Ustawa KSC – Ustawa o Krajowym Systemie Cyberbezpieczeństwa – pierwszy akt prawny w zakresie obszaru cyberbezpieczeństwa w Polsce. Ustawą został stworzony Krajowy system cyberbezpieczeństwa, którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, swoim zakresem System obejmuje odmienne kategorie podmiotów posiadających odmienne obowiązki. Trzykrotnie nowelizowana, w 2023 roku poprzez Dyrektywę NIS2.
Ustawa KSC – Jest to Ustawa z dnia 5 lipca o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560), pierwszy akt prawny który tak dogłębnie dotyka swoim zakresem obszaru cyberbezpieczeństwa w Polsce.
Ustawą zostaje stworzony Krajowy system cyberbezpieczeństwa, którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, swoim zakresem System obejmuje odmienne kategorie podmiotów posiadających odmienne obowiązki. Głównymi podmiotami na które nakładany jest szereg obowiązków są:
- podmioty publiczne;
- dostawcy usług cyfrowych;
- operatorów usług kluczowych;
- spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu ustawy z dnia 20 grudnia 1996 r. ustawy o gospodarce komunalnej.
Wdrożenie założeń ustawy to obowiązek każdej firmy, która objęta została jej zakresem, jak wspomniano obowiązki te są zróżnicowane w zależności od typu podmiotu, który firma reprezentuje. Najważniejsze obowiązki, które będą spoczywały na firmach (głównie operatorach usługi kluczowej) to:
- wdrożenia systemu zarządzania bezpieczeństwem informacji, zgodnego z normą ISO 27001;
- zatrudnienie/wynajęcie specjalisty/ów z zakresu bezpieczeństwa teleinformatycznego i w efekcie utworzenie wewnętrznej komórki cyberbezpieczeństwa lub podpisanie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
- prowadzenia regularnego monitoringu poziomu bezpieczeństwa systemów informacyjnych, najczęściej poprzez utworzenie operacyjnego centrum bezpieczeństwa (SOC) – w postaci jednostki wewnętrznej lub zatrudnienia firmy zewnętrznej;
- zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach systemów informacyjnych;
- przekazywanie informacji o ewentualnych naruszeniach cyberbezpieczeństwa do wyznaczonych podmiotów w przeciągu 24 godzin;
- współdziałanie z CSIRT w ramach obsługi incydentu wraz z zapewnieniem odpowiedniego dostępu do informacji;
- informowanie swoich klientów, użytkowników systemów informacyjnych o zagrożeniach, na jakie mogą być narażeni korzystając z systemów;
- szereg innych obowiązków formalnych i techniczno-administracyjnych.
Podmioty objęte zakresem ustawy muszą uporać się z wyzwaniem, jakim jest wdrożenie powyższych wymagań w swojej organizacji. Pierwszym i chyba najistotniejszym zadaniem jest wdrożenie systemu zarządzania bezpieczeństwem, które wiąże się m.in. z koniecznością prowadzenia systematycznego i udokumentowanego szacowania ryzyka wystąpienia incydentu i w odpowiedzi na te zagrożenia dostosowania do nich adekwatnych środków bezpieczeństwa, takich jak bezpieczna eksploatacja, bezpieczeństwo fizyczne, bezpieczeństwo i ciągłość dostaw usług, utrzymanie planów ciągłości działania i choćby zarządzanie incydentami. By skutecznie wdrożyć tego typu rozwiązania pierwszym krokiem jest przeprowadzenie tzw. audytu luki, dzięki któremu przeanalizowany zostanie stan obecny, co pozwoli na korelację z wymogami ustawowymi. Audyt taki pozwoli także na zidentyfikowanie mocnych stron organizacji, jak i wskaże obszary do poprawy. Wykonanie audytu pozwala na przygotowanie działań korygujących co w efekcie ma na celu przystosowanie naszych wewnętrznych procesów organizacyjnych do wymogów zgodności z normą ISO 27001 (sama ustawa nie wymaga certyfikacji, a jedynie zgodności), poprzez przygotowanie i wdrożenie wymaganej, odpowiednio dopasowanej do organizacji dokumentacji strategicznej i operacyjnej w postaci polityk, procedur i rejestrów. Można rozważyć również skorzystanie z usług firm doradczych z zakresu procesów związanych z cyberbezpieczeństwem i zarządzania, aby przygotować odpowiednie struktury i procedury w firmie, a także wskazaną powyżej dokumentację.
Jednym z kolejnych obowiązków jest powołanie struktury wewnętrznej odpowiedzialnej za cyberbezpieczeństwo. Budowa sprawnej komórki wewnętrznej wymaga czasu i wiąże się z dużymi kosztami, a także z koniecznością żmudnego poszukiwania pracowników o właściwych kompetencjach. Ustawodawca zezwolił na możliwość świadczenia alternatywnych usług bezpieczeństwa, które można pozyskać od wyspecjalizowanego podmiotu zewnętrznego, który stanie się podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
Wyzwaniem dla większości podmiotów jest również ciągłe monitorowanie systemu informacyjnego zapewniającego świadczenie usługi. Największy problem sprawia słowo „ciągłe” monitorowanie. Wprawdzie istnieje możliwość spełnienia wymogów ustawy poprzez używanie odpowiednich narzędzi monitorujących bezpieczeństwo 24/7, a tylko przeglądanie ich w godzinach pracy. Jest to jednak rozwiązanie niezadawalające z punktu widzenia bezpieczeństwa, jak również ryzykowne w przypadku wystąpienia incydentu i ewentualnych kroków, które mogą w związku z tym podjąć organy nadzorcze nakładając kary na podmiot, w którym incydent miał miejsce. Również w tym przypadku dużo lepsze jest skorzystanie z usługi zewnętrznej SOC, która monitoruje zdarzenia związane z bezpieczeństwem IT w czasie rzeczywistym przez 24 godziny, 7 dni w tygodniu. Odpowiednie organy są uprawnione do przeprowadzania kontroli w tych podmiotach i do nakładania kar pieniężnych przewidzianych w ustawie za nieprzestrzeganie ustawowych obowiązków.
W 2023 roku Ustawa o Krajowym Systemie Cyberbezpieczeństwa była aktualizowana Dyrektywą NIS2.