Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Podobne dokumenty
Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

RODO i CYBERBEZPIECZEŃSTWO W ADMINISTRACJI

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Projekt załącznika do ustawy z dnia. (poz..) SEKTORY I PODSEKTORY DO CELÓW IDENTYFIKACJI OPERATORÓW USŁUG KLUCZOWYCH

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

z dnia. o krajowym systemie cyberbezpieczeństwa

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

(Akty ustawodawcze) DYREKTYWY

Uzasadnienie I. Potrzeba i cel regulacji

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Warszawa, dnia 21 listopada 2018 r. Poz ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 31 października 2018 r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Ustawa o krajowym systemie cyberbezpieczeństwa

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

PRELEGENT Przemek Frańczak Członek SIODO

Krzysztof Świtała WPiA UKSW

ZAŁĄCZNIK. Realizacja strategii jednolitego rynku cyfrowego

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

PL Zjednoczona w różnorodności PL A8-0206/205. Poprawka 205 Marita Ulvskog w imieniu Komisji Zatrudnienia i Spraw Socjalnych

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

POLITYKA PRZETWARZANIA DANYCH OSOBOWYCH

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

ISO bezpieczeństwo informacji w organizacji

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Materiał porównawczy do ustawy z dnia 14 czerwca 2013 r. o zmianie ustawy Prawo lotnicze. (druk nr 387)

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej sp. z o.o. w Nowej Soli.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Promotor: dr inż. Krzysztof Różanowski

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Administratorem danych jest Modtech Marta Świątek z siedzibą we Wrześni przy Ulicy Piotra Jarocińskiego 6.

PL Zjednoczona w różnorodności PL A8-0206/125. Poprawka 125 Marita Ulvskog w imieniu Komisji Zatrudnienia i Spraw Socjalnych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ

Asseco dla Zdrowia r.

z dnia r. w sprawie progów uznania incydentu za poważny 1)

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

(Tekst mający znaczenie dla EOG)

POLITYKA BEZPIECZEŃSTWA

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

(Tekst mający znaczenie dla EOG)

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka prywatności przetwarzanie danych osobowych w serwisie internetowym kuberacars.pl

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Zarządzanie relacjami z dostawcami

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

I. Postanowienia ogólne

System Zachowania Ciągłości Funkcjonowania Grupy KDPW Polityka SZCF (wyciąg)

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Obowiązek informacyjny na podstawie artykułu 13 RODO

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Polityka prywatności serwisu ShipHub.pl. Niniejsza polityka prywatności wchodzi w życie i zaczyna obowiązywać z dniem:

Dla celów niniejszej Umowy powierzenia, CENOBITZ.COM działa jako Podmiot przetwarzający a Klient jako Administrator.

Polityka przetwarzania danych osobowych w PGNiG Technologie S.A.

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

Komunikat KNF w sprawie cloud computing

Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

BAKER TILLY POLAND CONSULTING

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY I EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO

Transkrypt:

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa. r. pr. Paweł Gruszecki Partner, Szef Praktyki Nowych Technologii i Telekomunikacji. Kraków, 22.02.2017r.

NIS Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 19 lipiec 2016 r. Przyjęcie i publikacja przepisów w państwach członkowskich do 9 maja 2018 r. Stosowanie przepisów od 10 maja 2018 r. Przewidywany czas opracowania projektu przepisów polskich kwiecień 2017 r. KALENDARIUM RODO Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 4 maj 2016 r. Stosowanie rozporządzenia - od 25 maja 2018 r. Uchylenie Dyrektywy 95/46/WE ze skutkiem od dnia 25 maja 2018 r. Do 25 maja 2020 r. (następnie co 4 lata) Komisja przedkłada PE sprawozdania z oceny i przeglądu rozporządzenia.

Przedmiot regulacji minimalny standard w zakresie bezpieczeństwa sieci i systemów Poprawa współpracy na poziomie UE. odporność sieci i systemów informatycznych na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne.

Kategorie podmiotów objętych regulacją Operatorzy usług kluczowych Dostawcy usług cyfrowych Wystarczy, że dostawca oferuje usługi w UE.

Dostawca usługi cyfrowej czyli ( ) 1 2 3 Osoba prawna Świadczy usługi cyfrowe Usługi cyfrowe to usługi świadczone za wynagrodzeniem, na odległość drogą elektroniczną, na ind. żądanie odbiorcy. Usługi należą do kategorii: wyszukiwarka, internetowa platforma handlowa, usługa przetwarzania w chmurze.

Internetowa platforma handlowa czyli ( ) Umożliwianie zawarcia umów online B2B oraz B2C (umów online sprzedaży oraz o świadczenie usług).

Usługa przetwarzania w chmurze czyli ( ) usługa cyfrowa umożliwiająca dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania.

Należy do określonej kategorii sektorowej. Świadczenie usługi zawartej w wykazie usług kluczowych oraz zostanie zidentyfikowanym jako taki podmiot (do 9.11.2018r.) Świadczenie usługi zależy od sieci i systemów informatycznych Podmiot publiczny lub prywatny Operator usługi kluczowej Incydent miałby istotny skutek zakłócający dla świadczenia tej usługi.

Sektory objęte regulacją: Energetyka Transport lotniczy: przewoźnicy lotniczy, zarządzający portem lotniczym, jednostki obsługujące urządzenia pomocnicze znajdujące się w portach lotniczych, operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC). kolejowy: zarządcy infrastruktury kolejowej, przedsiębiorstwa kolejowe. wodny: armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, organy zarządzające portami, jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, operatorzy systemów ruchu statków. drogowy: organy zarządzające ruchem drogowym, operatorzy ITS. Instytucje kredytowe Infrastruktura rynków finansowych Służba zdrowia (szpitale i prywatne kliniki) Zaopatrzenie w wodę pitną i jej dystrybucja Infrastruktura cyfrowa (IXP, dostawcy usług DNS, rejestry nazw TLD).

Obowiązki operatorów usług kluczowych Obowiązki dostawców usług cyfrowych Podejmowanie odpowiednich i proporcjonalnych środków w celu zarządzania ryzykami. Środki te muszą zapewniać poziom bezpieczeństwa odpowiedni do istniejącego ryzyka. Określanie i podejmowanie odpowiednich i proporcjonalnych środków w celu zarządzania ryzykami. Środki te muszą zapewniać poziom bezpieczeństwa odpowiedni do istniejącego ryzyka oraz uwzględniać następujące elementy: a) bezpieczeństwo systemów i obiektów; b) postępowanie w przypadku incydentu; c) zarządzanie ciągłością działania; d) monitorowanie, audyt i testowanie; e) zgodność z normami międzynarodowymi.

Obowiązki operatorów usług kluczowych Obowiązki dostawców usług cyfrowych Podejmowanie odpowiednich środków zapobiegających i minimalizujących wpływ incydentów z myślą o zapewnieniu ciągłości usług. Podejmowanie środków zapobiegających i minimalizujących wpływ incydentów z myślą o zapewnieniu ciągłości usług. Niezwłoczne zgłaszanie właściwemu organowi lub CSIRT incydentów mających istotny wpływ na ciągłość świadczonych przez nich usług kluczowych. Zgłoszenia muszą zawierać informacje umożliwiające określenie transgranicznego wpływu incydentu. Zgłoszenie nie może narażać strony zgłaszającej na zwiększoną odpowiedzialność. Zgłaszanie bez zbędnej zwłoki właściwemu organowi lub CSIRT wszelkich incydentów mających istotny wpływ na świadczenie usługi, o której mowa w załączniku III. Zgłoszenia muszą zawierać informacje umożliwiające określenie istotności wpływu transgranicznego. Zgłoszenie nie może narażać strony zgłaszającej na zwiększoną odpowiedzialność

Obowiązki operatorów usług kluczowych Obowiązki dostawców usług cyfrowych Istotność wpływu danego incydentu, zależy od: a) liczby użytkowników, których dotyczy zakłócenie usługi kluczowej; b) czas trwania incydentu; c) zasięg geograficzny związany z obszarem, którego dotyczy incydent. Istotność wpływu danego incydentu zależy od: a) liczby użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług; b) czas trwania incydentu; c) zasięg geograficzny, którego dotyczy incydent; d) zasięg zakłócenia funkcjonowania usługi; e) zasięg wpływu na działalność gospodarczą i społeczną. Obowiązek zgłoszenia incydentu ma zastosowanie wyłącznie wówczas, gdy dostawca usług cyfrowych ma dostęp do informacji niezbędnych do oceny wpływu incydentu względem parametrów, o których mowa w akapicie pierwszym.

Obowiązki operatorów usług kluczowych Obowiązki dostawców usług cyfrowych Zgłoszenie operatorowi usług kluczowych, zależnemu od dostawcy usług cyfrowych w zakresie usługi, która ma istotne znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, wszelkiego istotnego wpływu na ciągłość usług kluczowych związanego z incydentem, który dotyczy dostawcy usług cyfrowych.

Jak zrealizować to w praktyce? ENISA (17.02.2017r.): przyjęcie jednego z 3 standardów bezpieczeństwa (podstawowy, sektorowy oraz najwyższy). 27 celów bezpieczeństwa do spełnienia. każdemu celowi służą poszczególne środki bezpieczeństwa Najczęściej przywoływane certyfikaty: ISO 27001 / CCS / OCF / BSI C5

Przyjęcie polityki bezpieczeństwa Monitorowanie usług Zarządzanie ryzykiem (lista ryzyk, uświadomienie ryzyk, metodologia, podział ról i obowiązków, procedury, przewodnik dla pracowników, przegląd metodologii). Ustanowienie konkretnych stanowisk Raportowanie o incydentach Jak to wygląda w praktyce? Ciągłość działania (business continuity). Standardy bezpieczeństwa w zakresie umów z dostawcami i klientami. Sprawdzanie zatrudnianych pracowników (screening) Zapewnienie wiedzy o bezpieczeństwie Bezpieczeństwo w trakcie zmiany/opuszczania stanowisk pracy. Bezpieczeństwo fizyczne Bezpieczeństwo infrastruktury towarzyszącej Kontrola dostępu do sieci oraz systemów Integralność elementów sieci oraz systemów Procedury operacyjne Zarządzanie zmianą Przywrócenie usługi w razie katastrofy (disaster recovery). Testowanie systemów Procedury oceny bezpieczeństwa Polityka sprawdzania i wprowadzania zgodności z przepisami obowiązującymi na terytorium UE, danego kraju, a także najlepszymi praktykami i standardami. Bezpieczeństwo przechowywanych danych. Bezpieczeństwo interfejsów. Bezpieczeństwo oprogramowania. Interoperacyjność i przenośność (np. procedura fall back). Zapewnienie klientowi prawa do monitorowania usługi Zarządzanie assetami. Wykrywanie incydentów i zarządzanie nimi

Kontakt e-mail: biuro@kochanski.pl tel.: +48 22 326 9600 fax.: +48 22 326 9601 Metropolitan Plac Piłsudskiego 1 00-078 Warszawa

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres