie doświadczenie we wsparciu wykonawców i zamawiających w prowadzeniu postępowania o udzielenie zamówienia publicznego, a także w przygotowaniu i w prowadzeniu sporów przed Krajową Izbą Odwoławczą w obszarze nowych technologii.

więcej…

Karolina Kulikowska

Prawnik w Praktyce Nowych Technologii i Telekomunikacji. Specjalizuje się w ochronie danych osobowych, w szczególności w zakresie przetwarzania danych osobowych w rekrutacji i zatrudnieniu. Posiada bogate doświadczenie w zakresie przeprowadzania audytów zgodności z wymogami ogólnego rozporządzenia o ochronie danych (RODO) podmiotów m.in. z branży ubezpieczeniowej, farmaceutycznej, e-commerce, medialnej, produkcyjnej, motoryzacyjnej i energetycznej, przeprowadzania szkoleń z zakresu ochrony danych osobowych oraz przygotowywania dokumentacji przetwarzania danych osobowych.

więcej

Kontakt

Adres

Kochański Zięba i Partnerzy
Plac Piłsudskiego 1, 00-078 Warszawa (bud. Metropolitan)
Godziny otwarcia biura:
Poniedziałek – Piątek, 9:00-20:00

Telefon

tel.+48 22 326 9600
fax +48 22 326 9601

Bądźmy w kontakcie

2 + 6 =