Cyberbezpieczeństwo modny slogan czy realny problem dla energetyki?

Podobne dokumenty
REMIT Kto ma obowiązek publikować informacje wewnętrzne?

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

Ochrona tajemnicy przedsiębiorstwa

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

IODO: kompetencje nie wystarczą

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Sprawdzenie systemu ochrony danych

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

SZCZEGÓŁOWY HARMONOGRAM KURSU

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Wsparcie finansowe pochodzące ze środków UE na potrzeby efektywności energetycznej i OZE

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Asseco dla Zdrowia r.

Zarządzanie talentami w polskich przedsiębiorstwach - wyniki badań

II Konferencja SASO, Nowa era jakości oprogramowania czy już była, jest, czy dopiero nadejdzie? Poznań, 30 czerwca 2017 roku

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Szkolenie otwarte 2016 r.

Zadania Prezesa Urzędu Regulacji Energetyki w odniesieniu do przedsiębiorstw liniowych ze szczególnym uwzględnieniem kompetencji w sprawach spornych

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Podsumowanie szkolenia dla kandydatów na Gminnych Energetyków w Wielkopolsce

Reforma ochrony danych osobowych RODO/GDPR

Jeden z największych w Polsce dostawców zintegrowanych systemów zarządzania dokumentem i korespondencją masową.

Specyfika prawna projektu wdrożeniowego. Prowadzenie: dr Jakub Kabza

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Nowe otwarcie przedsiębiorstw sektora gazownictwa warunki funkcjonowania w jednolitym wewnętrznym rynku gazu ziemnego Unii Europejskiej

Ochrona danych osobowych w administracji samorządowej

Dwie szkoły oceny 360 stopni. Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem

72% 50% 42% Czy Twoje przedsiębiorstwo spełnia nowe wymagania w zakresie Ochrony Danych Osobowych - GDPR?

Audyt energetyczny podstawą dobrej termomodernizacji budynków Źródła finansowania przedsięwzięć termomodernizacyjnych i ekoenergetycznych

Projekt załącznika do ustawy z dnia. (poz..) SEKTORY I PODSEKTORY DO CELÓW IDENTYFIKACJI OPERATORÓW USŁUG KLUCZOWYCH

Od początku swojej działalności firma angażuje się w kolejne obszary rynku, by w krótkim czasie zyskiwać na nich status lidera.

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Wszelkie prawa zastrzeżone.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Kancelaria Prawna Business Lex ul. Chwaliszewo 60/62, Poznań; tel (98) OPINIA PRAWNA

rodo. naruszenia bezpieczeństwa danych

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

Przedszkole Nr 30 - Śródmieście

OCHRONA INFORMACJI NIEJAWNYCH

Klastry energii. Jakub Kasnowski Radca Prawny, Senior Associate, Deloitte Legal

Kontrola biznesowa szansą uniknięcia uwikłania Gmin w oszustwa VAT

Zarządzanie ryzykiem braku zgodności w banku spółdzielczym

Bieżące wsparcie w zakresie RODO

Czy ochrona środowiska i odnawialne źródła energii są efektywne finansowo?

Do kogo skierowany jest system obiegu dokumentów?

Klastry energii Warszawa r.

Czy i kiedy można wymieniać się danymi osobowymi w ramach grupy spółek? Piotr Grzelczak

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Kontrola biznesowa jako procedury wspomagające kontrolę zarządczą w Gminie

Ochrona biznesu w cyfrowej transformacji

Instrukcja. ocena aspektów środowiskowych PE-EF-P01-I01

Co musisz wiedzieć o nowym prawie kosmetycznym?

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Obowiązki gminy jako lokalnego kreatora polityki energetycznej wynikające z Prawa energetycznego

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

1. Definicja zamówienia tego samego rodzaju na gruncie prawa zamówień publicznych

Co nowego w zamówieniach publicznych? Czyli o długo wyczekiwanej nowelizacji ustawy PZP

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Zasady organizacji projektów informatycznych

ZAPRASZAMY. PRAKTYCZNY KURS ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 2 spotkania TERMINY: godz. 10:00. MIEJSCE: KRAKÓW DOM POLONII Ul.

TSM TIME SLOT MANAGEMENT

Prace nad nowym Prawem energetycznym Jachranka

Prelegent : Krzysztof Struk Stanowisko: Analityk

Julia Jarnicka. aplikant radcowski PIERÓG & Partnerzy

Biznesplan. Budowa biznesplanu

Usługa: Audyt kodu źródłowego

Enea publikuje raport co roku. Poprzedni raport społecznej odpowiedzialności za 2013 rok został wydany w 2014 roku.

Bezpieczeństwo systemów SCADA oraz AMI

Zasady GMP/GHP, które należy wdrożyć przed wprowadzeniem HACCP

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Transfer Pricing Manager Skuteczne zarządzanie ryzykiem cen transferowych

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Szacowanie wartości i udzielanie zamówień, w tym zamówień objętych projektem współfinansowanym ze środków Unii Europejskiej

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Kontrola biznesowa szansą uniknięcia uwikłania w oszustwa VAT

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

ISO Matrix - e-iso dla Twojej firmy

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Grupa G.C.E. PROFITIA Management Consultants. Możliwości współpracy zwiększanie efektywności energetycznej

USTAWA z dnia 2 kwietnia 2004 r. o zmianie ustawy - Prawo energetyczne oraz ustawy - Prawo ochrony środowiska

Usługa: Testowanie wydajności oprogramowania

Zapraszamy na szkolenie: stycznia 2017 r.

Załącznik Nr 4 do Umowy nr.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Komunikat KNF w sprawie cloud computing

Spis treści. Wykaz skrótów Czasopisma i inne publikatory... 7 Źródła prawa... 7 Inne skróty... 9

Rozdział 5. Wybór IOD pracownik, freelancer, outsourcing

Spis treści. Wykaz skrótów... Wprowadzenie...

Spis treści. Wykaz skrótów... O autorach...

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

Transkrypt:

Cyberbezpieczeństwo modny slogan czy realny problem dla energetyki? Nadszedł czas, kiedy cyberbezpieczeństwo doczekało się kompleksowej regulacji prawnej. Nowe przepisy implementujące unijną dyrektywę NIS weszły w Polsce w życie 28 sierpnia 2018 r. Nie dla wszystkich jest jednak jasne, czy i w jakim zakresie dotyczą ich nowe obowiązki. Ustawa wyróżnia trzy kategorie podmiotów, które muszą dostosować swoją działalność do nowych regulacji operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne. Zadanie jakie przed nimi stoi nie jest proste, a czas na dostosowanie patrząc przez pryzmat ilości obowiązków bardzo krótki. Sektor energia został zakwalifikowany jako jeden z sześciu obszarów działalności kluczowych z punktu widzenia krajowego systemu cyberbezpieczeństwa. W jego ramach wyróżniono siedem podsektorów wydobycie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz oraz dwa wydzielone funkcjonalnie, tj. dostawy i usługi dla sektora energii oraz jednostki nadzorowane i podległe Ministrowi Energii. Oznacza to, że praktycznie wszystkie przedsiębiorstwa prowadzące działalność energetyczną muszą zweryfikować czy i w jakim zakresie podlegają pod nowe przepisy oraz zidentyfikować jakie ich działania mieszczą się w definicji usługi kluczowej lub zadania publicznego. Uzyskanie statusu operatora usługi kluczowej albo zakwalifikowanie jako podmiot publiczny ma istotne konsekwencje powoduje włączenie przedsiębiorstwa do krajowego systemu cyberbezpieczeństwa. Kto będzie operatorem usługi kluczowej? Kwalifikacji poszczególnych podmiotów jako operatorów usługi kluczowej nie odbywa się automatycznie. Przepisy uzyskanie tego statusu uzależniają od otrzymania decyzji administracyjnej. Obowiązek zweryfikowania kto spełnia ustawowe wymogi został nałożony na organy właściwe do spraw cyberbezpieczeństwa. W przypadku sektora energia jest to Minister Energii. Właśnie ten organ musi zweryfikować czy są podstawy do wydania decyzji o uznaniu za operatora usługi kluczowej w stosunku do poszczególnych przedsiębiorstw energetycznych. Wiele firm ma już tego świadomość, ponieważ otrzymało do wypełnienia ankiety dotyczące ich działalności w obszarach zakwalifikowanych jako usługi kluczowe, które stanowią bazę do weryfikacji prowadzonej przez Ministra Energii. Biorąc pod uwagę ustawowe kryteria kwalifikacji, decyzji mogą spodziewać się nie tylko najwięksi rynkowi gracze. Za operatorów usługi kluczowej może zostać uznanych wiele OSDn. Ustalony w przepisach próg kwalifikujący do uzyskania statusu operatora usługi kluczowej w obszarze dystrybucji energii elektrycznej powoduje, że w skład krajowego systemu cyberbezpieczeństwa mogą wejść przedsiębiorstwa prowadzące działalność na naprawdę niewielką skalę. Drugą grupą szczególnie liczną grupą operatorów usług kluczowych będą przedsiębiorstwa ciepłownicze. Dotyczy to zarówno wytwarzania jak i zaopatrywania odbiorców w ciepło. Kryteria dla tego

podsektora zostały sformułowane w sposób budzący sporo wątpliwości interpretacyjnych, jednak już teraz wiadomo, że skala działalności nie musi być bardzo duża. W uproszczeniu można przyjąć, że wszystkie te przedsiębiorstwa, które zaopatrują w ciepło odbiorców końcowych w miastach zamieszkanych przez co najmniej 15 tysięcy odbiorców powinny zweryfikować, czy cyberbezpieczeństwo będzie też ich dotyczyć. Portfolio usług kluczowych może być szerokie Dla niektórych podmiotów sporym zaskoczeniem jest, że mogą być operatorem usług kluczowych w kilku obszarach. Najczęściej dotyczy to łączenia działalności energetycznej, wodno-kanalizacyjnej i transportowej. Często zdarza się, że jedna firma zajmuje się działaniami w kilku obszarach, a szczególnie o działalności energetycznej często się zapomina. Fakt, że nie stanowi ona podstawowej działalności przedsiębiorstwa nie powoduje wyłączenia go spod nowych przepisów. Z punktu widzenia tych regulacji znaczenie ma to, czy przedsiębiorstwo faktycznie wykonuje usługę, która znajduje się w wykazie usług kluczowych, a nie to jak ocenia jej istotność z punktu widzenia swojej działalności. Oznacza to, że jedna firma może otrzymać decyzje od różnych organów do spraw cyberbezpieczeństwa. Dlatego mówiąc sektor energia rozumie się szeroki krąg podmiotów. Podmiot (nie)publiczny też musi się przygotować Przedsiębiorstwo energetyczne może nie spełniać progów, które zakwalifikowałyby je jako operatora usługi kluczowej. Nie oznacza to jednak, że może zapomnieć o nowych wymaganiach. Podmiotem publicznym w rozumieniu przepisów o krajowym systemie cyberbezpieczeństwa są również przedsiębiorstwa działające w sektorze prywatnym. W tej kategorii znajdują się więc nie tylko jednostki samorządu terytorialnego, ale również spółki, które realizują zadania publiczne. Pojęcie zadania publicznego jest stosunkowo szerokie i w dużym zakresie obejmuje działalność energetyczną. Dotyczy to w szczególności dostarczania ciepła i oświetlenia w gminach, ale nie wyłącznie. Każdy przypadek jest indywidualny, dlatego przedsiębiorstwa które nie będą miały statusu operatora usługi kluczowej, muszą sprawdzić, czy nie kwalifikują się do krajowego systemu cyberbezpieczeństwa jako podmioty publiczne i ustalić swoje obowiązki przez pryzmat tego statusu. Zapewnienie cyberbezpieczeństwa nie zawsze wygląda tak samo Przedsiębiorstwa energetyczne żeby wiedzieć, czemu stawiają czoła w związku z przepisami o cyberbezpieczeństwie muszą w pierwszej kolejności ustalić swój statusu na gruncie tych regulacji. Dopiero wówczas możliwe jest ustalenie zakresu ich nowych obowiązków. W przypadku operatorów usług kluczowych wymagany od nich poziom bezpieczeństwa jest stosunkowo wysoki. Podmioty, które uzyskają ten status będą musiały wdrożyć u siebie kompleksowy system zarządzania bezpieczeństwem w systemach, które wykorzystują do świadczenia usługi kluczowej. Oznacza to konieczność zapewnienia odpowiedniego sposobu eksploatacji tych systemów i stosowania odpowiednich procedur dotyczących pracy z nimi. Bezpieczeństwo to

również odpowiednie zabezpieczenia techniczne oraz system identyfikowania podatności i zarządzania incydentami. Zakres nowych obowiązków nałożonych na podmioty publiczne jest mniejszy niż w przypadku operatorów usług kluczowych, jednak i w ich przypadku dostosowanie się do nowych realiów może być sporym wyzwaniem. Kluczowym aspektem dla osiągnięcia zgodności z przepisami o cyberbezpieczeństwie jest właściwa identyfikacja ryzyk związanych z korzystaniem z systemów informacyjnych. Bez tego nie można mówić o skutecznych zabezpieczeniach czy dobrze przygotowanych procedurach. Jak uniknąć powtórki z RODO Realnym problemem dla całego rynku na pewno jest to, że nie wszystkie firmy mają rozbudowane działy IT, a o specjalistów na rynku może być coraz trudniej. Nie chodzi tutaj jednak wyłącznie o ograniczenia organizacyjne. Dostosowanie się do nowych wymogów to przede wszystkim wyzwanie związane z ustaleniem tego, jak znaleźć złoty środek miedzy bezpieczeństwem a optymalizacją kosztów. W szczególności w przypadku podmiotów publicznych. Z punktu widzenia kosztów, które wiążą się z zapewnieniem compliance w obszarze cyberbepieczeństwa prowadzonej działalności tylko wczesne zidentyfikowanie planu działania. Ratunkiem może być oczywiście zlecenie tych działań na zewnątrz. Jednak przy wybieraniu dostawców usług jedynie w oparciu o kryterium ceny można mieć wątpliwość, czy cyberbezpieczeństwo będzie mogło funkcjonować w praktyce czy tylko na papierze. Te doświadczenia są już zresztą dobrze znane na rynku po przejściu przez dostosowanie do przepisów RODO. Dlatego kluczowe powinno być doświadczenie i znajomość specyfiki branży. Błędy na etapie ustalania obowiązków czy wycinkowe wprowadzanie zmian mogą okazać się problemem później. Dostosowanie do nowych przepisów nie może też być tylko na papierze. Incydentom w systemach, bez względu na to czy wynikają z błędów ludzkich czy ataków hakerskich, nie przeciwdziała się tylko papierem. Wdrożenie cyberbezpieczeństwo musi zawsze poprzedzić inwentaryzacja systemów Z przepisów wynika, że cyberbezpieczeństwo to odporność systemów informacyjnych w zakresie w jakim przetwarzają dane lub są wykorzystywane do realizacji usług kluczowych. System informacyjny do świadczenia usługi kluczowej to nie musi być każde oprogramowanie, jakie działa w firmie. Zgodnie z ustawową definicją system informacyjny jest rozumiany jako system teleinformatyczny, a więc w dużym uproszczeniu - współpracujące ze sobą urządzenia i oprogramowanie, które są wykorzystywane do przetwarzania, przechowywania i transferu danych przez sieci telekomunikacyjne. Kluczowa jest jednak odpowiedź na pytanie, co to oznacza w praktyce. Wątpliwości można mieć sporo. Po pierwsze pojawia się pytanie jakie systemy mają status systemów informacyjnych. Ze względu na postęp technologiczny zakres urządzeń, które przetwarzają i przesyłają między sobą dane jest coraz większy. Poszczególne maszyny komunikują się ze sobą przesyłając określone dane. Operator usługi kluczowej musi prześledzić strukturę swojej sieci i ustalić, które systemy mają określone w przepisach

właściwości i są związane z realizacją usług określonych jako kluczowe. Wątpliwości mogą budzić w szczególności te aplikacje lub programy, które służą do zarządzania procesami organizacyjnymi. Dodatkowo rozstrzygnięcie, które procesy przetwarzania dotyczą usług kluczowych może wcale nie być proste. Cyberbezpieczństwo wymaga wdrożenia odpowiednich procedur i dokumentów Przepisy formułują minimalne standardy dotyczące cyberbezpieczeństwa. Jednak to przedsiębiorstwo energetyczne będzie musiało zweryfikować, czy funkcjonujący w nim system zarządzania bezpieczeństwem informacji jest właściwy. Nie dla wszystkich na rynku będzie się to wiązało z rewolucją. Te przedsiębiorstwa u których funkcjonują już określone rozwiązania i odpowiednia dokumentacja cyberbezpieczeństwa, będą mogły myśleć raczej o ewolucji istniejących rozwiązań. Tematyka compliance jest jednak znacznie szersza niż tylko cyberbezpieczeństwo. Wymaga uwzględnienia kwestii związanych z przetwarzaniem danych osobowych czy innych wymogów dotyczących specyfiki danego systemu. Tworzenie struktur odpowiedzialnych za cyberbezpieczeństwo wymaga dokumentów i procedur sformułowanych zgodnie z przepisami prawa handlowego i szeregiem wewnętrznej dokumentacji. Podobnie właściwe zarządzanie ryzykiem, które pozwoli zminimalizować prawdopodobieństwo wystąpienia incydentów. Czas start, czyli jak powinien wyglądać harmonogram działań Prace związane z dostosowaniem przedsiębiorstwa obejmują cztery główne etapy ustalenie swojego statusu, weryfikację funkcjonującego już w firmie systemu cyberbezpieczeństwa, zidentyfikowanie zakresu niezbędnych zmian w tym systemie, a na końcu - wdrożenie nowych lub dostosowanie istniejących rozwiązań. Ustawa o krajowym systemie cyberbezpieczeństwa określa terminy na wykonanie poszczególnych działań w przypadku operatorów usług kluczowych. Pierwsze prace muszą być wykonane już 3 miesiące od daty otrzymania decyzji o uznaniu za operatora. Dotyczy to w szczególności stworzenia struktur odpowiedzialnych za cyberbezpieczeństwo i zidentyfikowania błędów lub braków w zakresie środków bezpieczeństwa. Po 6 miesiącach powinna powstać pełna dokumentacja i procedury w zakresie cyberbezpieczeństwa, a sam system bezpieczeństwa powinien już w pełni działać na nowych zasadach. W przypadku podmiotów publicznych ustawa nie formułuje określonych terminów. Oznacza to, że podmioty publiczne muszą realizować określone działania od dnia wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa, czyli 28 sierpnia 2018 r. Dlatego dla tych podmiotów wdrożenie wymogów dotyczących cyberbezpieczeństwa jest już mocno palącym tematem. Za błędy lub braki odpowie zarząd Standardowo za prawidłowe prowadzenie działalności przez przedsiębiorstwo energetyczne odpowiadają osoby, które nim zarządzają. Nie inaczej jest również w przypadku przepisów o cyberbezpieczeństwie, które przewidują dwóch adresatów kary administracyjnej. Za nieprzestrzeganie przepisów zapłaci przede wszystkim przedsiębiorstwo. Kwoty kary dla operatorów usług kluczowych w zależności od rodzaju

naruszenia wahają się od 1.000 do 150.000 zł, przy czym niektóre stawki określono dla pojedynczego naruszenia. W przypadku kilku lub kilkunastu podobnych zdarzeń łatwo stwierdzić, jakich kwot może sięgać kara. Dodatkowo organ właściwy do spraw cyberbezpieczeństwa może za określone nieprawidłowości nałożyć na kierownika operatora usługi kluczowej karę do wysokości 200% miesięcznego wynagrodzenia, wystarczy, ze stwierdzi brak należytej staranności. Tematyka cyberbezpieczeństwa powinna więc trafić na listę spraw szczególnie ważnych dla osób zarządzających. Autor: Monika Bogdał, radca prawny, Kancelaria Prawna Piszcz i Wspólnicy

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres