Artykuł sponsorowany

Obowiązki operatorów a dyrektywa NIS

Obowiązki operatorów a dyrektywa NIS

Dyrektywa NIS określa nowe obowiązki operatorów kluczowych w świetle przepisów o cyberbezpieczeństwie. W ogólności regulacje te dotyczą odporności systemów teleinformatycznych na ataki hakerów. Jacy przedsiębiorcy zaliczani są do grona operatorów kluczowych? I jakie obowiązki narzuca na nich dyrektywa NIS?

Operatorzy kluczowi

Dyrektywa NIS (Network Internet Security), ma na celu zapewnienie wysokiego poziomu odporności systemów teleinformatycznych na ataki w cyberprzestrzeni. Z kolei zwiększenie odporności systemów ma zapewnić niezakłócone świadczenie usług,  kluczowych dla państwa i jego gospodarki oraz usług cyfrowych. Dyrektywa  skierowana jest do dwóch grup podmiotów – operatorów usług kluczowych i dostawców usług cyfrowych. Jak tłumaczy nasz rozmówca, specjalista z firmy Audytel, zajmującej się przeprowadzaniem audytów teleinformatycznych:
Do operatorów usług kluczowych zaliczamy przedsiębiorców z takich sektorów jak: energetyka, bankowość i infrastruktura rynków finansowych, transport, służba zdrowia, zaopatrzenie w wodę pitną oraz infrastruktura cyfrowa. Do dostawców usług cyfrowych zaś zaliczamy dostawców internetowych platform handlowych, wyszukiwarek internetowych oraz usług przetwarzania w chmurze. Dyrektywa NIS nie wprowadza rozróżnienia na podmioty prywatne oraz publiczne, a co za tym idzie każdy wyznaczony podmiot świadczący wyżej wymienione usługi, musi wypełniać narzucane przez nią obowiązki.

Obowiązki operatorów usług kluczowych wynikające z dyrektywy NIS

Dyrektywa NIS narzuca na operatorów usług kluczowych dwa główne obowiązki. Przede wszystkim operatorzy zobowiązani są do wprowadzania zależnych od poziomu ryzyka środków zarówno organizacyjnych, jak i technicznych, które zapewnią bezpieczeństwo oraz ciągłość świadczonych przez nich usług. W ramach tego obowiązku operatorzy muszą m.in.:
  • zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemów informacyjnych, które są wykorzystywane do świadczenia usług kluczowych,
  • zarządzać incydentami,
  • stosować środki techniczne i organizacyjne w celu analizowania i zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane przez operatora do świadczenia usług kluczowych,
  • zarządzać ryzykiem zakłócenia ciągłości świadczenia usług kluczowych,
  • obejmować świadczone usługi kluczowe systemem monitorowania w trybie ciągłym,
  • utrzymywać i bezpiecznie eksploatować systemy informacyjne,
  • stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemów informacyjnych.
Ponadto operatorzy zobowiązani są do prowadzenia odpowiedniej dokumentacji dotyczącej cyberbezpieczeństwa systemów informacyjnych, które wykorzystywane są do świadczenia usług kluczowych. Drugim głównym obowiązkiem operatorów usług kluczowych jest konieczność raportowania oraz obsługi incydentów. Co to oznacza w praktyce? Otóż operator musi zidentyfikować zaistniały incydent, następnie dokonać jego rejestracji oraz klasyfikacji. Incydenty sklasyfikowane według progów jako poważne, czyli takie, które powodują lub mogą spowodować poważne obniżenie jakości lub nawet przerwanie ciągłości działania świadczonej usługi kluczowej, muszą być zgłaszane niezwłocznie (nie później niż w ciągu 24 godzin od momentu wykrycia) do właściwego CSIRT (Computer Security Incident Response Team). Dodatkowo operatorzy mają obowiązek wyznaczyć osoby odpowiedzialne za cyberbezpieczeństwo świadczonych usług kluczowych oraz zapewnienie użytkownikom usług dostępu do wiedzy, która umożliwi zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed nimi. Ponadto operatorzy zobowiązani są do przeprowadzania co najmniej raz na dwa lata audytu bezpieczeństwa teleinformatycznego. Ustawa NIS dopuszcza możliwość budowy wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, jak i outsourcingu usług z zakresu cyberbezpieczeństwa. Dyrektywa ma pomóc przedsiębiorstwom skuteczniej stawiać opór hakerom, a także pomóc w zapobieganiu atakom na infrastrukturę cyfrową. Zaniechanie realizacji postanowień NIS wiąże się z możliwością otrzymania kary pieniężnej.

Podziel się:

Ogólna ocena artykułu

form success Dziękujemy za ocenę artykułu

form errorBłąd - akcja została wstrzymana

Polecane firmy

Dbamy o Twoją prywatność

W naszym serwisie używamy plików cookies (tzw. ciasteczek), które zapisują się w przeglądarce internetowej Twojego urządzenia.

Dzięki nim zapewniamy prawidłowe działanie strony internetowej, a także możemy lepiej dostosować ją do preferencji użytkowników. Pliki cookies umożliwiają nam analizę zachowania użytkowników na stronie, a także pozwalają na odpowiednie dopasowanie treści reklamowych, również przy współpracy z wybranymi partnerami. Możesz zarządzać plikami cookies, przechodząc do Ustawień. Informujemy, że zgodę można wycofać w dowolnym momencie. Więcej informacji znajdziesz w naszej Polityce Cookies.

Ustawienia Polityka Cookies Akceptuję wszystkie

Zaawansowane ustawienia cookies

Niezbędne pliki cookies Analityczne pliki cookies Marketingowe pliki cookies

Techniczne i funkcjonalne pliki cookie umożliwiają prawidłowe działanie naszej strony internetowej. Wykorzystujemy je w celu zapewnienia bezpieczeństwa i odpowiedniego wyświetlania strony. Dzięki nim możemy ulepszyć usługi oferowane za jej pośrednictwem, na przykład dostosowując je do wyborów użytkownika. Pliki z tej kategorii umożliwiają także rozpoznanie preferencji użytkownika po powrocie na naszą stronę.

Analityczne pliki cookie zbierają informacje na temat liczby wizyt użytkowników i ich aktywności na naszej stronie internetowej. Dzięki nim możemy mierzyć i poprawiać wydajność naszej strony. Pozwalają nam zobaczyć, w jaki sposób odwiedzający poruszają się po niej i jakimi informacjami są zainteresowani. Dzięki temu możemy lepiej dopasować stronę internetową do potrzeb użytkowników oraz rozwijać naszą ofertę. Wszystkie dane są zbierane i agregowane anonimowo.

Marketingowe pliki cookie są wykorzystywane do dostarczania reklam dopasowanych do preferencji użytkownika. Mogą być ustawiane przez nas lub naszych partnerów reklamowych za pośrednictwem naszej strony. Umożliwiają rozpoznanie zainteresowań użytkownika oraz wyświetlanie odpowiednich reklam zarówno na naszej stronie, jak i na innych stronach internetowych i platformach społecznościowych. Pliki z tej kategorii pozwalają także na mierzenie skuteczności kampanii marketingowych.

Zapisz ustawienia Zezwól na wszystkie pliki cookies