Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

29/08/2024

NIS2 – jakie obowiązki nakłada na przedsiębiorców?

NIS2 oraz projekt ustawy o krajowym systemie cyberbezpieczeństwa nakłada szereg obowiązków na przedsiębiorców, którzy są obowiązani do stosowania dyrektywy. W dzisiejszym artykule odpowiemy na pytania, jakie są to obowiązki oraz jakie procedury należy wdrożyć w swoim przedsiębiorstwie?

 

Przedsiębiorcy obowiązani do stosowania NIS2 (tu dowiesz się, kto jest zobowiązny do wdrożenia NIS2: https://www.apogado.pl/kto-powinien-wdrozyc-nis2) będą zobowiązani do realizacji następujących obowiązków:

 

1) wdrożyć system zarządzania bezpieczeństwem informacji podczas świadczenia usług,

System zarządzania bezpieczeństwem informacji powinien umożliwiać systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzenie tym ryzykiem.

W tym celu przedsiębiorca musi posiadać odpowiednie środki techniczne i organizacyjne, w szczególności powinien:

  • posiadać politykę szacowania ryzyka oraz politykę bezpieczeństwa systemu informacyjnego, w tym również polityki tematyczne,
  • utrzymywać i eksploatować system informacyjny,
  • dbać o bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
  • dbać o bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi z uwzględnieniem związków pomiędzy dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub ważnym,
  • wdrażać, dokumentować i utrzymywać plany działania umożliwiające ciągłe i niezakłócone świadczenie usług oraz zapewniające poufność, integralność, dostępność i autentyczność informacji oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po katastrofie,
  • objąć system informacyjny wykorzystywany do świadczenia usługi systemem monitorowania w trybie ciągłym,
  • posiadać politykę i procedury oceny skuteczności środków technicznych i organizacyjnych,
  • prowadzić edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu kluczowego lub ważnego, w tym z podstawowych zasady cyberhigieny,
  • posiadać politykę i procedury stosowania kryptografii, w tym szyfrowania.

Ponadto do obowiązków przedsiębiorcy należy:

  • zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi,
  • zarządzanie incydentami,
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:
  • stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
  • regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na 
    bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,
  • ochronę przez nieuprawnioną modyfikacją w systemie informacyjnym,
  • niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń
  • stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie
    wieloskładnikowe.

Wdrożony system zarządzania bezpieczeństwem informacji ma uwzględniać wymagania określone w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301.

 

2) udostępnić na stronie internetowej informację o prowadzonej działalności.

Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa ma obowiązek udostępnić na swojej stronie internetowej następujące informacje:

a) nazwę (firmę),

b) zakres działania, w tym: oferowany rodzaj wsparcia, zasady współpracy i wymiany informacji, politykę komunikacji,

c) oferowane usługi oraz politykę obsługi incydentów i koordynacji incydentów,

d) dane kontaktowe, w tym: adres ze wskazaniem strefy czasowej, numer telefonu, adres poczty elektronicznej oraz wskazanie innych dostępnych środków komunikacji z dostawcą, dane o wykorzystywanych kluczach publicznych i sposobach szyfrowania komunikacji z dostawcą, sposoby kontaktu z dostawcą, w tym sposób zgłaszania incydentów.

 

3) wymieniać informacje dot. cyberbezpieczeństwa z innymi podmiotami.

Podmioty kluczowe i podmioty ważne mają obowiązek wymieniać między sobą informacje dotyczące cyberbezpieczeństwa, w szczególności informacje o:

  • cyberzagrożeniach,
  • potencjalnych zdarzeniach dla cyberbezpieczeństwa,
  • podatności, technikach i procedurach, oznakach naruszenia integralności systemu,
  • wrogich taktykach,
  • informacje o grupach przestępczych,
  • ostrzeżenia dotyczące cyberbezpieczeństwa,
  • zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki.

 

4)  opracować, stosować i aktualizować dokumentację dot. bezpieczeństwa systemu informacyjnego.

Podmiot kluczowy i podmiot ważny muszą posiadać dokumentację normatywną oraz dokumentację operacyjną.

Na dokumentację normatywną składa się:

1.dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami Polskiej Normy PN-EN ISO/IEC 27001 lub normy jej równoważnej,

2. dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa, obejmująca:

  • charakterystykę usługi oraz infrastruktury, w której świadczona jest usługa,
  • szacowanie ryzyka dla obiektów infrastruktury,
  • ocenę aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
  • opis zabezpieczeń technicznych obiektów infrastruktury,
  • zasady organizacji i wykonywania ochrony fizycznej infrastruktury,
  • dane o specjalistycznej uzbrojonej formacji ochronnej chroniącej infrastrukturę – jeżeli występuje,

3. dokumentacja systemu zarządzania ciągłością działania usługi wytworzona zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301 lub normy jej równoważnej,

4.dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi,

5.dokumentacja wynikająca ze specyfiki świadczonej usługi w danym sektorze lub podsektorze.

Natomiast dokumentację operacyjną stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów teleinformatycznych.

 

5) obsługiwać incydenty zgłaszać incydenty poważne i współdziałać przy obsłudze incydentów poważnych i krytycznych.

Podmiot kluczowy i podmiot ważny mają obowiązek:

  • zapewniać obsługę incydentu,
  • zapewniać dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT sektorowemu, CSIRT MON, CSRIT NASK, CSIRT GOV w zakresie niezbędnym do realizacji jego zadań,
  • klasyfikacji incydentu jako poważnego na podstawie progów uznawania incydentu za poważny,
  • zgłaszać wczesne ostrzeżenie o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego,
  • zgłaszać incydent poważny niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego,
  • przekazywać na wniosek właściwego CSIRT sektorowego, sprawozdanie okresowe z obsługi incydentu poważnego,
  • przekazywać właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego,
  • współdziałać podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV przekazując niezbędne dane, w tym dane osobowe,
  • usuwać podatności, które doprowadziły lub mogłyby doprowadzić do incydentu poważnego, incydentu istotnego lub krytycznego oraz informować o ich usunięciu organ właściwy do cyberbezpieczeństwa.

 

6) informować użytkowników o cyberzagrożeniu.

Przedsiębiorcy uznawani za podmioty kluczowe oraz ważne informują swoich użytkowników o znaczącym cyberzagrożeniu, jeśli istnieje możliwość, że będzie mieć jakiś wpływ na tych użytkowników. W takim wypadku przedsiębiorca informuje również o środkach zapobiegawczych, które mogą podjąć użytkownicy.

W przypadku, gdy cyberbezpieczeństwo nie powoduje zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych, przedsiębiorca informuje użytkowników jedynie o wystąpieniu znaczącego cyberzagrożenia.

Natomiast w przypadku wystąpienia incydentu poważnego, przedsiębiorca informuje swoich użytkowników, jeżeli ma on niekorzystny wpływ na świadczenie usług.

 

7) przeprowadzać audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.

Przedsiębiorca ma obowiązek na własny koszt przeprowadzać audyt co najmniej raz na 2 lata. Z przeprowadzonego audytu przedsiębiorca musi sporządzić sprawozdanie, a następnie przedstawić je właściwemu organowi ds. cyberbezpieczeństwa.

 

Jeżeli mają Państwo inne pytania dotyczące tematyki cyberbezpieczeństwa, zapraszamy do kontaktu z naszą Kancelarią.