Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wciąż trwają. Nowelizacja ta transponuje dyrektywę NIS2 do polskiego prawa. Sprawne działanie projektodawcy (czyli Ministerstwa Cyfryzacji) jest wskazane, ponieważ termin na implementację tej dyrektywy już minął. Opublikowany w pierwszej połowie minionego roku projekt wywołał sprzeciw m.in. w związku z planowanymi zmianami w zakresie obowiązku przeprowadzania cyklicznych obowiązkowych audytów bezpieczeństwa systemów informacyjnych.
Pierwotny projekt ustawy zakładał nałożenie obowiązku regularnego audytu bezpieczeństwa na wszystkie podmioty podlegające pod reżim ustawy ‒ zarówno podmioty kluczowe, jak i podmioty ważne. W przypadku przedsiębiorców telekomunikacyjnych obowiązkiem byłyby obciążone nie tylko podmioty średnie i większe niż średnie, lecz również podmioty mikro- i małe. Kolejna wersja projektu, opublikowana po konsultacjach społecznych, zmieniła jednak tę kontrowersyjną propozycję. Obowiązkowym cyklicznym audytom będą podlegały tylko podmioty kluczowe.
Wycofanie obowiązku w stosunku do podmiotów ważnych nie oznacza jednak, że nie doświadczą one audytów wcale. Podmiot ważny może bowiem zostać zobowiązany do przeprowadzenia audytu w przypadku wystąpienia incydentu poważnego lub w razie naruszeń związanych z cyberbezpieczeństwem. Decyzję w tej sprawie wydawać będzie organ właściwy do spraw cyberbezpieczeństwa. W przypadku przedsiębiorców telekomunikacyjnych i operatorów (podsektor komunikacji elektronicznej) organem tym będzie Prezes Urzędu Komunikacji Elektronicznej.
Powyższe oznacza, że podmioty ważne muszą liczyć się z audytami bezpieczeństwa, jednak raczej w drodze wyjątku niż reguły. Nie powinny się go zresztą obawiać, jeżeli prawidłowo wdrożą obowiązki wynikające z KSC. Na co należy zwrócić szczególną uwagę?
Przede wszystkim należy odpowiednio wdrożyć system zarządzania bezpieczeństwem informacji w systemie IT wykorzystywanym w procesach wpływających na świadczenie usługi. Na takie wdrożenie składać się musi szereg działań, takich jak m. in. przygotowanie odpowiednich środków technicznych i organizacyjnych, polityk, procedur i planów. Działania te muszą zarazem odpowiadać wymogom nakładanym przez ustawodawcę. Skrupulatna realizacja tych obowiązków będzie więc kluczowa dla podmiotów podlegających KSC.
Oprócz dokumentacji systemu zarządzania bezpieczeństwem informacji należy również opracować m.in.:
- dokumentację ochrony infrastruktury,
- dokumentację systemu zarządzania ciągłością działania,
- dokumentację techniczną systemu informacyjnego wykorzystywanego w procesie świadczenia usługi.
Niezbędna dokumentacja podmiotów kluczowych i ważnych powinna objąć nie tylko wspomniane powyżej elementy, składające się na dokumentację normatywną, ale również dokumentację operacyjną. Pod tym pojęciem kryją się zapisy poświadczające wykonywanie czynności określone w dokumentacji normatywnej. Oznacza to, że należy na bieżąco generować dowody na realizację wdrożonych procedur. Taką dokumentację operacyjną mogą stanowić np. logi z systemów informacyjnych. Jest to nowy wymóg ‒ do tej pory nie było potrzeby gromadzenia tego typu informacji.
Podsumowując, ewentualna konieczność przeprowadzania audytów nie musi być powodem do obaw. Wprawdzie odpowiednie wdrożenie nowych wymogów KSC będzie zadaniem wymagającym, jednak pozwoli ono na uniknięcie gorzkich konsekwencji zaniedbań.
AUTORZY
Kinga Pawłowska-Nojszewska. Specjalistka w zakresie prawa cyberbezpieczeństwa. Była autorką lub współautorką wielu stanowisk izb gospodarczych dotyczących cyberbezpieczeństwa oraz postępowań kontrolnych w tym zakresie. Obsługuje klientów prowadzących działalność na rynku komunikacji satelitarnej oraz świadczących usługi IoT. Dzięki pracy w Urzędzie Komunikacji Elektronicznej oraz Ministerstwie Spraw Zagranicznych zyskała szeroką wiedzę w zakresie procesu legislacyjnego, zarówno polskiego, jak i unijnego, a także postępowań w zakresie naruszeń prawa unijnego.
Dominik Tokarski. Radca prawny, absolwent studiów prawniczych na Uniwersytecie Marii Curie-Skłodowskiej. Zdobywał doświadczenie zajmując się przede wszystkim sprawami konsumenckimi, zwłaszcza sporami związanymi z prawem bankowym oraz postępowaniami dotyczącymi upadłości konsumenckich. Posiada również kompetencje związane z kompleksowym świadczeniem usług z zakresu windykacji należności na rzecz przedsiębiorstw oraz z zakresu szeroko pojętego prawa cywilnego, karnego oraz pracy i ubezpieczeń społecznych.
