Dyrektywa NIS wyzwaniem dla polskich przedsiębiorców

Wyślij link znajomemu

W ramach wdrażania ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma zapewnić wysoki poziom cyberbezpieczeństwa zarówno na poziomie krajowym, jak i  w Unii Europejskiej polskim przedsiębiorcom, stworzono podstawy prawne, które pozwolą ograniczyć potencjalne skutki incydentów, w tym straty finansowe firm i instytucji.

21 listopada 2018 r. zostało opublikowane rozporządzenie wskazujące progi dla incydentów poważnych i tym samym zakończył się proces implementacji dyrektywy NIS w naszym kraju. W tym celu przygotowane zostały progi, które określają warunki, kiedy dany incydent należy zaklasyfikować jako poważny. Dla przykładu w sytuacji poboru wody uznano, że poważnym incydentem jest brak dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin. W przypadku koncernu farmaceutycznego będzie to zarówno brak dostępu do usługi przez ponad 24 godziny, czy chociażby ciężki uszczerbek na zdrowiu. Z kolei dla instytucji finansowej będzie to m.in. szacowana strata finansowa powyżej 5 mln euro.

Każde takie zdarzenie, które uznamy za poważny incydent należy zgłosić do właściwego dla danego operatora Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), który będzie wspierał zgłaszającego podczas całego procesu obsługi incydentu. Jednocześnie należy zaznaczyć, że zgłaszanie incydentów to obok szacowania ryzyka i prowadzenia audytów, najważniejszy obowiązek dla operatorów usług kluczowych wynikający z ustawy.

W myśl przepisów o przynależności do operatorów usług kluczowych firma dowiaduje się z odgórnej decyzji administracyjnej, o czym powinna zostać powiadomiona listownie. Stąd firmy, które podlegają bezpośrednio ustawie stoją przed problemem zarządzania cyberincydentami, co stanowi spore wyzwanie nie tylko pod względem technologicznym, ale organizacyjnym i prawnym.

Na zaraportowanie cyberincydentu w ustawie zostały przewidziane 24 godziny, a w praktyce samo wykrycie i analiza, kiedy ustalimy, że firma padła ofiarą cyberataku, zajmują przedsiębiorstwu dużo więcej godzin niż 24 przewidziane w dyrektywie NIS, nie wspominając o pozostałych działaniach jakie nakłada ustawa.