cyberbezpieczenstwo strona www

Inne akty i dobre praktyki dotyczące cyberbezpieczeństwa

Poza NIS 2 i DORA istnieje cały ekosystem regulacji i wytycznych, które kształtują Twoje obowiązki w zakresie cyberbezpieczeństwa. 

Oto przegląd najważniejszych z nich, dzięki któremu zrozumiesz, co jeszcze musisz wziąć pod uwagę.

CER — odporność podmiotów krytycznych
Dyrektywa CER koncentruje się na fizycznej i cyfrowej odporności firm z sektorów takich jak energetyka, transport, bankowość, infrastruktura cyfrowa, zdrowie czy administracja. Nakłada na Ciebie obowiązek identyfikacji ryzyk, tworzenia planów ciągłości działania i raportowania incydentów. Weszła w życie 16 stycznia 2023 r., a kraje UE miały czas na jej wdrożenie do 17 października 2024 r. (w Polsce ustawa jest jeszcze w przygotowaniu).

CRA — akt o cyberodporności
To rozporządzenie dotyczy producentów, importerów i dystrybutorów sprzętu oraz oprogramowania z funkcją komunikacji (np. urządzeń IoT). Jeśli wprowadzasz takie produkty na rynek, musisz zapewnić im aktualizacje zabezpieczeń i zgłaszać wykryte podatności do ENISA w ciągu 24 godzin. Kary mogą sięgnąć 15 mln euro lub 2,5% światowego obrotu, a przepisy będą stosowane od 11 grudnia 2027 r.

CSA — akt o cyberbezpieczeństwie
Rozporządzenie to tworzy europejski system certyfikacji cyberbezpieczeństwa dla produktów i usług ICT. Chociaż certyfikacja jest dobrowolna, jej brak może ograniczyć Twój dostęp do rynku. W Polsce przepisy te wdrożono ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa, która obowiązuje od 28 sierpnia 2025 r.

CSoA — akt w sprawie cybersolidarności
To rozporządzenie ma na celu wzmocnienie wspólnej, unijnej odpowiedzi na duże incydenty cyberbezpieczeństwa. Obejmuje państwa członkowskie, instytucje UE oraz kluczowe podmioty rynkowe. Akt jest stosowany bezpośrednio w Polsce od 4 lutego 2025 r., a ewentualne sankcje zostaną określone w krajowych przepisach.

EHDS — europejska przestrzeń danych zdrowotnych
Jeśli działasz w sektorze zdrowia, to rozporządzenie wprowadzi dla Ciebie jednolite zasady wymiany i zarządzania danymi zdrowotnymi. Kluczowe obowiązki to zapewnienie interoperacyjności systemów, wdrożenie odpowiednich środków technicznych i organizacyjnych oraz raportowanie incydentów. Przepisy te zaczną być stosowane od 26 marca 2027 r.

Polska ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa
Polska ustawa, obowiązująca od 28 sierpnia 2025 r., wdraża przepisy unijnego aktu CSA. Umożliwia dobrowolną certyfikację produktów, usług oraz specjalistów ICT, co ma podnieść ogólny poziom zaufania i bezpieczeństwa na rynku.

Prawo komunikacji elektronicznej
Ta ustawa, obowiązująca od 10 listopada 2024 r., nakłada na operatorów telekomunikacyjnych konkretne obowiązki. Musisz wdrażać środki techniczne i organizacyjne chroniące sieci, raportować incydenty i współpracować z organami państwa w zakresie reagowania na cyberataki.

Co jeszcze? Warto sprawdzać wytyczne i dobre praktyki dotyczące cyberbezpieczeństwa. Gdzie ich szukać?

Poza twardym prawem, warto śledzić wytyczne kluczowych instytucji. To one często podpowiadają, jak w praktyce spełnić wymagania.

  • ENISA: Raporty i wytyczne techniczne do NIS 2, DORA czy CRA.
  • EROD: Wytyczne dotyczące bezpieczeństwa danych zgodnego z RODO.
  • NASK: Krajowe raporty, rekomendacje i dobre praktyki.
  • CERT Polska: Ostrzeżenia, analizy zagrożeń i działania prewencyjne.
  • CSIRT GOV: Koordynacja reagowania na incydenty w administracji i infrastrukturze krytycznej.
  • MC / Pełnomocnik ds. Cyberbezpieczeństwa: Krajowa polityka i standardy.
  • UKE: Wytyczne dla rynku telekomunikacyjnego.
  • ISO: Globalne standardy, jak ISO/IEC 27001 i 27002.
  • NIST: Amerykańskie ramy (CSF) i standardy (SP 800) stosowane na całym świecie.
  • EBA / ESMA / EIOPA: Sektorowe wytyczne dla bankowości, rynków kapitałowych i ubezpieczeń.
  • Cloud Security Alliance (CSA): Dobre praktyki bezpieczeństwa w chmurze.

    WAŻNE! Pamiętaj, że choć wytyczne same w sobie nie mają sankcji, ich ignorowanie może prowadzić do naruszenia przepisów sektorowych i dotkliwych kar.
cyberbezpieczenstwo strona www

Twój przykładowy plan działania: Od przepisów do praktyki cyberodporności

Oto jak możesz przełożyć wymienione regulacje i standardy na konkretne działania w Twojej organizacji:

  1. Zmapuj, które z powyższych aktów prawnych dotyczą bezpośrednio Twojej organizacji.
  2. Przypisz wewnątrz firmy formalnych właścicieli odpowiedzialnych za zgodność z każdą regulacją.
  3. Zaplanuj harmonogram wdrożeń, uwzględniając wszystkie kluczowe daty wejścia w życie i stosowania przepisów.
  4. Włącz rekomendacje z wytycznych ENISA, ISO czy NIST do swojego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Liczba przepisów może przytłaczać, ale systematyczne podejście pozwoli Ci zbudować solidne fundamenty cyberbezpieczeństwa.

LEX Cyberbezpieczeństwo

Umów prezentację
Back To Top