Pamiętaj o ustawowym obowiązku regularnego przeprowadzania audytów cyberbezpieczeństwa

Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 roku nałożyła na szereg podmiotów obowiązki związane z podniesieniem poziomu cyberbezpieczeństwa, zapobieganiem incydentom oraz ich zgłaszaniem do odpowiednich organów. Na dzień dzisiejszy cały czas czekamy na nowelizację ustawy, która uwzględni przepisy wynikające z unijnej dyrektywy NIS2 (patrz nasz artykuł – NIS 2 – artykuł). Nie zmienia to jednak faktu, że na liście podmiotów, które obowiązuje KSC należą organy publiczne, m.in. samorządy. Przypominamy, co muszą realizować i jakie konsekwencje grożą im za niestosowanie się do przepisów.

Dlaczego samorządy zobligowane są do realizacji ustawy o KSC? Ponieważ od 2018 roku podmioty publiczne, które posiadają jednostkę organizacyjną na terenie RP i realizują zadania publiczne zależne od systemów informacyjnych, w których incydent miałby istotny skutek zakłócający świadczenie usługi kluczowej przez tego operatora i które na mocy decyzji zostały uznane za operatora usługi kluczowej stały się częścią Krajowego Systemu Cyberbezpieczeństwa.

Zgodnie z artykułem 15 ustawy taki operator usług kluczowej “ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.

Audyt wykonuje jednostka oceniająca zgodność akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych lub
2) co najmniej dwóch audytorów posiadających:
a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub
b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub
c) co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych;
3) sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

Co istotne, nie stosowanie się do powyższych przepisów naraża jednostkę na ryzyko kary pieniężnej. Zgodnie z artykułem 73 KSC kara wynosi do 200 000 zł; (ustęp 3, pkt 10) i nie może być niższa niż 15 tys. zł.(ustęp 4 pkt 3).

Ryzyko kontroli organów właściwych do spraw cyberbezpieczeństwa, jak również ryzyko kary finansowej powinny być skutecznym narzędziem mobilizacji adresatów ustawy do podjęcia stosownych działań.