Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa może obejmować ponad 2 tys. podmiotów i wprowadza znaczące zmiany w wielu polskich firmach, choć nie jest o niej tak głośno jak o RODO.
Już od listopada tzw. kluczowi usługodawcy, czyli głównie szpitale i podmioty finansowe, powinni otrzymywać powiadomienia o obowiązku stosowania się do nowych wymogów bezpieczeństwa informatycznego. Na wdrożenie zmian mają trzy miesiące od otrzymania pisma.
Zmiany w przepisach podyktowane są wprowadzeniem unijnej regulacji Network and Information System Directive. W celu egzekwowania jej przepisów powstał w Polsce Krajowy System Cyberbezpieczeństwa.
Na czym polegają zmiany?
Firmy uznane za tzw. Operatorów Usługi Kluczowej będą musiały wprowadzić system zarządzania bezpieczeństwem, do którego obsługi niezbędne będzie zatrudnienie osoby odpowiedzialnej konkretnie za ten dział. Do jej obowiązków należeć będzie regularne monitorowanie poziomu bezpieczeństwa oraz niezwłoczne przekazywanie informacji o jego naruszeniach specjalnym podmiotom, z ang. Computer Security Incident Response Team (CSIRT).
Koszt pensji takiego pracownika ma wynieść od 5 do 10 tys. złotych, w zależności od jego kwalifikacji i zakresu obowiązków. Dodatkowo należy doliczyć koszt utworzenia i utrzymania operacyjnego centrum bezpieczeństwa – odpowiednio 1 i 2 mln złotych.
Operatorzy usług kluczowych będą zobowiązani m.in. ponieść koszty audytu zewnętrznego raz na dwa lata. Szacuje się, że koszt jednostkowy wykonania audytu wyniesie 50 tys. zł. Audyt po raz pierwszy będzie przeprowadzony w roku 2019, a następnie co 2 lata
– czytamy w Ocenie Skutków Regulacji.
Źródło: pb.pl