Przygotowanie się do dyrektywy NIS2 jest koniecznością dla wszystkich małych i średnich operatorów telekomunikacyjnych. W zeszłym tygodniu omówiłem płynące z nowych przepisów obowiązki. Autorzy najnowszego projektu ustawy o krajowym systemie cyberbezpieczeństwa wiedzą też, że nie przekonają nikogo do niemałego wysiłku i wydatków, samą tylko wizją, że będzie bezpiecznie. Nie skupiają się więc na marchewce. Przygotowali za to solidny bacik.
Będziecie poddawani ocenie bezpieczeństwa i przekazywać skany bezpieczeństwa Waszych urządzeń i oprogramowania. I nie chodzi tu tylko o switche czy routery, ale też np. o aplikacje BOK, komunikację z klientami, systemy w biurach itd. Będziecie zobowiązani udzielać informacji dotyczących klasyfikacji Was, jako podmiotu kluczowego lub ważnego, a odpowiedzi mogą stanowić dowód rozpoczynający odpowiednie postępowanie. Będziecie kontrolowani w zakresie wyznaczonych ustawowo obowiązków.
Artykuł 53 przewiduje, że możecie mieć kontrole również w trybie doraźnym, a decyzję o przeprowadzeniu audytu otrzymać, mimo iż przeprowadzacie je regularnie. Może zostać zlecone sprawdzenie Waszego systemu bezpieczeństwa. Możecie dostać wniosek o udostępnienie wszelkich informacji i dokumentów, wniosek o przedstawienie dowodów realizacji wymogów wynikających z artykułu 8. To już rzadko są papiery. Tu się oczekuje dowodów na działania.
Przepis ten (art. 53) przewiduje także:
- nakazanie naprawienia działań w określonym terminie;
- nakazanie poinformowania odbiorców swoich usług których dotyczą zagrożenia, które występują;
- wyznaczenie urzędnika monitorującego Waszą pracę na określony czas póki nie spełnili wymogów ustawowych – taki jakby zarząd komisaryczny;
- wymóg publikacji informacji o naruszeniu przez Was ustawy;
- nałożenie kary pieniężnej.
Kontrola i kara
Artykuły 73 i 74 projektu ustawy o krajowym systemie cyberbezpieczeństwa przewidują kary za:
- brak zgłoszenia w terminie czy jesteś ważny czy kluczowy;
- brak wdrożenia systemu zarządzania bezpieczeństwem;
- brak środków technicznych i organizacyjnych bezpieczeństwa (procedury, technikalia, ochrona fizyczna);
- brak wykonywania obowiązków art. 8;
- brak realizacji obowiązków z art. 10;
- brak realizacji obowiązków z art. 11;
- nie usuwanie podatności art. 32;
- nie przeprowadzenie audytu w terminie (art. 15);
- uniemożliwianie lub utrudnianie kontroli;
- niewykonanie zaleceń w terminie;
- niewdrożenie poleceń zabezpieczających.
Wysokość kar m.in. przy braku zgłoszeń, nie może przekroczyć 10 mln euro ale nie może też być niższa niż 20 tys. zł. Na pocieszenie – jeśli prowadzicie działalność poniżej 12 miesięcy to możecie dostać maksymalnie 500 tys. euro.
Kara może wynieść do 100 mln zł jeżeli podmiot kontrolujący stwierdzi, że dane zdarzenie powoduje zagrożenie dla państwa lub jeśli niezastosowanie ustawy powoduje wywołanie poważnych utrudnień lub szkód majątkowych w świadczeniu usług.
Niezależnie od tych kar na kierownika podmiotu, czyli szefa firmy lub zarząd, można nałożyć karę za brak za niedokonanie obowiązków do 600% wynagrodzenia.
Przepisy przewidują także dodatkową kara pieniężna za opóźnienia (od 500 złotych do 100 tys. złotych dziennie).
I jeszcze taka ciekawostka: Art. 8c. 1. Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, o których mowa w art. 7, art. 8, art. 8d, art. 8e, art. 8f ust. 2, art. 8h, art. 9–11 i art. 15.
Cytat ten dedykuję piewcom wolności i działań antysystemowych, którzy zabierali głos na Hyde Parku w Janowie Podlaskim. W 8d jest zakres wyznaczonych Wam zadań, panowie biznesmeni. Czytajmy też dalej:
Art. 8e. Kierownik podmiotu kluczowego lub podmiotu ważnego raz w roku kalendarzowym przechodzi szkolenie z zakresu wykonywania obowiązków, o których mowa w art. 7, art. 8, art. 8d, art. 8e, art. 8f ust. 2, art. 8h, art. 9–11 i art. 15. Udział w szkoleniu jest udokumentowany.
Projekt MdS przygotował Wam te szkolenia. Od roku prosimy: szkolcie się! MdS został stworzony dla Was w celu zabezpieczenia rynku. Masę czasu poświęcamy na rozwiązanie problemu, który posiadamy wewnątrz – ograniczonych zasobów w stosunku do liczby MiŚOT-ów. Wiemy o tym od 3 lat i komunikujemy Wam to. Żeby każdy z Was mógł spać spokojnie trzeba Wam zapewnić:
- wdrożenie systemu bezpieczeństwa – każdy z Was musi mieć swój, nie ma uniwersalnego. Czyli: audyt i wdrożenie, czas i ludzie;
- nadzorowanie systemu bezpieczeństwa – z tego jesteście kontrolowani, nie z papierów! Papiery tylko opisują jak Wasz system organizacji działa – rola Pełnomocnika ds. Bezpieczeństwa lub przymusowe audyty – ludzie i czas;
- monitorowanie systemów trybie ciągłym – ludzie, czas, skuteczność – wymiana informacji z innymi SOC, reakcje, rekomendacje, testy;
- szkolenia dla personelu i kierownictwa – wypracowanie metody pozwalającej Wam mieć dostęp do miejsca, gdzie te szkolenia się dynamicznie zmieniają, zapewniając przy tym, że spełniacie warunki ustawy. Ktoś te szkolenia buduje, ktoś przygotowuje. Spróbujcie sami;
- ochrona danych osobowych w ujęciu normy, a nie RODO. Działania, a nie papiery! Ile macie wpisów w rejestrze naruszeń? Jak dbacie o kontrole umów powierzenia? Ile audytów wewnętrznych zrobiliście od 6 lat? Jak wyglądają siatki uprawnień? Kto to kontroluje?
Wszystkim, którzy jeszcze marudzą, że ścigamy z Was kasę, powtórzę: sprawdźcie ile to kosztuje na rynku. Etat? Nie ma sprawy, tylko wyszkolenie takiego specjalisty (żeby był samodzielny, sprawny i poruszał się w systemach, które opracowaliśmy dla Was), to jakiś rok czasu.
Rada radzi, projekt szkoli, a trzmiel bzyka
Rada Bezpieczeństwa Biznesowego MiŚOT na najbliższym posiedzeniu zabierze się do wypracowania naszego oficjalnego stanowiska. Prawdopodobnie przy współpracy z izbami gospodarczymi będziemy chcieli zminimalizować skutki ustawy, bo w pewnych kwestiach jest trochę przeregulowana w stosunku do dyrektywy NIS2. Kilka zapisów budzi kontrowersje. Przedstawimy rekomendacje dla operatorów i będziemy budować dokument będący wstępną ocenę skutków regulacji. Dołożymy też starań aby pracujące nad ustawą komisje go dostały.
Nie czekajcie jednak. To link do szkoleń: https://forms.gle/cKU4nPXqrviMhqss5, a dokładniej zapisy do subskrypcji portalu szkoleniowego. Cena: 179 netto na miesiąc (149 netto jeśli jesteś akcjonariuszem MiŚOT SA). Jest to koszt dostępu do portalu, na którym dostajecie szkolenia (także te obowiązkowe, nadążające za zmieniającymi się przepisami). Tam też pojawi się szkolenie co trzeba zrobić w związku z aktualnym projektem ustawy. Subskrypcja jest roczna. Płacicie za miesiąc lub rok. Ponieważ platforma należy do naszego partnera, robimy to na zapisy. Po zapisaniu się należy się spodziewać podpisanego zlecenia i prośby o dane Waszych pracowników. Za tę kwotę każdy Wasz pracownik może się szkolić ile chce i kiedy chce. Wyjątkiem są szkolenia z zakresu BHP regulowane odrębnymi przepisami.
W ramach naszych starań i grantów dopóki macie subskrypcję, macie też w ofercie podpis kwalifikowany (jeden w cenie, więcej z upustami). Będziemy prosili o daty wygaszenia Waszych podpisów albo osoby, którym chcecie je wydać. Umawiamy terminy i inny zespół zabiera się do realizacji zgodnie z harmonogramem, który nam wyjdzie.
Link do wdrożeń: https://forms.gle/n195ywujtbZaB4wR9. Proszę o zapisy. Wycena zależy od wielkości podmiotu. Gwarantuje Wam, że taniej nie znajdziecie. Za długo nad tym siedzieliśmy. Później podejmiecie decyzję czy chcecie kogoś od nas, sami czujecie się na siłach czy weźmiecie sobie pana Janka. MdS został zbudowany po to aby Wam gwarantować bezpieczeństwo. To jest ważne słowo.
A na zakończenie serdecznie pozdrawiam miłośników trzmiela z NASA.
Czytaj także: