cyberbezpieczenstwo strona www


Krajowy System Cyberbezpieczeństwa: co to oznacza dla Twojej organizacji?

Dowiedz się, czy Krajowy System Cyberbezpieczeństwa (KSC) dotyczy Twojej organizacji i jakie wymagania musisz spełnić.

O co chodzi w KSC?

Krajowy System Cyberbezpieczeństwa (KSC) to kluczowy mechanizm ochrony cyfrowej infrastruktury Polsk, wprowadzony ustawą z dnia 5 lipca 2018 r. Jego znaczenie rośnie wraz z nowelizacją wdrażającą unijną dyrektywę NIS 2, która nakłada nowe obowiązki na tysiące firm i organizacji.

Celem KSC jest zapewnienie ciągłości działania kluczowych usług, ochrona danych i infrastruktury oraz umożliwienie szybkiego reagowania na cyberataki. W ramach systemu współpracują ze sobą operatorzy usług kluczowych, dostawcy usług cyfrowych, administracja oraz specjalistyczne zespoły CSIRT (NASK, ABW, MON). Ustawa o KSC weszła w życie 28 sierpnia 2018 roku.

People using computer surfing the net, brainstorming, explaining and talking

Czy dotyczy to Twojej organizacji? Sprawdź

Jeśli działasz w sektorze energetyki, bankowości, transporcie, ochronie zdrowia, e-commerce czy administracji – ta ustawa jest dla Ciebie. Obejmuje ona między innymi:

  • Operatorów usług kluczowych (np. z sektorów energetyki, transportu, bankowości czy ochrony zdrowia).
  • Dostawców usług cyfrowych (np. platformy e-commerce, wyszukiwarki internetowe).
  • Administracji publicznej.
  • Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT).
  • Organów nadzorczych.


WAŻNE! Pamiętaj, że nowelizacja ustawy (wdrażająca dyrektywę NIS 2) znacznie rozszerzy ten katalog. M.in. o podmioty z obszarów takich jak: ścieki, zarządzanie usługami ICT, przestrzeń kosmiczna, chemia, żywność, produkcja, usługi pocztowe, gospodarowanie odpadami i badania naukowe. Zwiększy się także zakres obowiązków dla administracji publicznej.

Nowelizacja KSC: co powinieneś wiedzieć i jak się przygotować

Nowelizacja KSC to odpowiedź na dyrektywę NIS 2 i pojawiające się cyberzagrożenia. Wprowadza szereg nowych, istotnych obowiązków dla podmiotów kluczowych i ważnych w sektorach: publicznym i prywatnym.

Pomożemy Ci zrozumieć zmiany i przygotować się:

  1. Sprawdź, czy Twoja organizacja jest objęta regulacjami
    Katalog podmiotów został rozszerzony, dlatego warto upewnić się, czy nowe przepisy dotyczą Twojej organizacji.
  2. Poznaj nową klasyfikację podmiotów
    Organizacje będą teraz dzielone na podmioty kluczowe i ważne. Ustal, do której kategorii należysz i jakie obowiązki się z tym wiążą.
  3. Zwróć uwagę na dostawców
    Wprowadzono procedurę uznania dostawcy za dostawcę wysokiego ryzyka. Sprawdź, czy Twój łańcuch dostaw jest bezpieczny.
  4. Zarejestruj swoją organizację
    Musisz samodzielnie zidentyfikować się i dokonać rejestracji w centralnym systemie. Nie czekaj na ostatnią chwilę!
  5. Przygotuj kadrę, aby uniknąć kosztownych błędów
    Upewnij się, że kadra zarządzająca jest odpowiednio przeszkolona i ma jasno określone procedury, aby sprostać nowym wymaganiom i uniknąć odpowiedzialności finansowej.
  6. Skorzystaj z Funduszu Cyberbezpieczeństwa
    Fundusz wspiera działania w zakresie wdrażania obowiązków dot. cyberbezpieczeństwa. Sprawdź, jak możesz z niego skorzystać, aby poprawić poziom ochrony.
cyberbezpieczenstwo strona www

Nowelizacja KSC: Twoje obowiązki w praktyce

Nowe przepisy wprowadzają szereg konkretnych obowiązków, które organizacje muszą spełnić:

  • Rejestracja i aktualizacja danych w wykazie ministra ds. informatyzacji: Zgłoszenie podmiotów kluczowych i ważnych do wykazu oraz bieżąca aktualizacja danych. Brak rejestracji lub zmian grozi wysokimi karami. Jeśli organ nadzorczy zażąda, musisz uzupełnić lub poprawić dane.
  • Wdrożenie SZBI: Implementacja Systemu Zarządzania Bezpieczeństwem Informacji, który obejmuje m.in. analizę ryzyka, polityki, zarządzanie incydentami, plany ciągłości działania, bezpieczeństwo łańcucha dostaw, szkolenia, kontrolę dostępu, szyfrowanie i monitoring.
  • Audyty bezpieczeństwa IT: Przeprowadzanie audytu bezpieczeństwa co najmniej raz na 3 lata (dla podmiotów kluczowych) i przekazanie raportu organowi nadzorczemu w ciągu 3 dni roboczych. W przypadku poważnego incydentu organ może nakazać audyt doraźny, który musi przeprowadzić niezależny, wykwalifikowany audytor.
  • Zgłaszanie incydentów: Obowiązek zgłoszenia poważnego incydentu do CSIRT sektorowego w ciągu 24 godzin (wczesne ostrzeżenie) i 72 godzin (pełne zgłoszenie), a także raportowanie o obsłudze zdarzenia (okresowe i końcowe), również u podwykonawców.
  • Łańcuch dostaw: Zarządzanie ryzykiem w łańcuchu dostaw ICT, w tym ocena podatności dostawców wdrażanie środków zapobiegawczych oraz monitorować bezpieczeństwa usług i produktów dostarczanych przez podwykonawców.
  • Współpraca z CSIRT i wymiana informacji: Aktywna współpraca z CSIRT sektorowymi, CSIRT MON, NASK, GOV oraz udziału w ćwiczeniach i szkoleniach z cyberbezpieczeństwa. Wymiana informacji o incydentach, podatnościach i cyberzagrożeniach.

LEX Cyberbezpieczeństwo

Umów prezentację
Back To Top