Baza wiedzy

Cyfrowa odpowiedzialność a nowe przepisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Jednostki Samorządu Terytorialnego stają dziś przed największym od lat wyzwaniem w obszarze bezpieczeństwa informacji. To już nie tylko kwestia dobrych praktyk czy ochrony danych osobowych (RODO). Nadchodzące zmiany w UoKSC, implementujące unijną dyrektywę NIS2, nakładają na Kierowników Jednostek Administracji Publicznej – jako podmioty kluczowe i ważne – szereg rygorystycznych obowiązków.

Brak usystematyzowanego podejścia do cyberbezpieczeństwa to dziś nie tylko ryzyko paraliżu pracy Urzędu w wyniku ataku ransomware, czy wycieku danych. Wynikiem tego jest realne ryzyko niedopełnienia obowiązków ustawowych. Może to skutkować kontrolami Organów Nadzorczych oraz odpowiedzialnością finansową.

Merytoryczne fundamenty bezpieczeństwa IT

Nowelizacja przepisów precyzuje konkretne obszary, w których każda Gmina, Powiat czy Województwo musi podjąć działania.

Kluczowe filary cyberbezpieczeństwa w Ustawie o KSC:

• Budżetowanie i planowanie (Art. 8d) Ustawodawca wskazuje, że Kierownik Podmiotu ma obowiązek planowania adekwatnych środków finansowych na realizację zadań z zakresu cyberbezpieczeństwa. Oznacza to konieczność uwzględnienia usług bezpieczeństwa IT bezpośrednio w planach budżetowych JST.
• System Zarządzania Bezpieczeństwem Informacji (SZBI) i dokumentacja (Art. 8 i 10) Zgodnie z wytycznymi, Jednostki muszą opracować, wdrożyć i – co najważniejsze – aktualizować dokumentację dotyczącą bezpieczeństwa systemów informacyjnych. O tym dlaczego to ważne i czym grozi zaniedbanie w tym obszarze pisaliśmy ostatnio na naszym blogu. Wymagana jest ranga dokumentacji ustawowej. Z pewnością stawia to wyższe wymagania niż dotychczasowe Rozporządzenie o Krajowych Ramach Interoperacyjności (KRI).

• Obowiązkowe szkolenia dla Kadry Zarządzającej (Art. 8e) Absolutna nowość – Kierownik Jednostki oraz osoby odpowiedzialne za cyberbezpieczeństwo mają ustawowy obowiązek przechodzenia szkolenia raz w roku kalendarzowym. Budowanie świadomości personelu (Art. 8d pkt 4) staje się obligatoryjne.
• Cykliczne audyty zewnętrzne (Art. 15) Podmioty kluczowe są zobligowane do przeprowadzania audytu bezpieczeństwa co najmniej raz na 3 lata. W przypadku wystąpienia poważnego incydentu, Organ Właściwy może nakazać przeprowadzenie audytu zewnętrznego w trybie natychmiastowym. Taki audyt musi wykonać podmiot posiadający odpowiednie akredytacje i kompetencje (minimum dwóch certyfikowanych Audytorów).
• Wyznaczenie osób kontaktowych (Art. 9) Administracja Publiczna musi wyznaczyć osoby odpowiedzialne za kontakty z Krajowym Systemem Cyberbezpieczeństwa. Dla wielu Jednostek optymalnym rozwiązaniem w świetle KSC staje się outsourcing roli „Pełnomocnika ds. cyberbezpieczeństwa”, na wzór sprawdzonego modelu outsourcingu Inspektora Ochrony Danych (IOD).

Dlaczego warto działać już teraz?

Inwestycja w cyberbezpieczeństwo to realny zysk dla JST.

• Spokój prawny i finansowy – Zgodność ze zaktualizowaną UoKSC chroni Kierownika Jednostki przed zarzutem niedopełnienia obowiązków i potencjalnymi karami. Zgodnie z przepisami sięgają one nawet 50 tys. zł w przypadku braku współpracy z CSIRT.
• Oszczędność czasu – Gotowe schematy dokumentacji SZBI i wsparcie Ekspertów przy audytach odciążają wewnętrzne działy IT. Pozwala to skupić się na bieżącej obsłudze mieszkańców.
• Ciągłość świadczenia usług – Profesjonalne zabezpieczenia to minimalizacja ryzyka przestojów w pracy Urzędu, co przekłada się na zaufanie obywateli i sprawność wydziałów.
• Wydajność budżetowa – Dzięki jasnym przepisom (Art. 8d), wydatki na IT stają się uzasadnionym i wymaganym elementem planu finansowego, co ułatwia procesy zakupowe.

Następne kroki zgodne z Ustawą o KSC

Czas na wdrożenie kluczowych zmian (dokumentacja, wyznaczenie osób odpowiedzialnych za procesy) wynosi zazwyczaj 12 miesięcy od wejścia w życie przepisów, a na pierwszy audyt, 24 miesiące. Biorąc pod uwagę złożoność procesów w JST, niewątpliwie proces przygotowawczy powinien zacząć się już dziś.

Wiemy, jak to zrobić. Pomożemy Twojej Jednostce zbudować realne bezpieczeństwo cyfrowe w oparciu o Ustawowe wymogi oraz wieloletnie doświadczenie we współpracy z JST. Posiadamy niezbędne kwalifikacje i certyfikaty ISO 27001.

Zapraszamy do kontaktu.