ENERGETYKA, RYNEK ENERGII - CIRE.pl - energetyka zaczyna dzień od CIRE
Właścicielem portalu jest ARE S.A.
ARE S.A.

SZUKAJ:



PANEL LOGOWANIA

X
Portal CIRE.PL wykorzystuje mechanizm plików cookies. Jeśli nie chcesz, aby nasz serwer zapisywał na Twoim urządzeniu pliki cookies, zablokuj ich stosowanie w swojej przeglądarce. Szczegóły.


SPONSORZY
ASSECO
PGNiG
ENEA

Polska Spółka Gazownictwa
CMS

PGE
CEZ Polska
ENERGA





KOMENTARZE CMS
CMS


KOMENTARZE CMS

Ustawa o krajowym systemie cyberbezpieczeństwa - co oznacza dla energetyki?
04.09.2018r. 09:55

Ireneusz Piecuch, partner i radca prawny, lider praktyki telekomunikacyjnej kancelarii CMS w regionie Europy Środkowo-Wschodniej
Piotr Ciołkowski, partner i radca prawny, lider praktyki regulacyjnej w zespole energetycznym kancelarii CMS
28 sierpnia weszła w życie ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa ("Ustawa"). Ustawa definiuje organizacje krajowego systemu cyberbezpieczeństwa, zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie jej stosowania oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Regulacje Ustawy są także ważne z punktu widzenia podmiotów działających w sektorze energetycznym.

Ustawa ma za zadanie implementować postanowienia Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii ("Dyrektywa NIS"), która została uchwalona 6 lipca 2016 roku. Podsumowując główne założenia Dyrektywy NIS należy przede wszystkim wskazać, że znalazły się w niej przepisy zobowiązujące państwa członkowskie do przyjęcia krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych, jak również przepisy zobowiązujące do wyznaczenia organów odpowiedzialnych za realizację celów w zakresie cyberbezpieczeństwa. Dyrektywa NIS określiła ponadto wymogi dotyczące bezpieczeństwa oraz zgłaszania incydentów, czyli zdarzeń mających niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych. Została także utworzona tzw. grupa współpracy składająca się z przedstawicieli państw członkowskich, komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ENISA oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT-y). Choć implementacji Dyrektywy NIS do porządku krajowego należało dokonać do dnia 9 maja 2018 roku, w Polsce transponowano ją z małym poślizgiem - proces ten zakończył się podpisaniem przez Prezydenta Ustawy dnia 5 lipca 2018 roku.

Z punktu widzenia energetyki najważniejsze znaczenie mają regulacje dotyczące podmiotów, jakimi są operatorzy usług kluczowych. W świetle Ustawy operatorem usługi kluczowej, czyli usługi mającej podstawowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej są w szczególności przedsiębiorstwa z sektora energii, ciepła, ropy naftowej i gazu, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania (bądź wydobycia), przesyłania, dystrybucji, obrotu lub magazynowania odpowiednio kopalin, energii elektrycznej, ciepła, ropy naftowej lub gazu. Organy właściwe do spraw cyberbezpieczeństwa mają czas do 9 listopada 2018 roku, żeby wydać stosowne decyzje o uznaniu danego przedsiębiorstwa za operatora usługi kluczowej, a następnie powiadomić o tym Ministra Cyfryzacji, który prowadzi wykaz takich podmiotów. Podkreślenia wymaga, że decyzja ta będzie podlegać natychmiastowemu wykonaniu, niezależnie od ewentualnej drogi odwoławczej. W związku z tym, że implementacja Dyrektywy NIS ma służyć także zbudowaniu ogólnoeuropejskiego systemu zapewniającego bezpieczeństwo krajów członkowskich w cyberprzestrzeni, w przypadku podmiotów świadczących usługę kluczową także w innych państwach UE, Minister Cyfryzacji będzie prowadził także odpowiednie konsultacje międzynarodowe.

Konieczność dostosowania organizacji wewnętrznej operatora usługi kluczowej oraz procesów obowiązujących w jego przedsiębiorstwie do wymogów Ustawy może oznaczać dla niektórych podmiotów, które zostaną uznane za takich operatorów, dodatkowe koszty, a nawet dodatkowe inwestycje. Każdy operator usługi kluczowej ma obowiązek wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. W ramach takiego systemu, operatorzy zobowiązani będą między innymi do prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem. System taki winien zostać wdrożony w terminie trzech miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. W przypadku uchybienia temu obowiązkowi, Ustawa przewiduje możliwość nałożenia kary w wysokości 150 tysięcy złotych, a jeżeli uchybienie takie miałoby cechy uporczywości i spełnione zostałyby jeszcze dodatkowe warunki, kara może wzrosnąć nawet do 1 miliona złotych.

Kolejnym obowiązkiem operatora usługi kluczowej, na którego realizację ma 6 miesięcy, jest konieczność wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. I w tym przypadku uchybienie obowiązkowi jest zagrożone karą - tu w wysokości 100 tysięcy złotych. Ustawa wymienia szereg cech, którymi system zarządzania bezpieczeństwem musi się charakteryzować. Wdrożone środki techniczne i organizacyjne muszą bowiem zapewniać utrzymanie i bezpieczną eksploatację systemu, bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, a także wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej, poufność, integralność, dostępność i autentyczność informacji oraz monitorowanie systemu w trybie ciągłym.

Ustawa przewiduje także inne obowiązki dla operatora usługi kluczowej. Należą do nich m.in. wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z innymi podmiotami krajowego systemu cyberbezpieczeństwa, utrzymywanie stosownej dokumentacji oraz powołanie wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z tego zakresu (podmioty takie także wchodzą w skład krajowego systemu cyberbezpieczeństwa). Ponadto, operator usługi kluczowej ma także obowiązek przeprowadzenia przynajmniej raz na dwa lata audytu bezpieczeństwa przez podmiot lub audytorów do tego upoważnionych. Pierwszy taki audyt powinien się odbyć w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zasada ta nie będzie miała zastosowania u operatorów, u których osoby spełniające warunki zdefiniowane w Ustawie dla audytorów, przeprowadziły w danym roku audyt wewnętrzny w zakresie bezpieczeństwa informacji na podstawie ustawy z 17 lutego 2015 roku o informatyzacji podmiotów realizujących zadania publiczne. W końcu, dostawcy usług kluczowych zobowiązani są także do obsługi incydentów, ich klasyfikacji oraz zgłaszania ich do właściwego CSIRT. Dotyczy to incydentów poważnych, czyli takich które powodują lub mogą powodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej.

Niewątpliwie samo uchwalenie Ustawy jest olbrzymim krokiem naprzód, ponieważ daje szanse na systematyczne i kompleksowe zaadresowanie problemu stanowiącego jedno z głównych wyzwań cyfryzacji życia prywatnego i publicznego. Cyberprzestępczość to nie tylko intratny biznes. Wykorzystywanie złośliwego oprogramowania służyć może także m.in. jako narzędzie wspomagające lub zastępujące działania militarne czy narzędzie do szpiegostwa przemysłowego. Cyberzagrożenia to globalne wyzwanie cywilizacyjne - stąd implementacja Dyrektywy NIS jest kluczowa dla systemu ochrony polskich obywateli, jednostek administracji państwowych i samorządowych, a także przedsiębiorstw w tym przedsiębiorstw energetycznych.
CMS

Dodaj nowy Komentarze ( 0 )

WIĘCEJ NA TEN TEMAT W SERWISACH TEMATYCZNYCH

O CMS
CMS - to jedna z największych i najbardziej doświadczonych międzynarodowych kancelarii w Polsce, należąca do sieci CMS - szóstej na świecie pod względem liczby prawników.
W Polsce ponad 160 prawników CMS wspiera klientów usługami doradztwa prawnego i podatkowego we wszystkich obszarach prawa i sektorach gospodarki. Nasze zespoły w Warszawie i Poznaniu działają w ramach międzynarodowej sieci 74 biur zlokalizowanych w 42 krajach na całym świecie. Do naszych klientów należą zarówno międzynarodowe koncerny, jak i największe polskie przedsiębiorstwa oraz firmy rodzinne, instytucje finansowe i sektor publiczny. Dzięki specjalizacji sektorowej prawników CMS nasi klienci otrzymują kompleksową wiedzę o aktualnych wyzwaniach i trendach w danej branży, a także wsparcie zespołu, który rozumie specyfikę prowadzenia działań biznesowych w poszczególnych sektorach gospodarki, ze szczególnym uwzględnieniem sektorów regulowanych. Najważniejsze obszary doradztwa prawnego to: energetyka, infrastruktura i finansowanie projektów, fuzje i przejęcia, private equity, postępowania sporne i arbitraż, nieruchomości i budownictwo, finanse i bankowość oraz własność intelektualna i nowe technologie.

DODAJ KOMENTARZ
Redakcja portalu CIRE informuje, że publikowane komentarze są prywatnymi opiniami użytkowników portalu CIRE. Redakcja portalu CIRE nie ponosi odpowiedzialności za ich treść.

Przesłanie komentarza oznacza akceptację Regulaminu umieszczania komentarzy do informacji i materiałów publikowanych w portalu CIRE.PL
Ewentualne opóźnienie w pojawianiu się wpisanych komentarzy wynika z technicznych uwarunkowań funkcjonowania portalu. szczegóły...

Podpis:


Poinformuj mnie o nowych komentarzach w tym temacie


PARTNERZY
PGNiG TERMIKA
systemy informatyczne
Clyde Bergemann Polska
PAK SERWIS Sp. z o.o.
GAZ STORAGE POLAND
GAZ-SYSTEM S.A.
Veolia
PKN Orlen SA
TGE
Savangard
Audax
Audax
Tauron
DISE
BiznesAlert
Obserwatorium Rynku Paliw Alternatywnych ORPA.PL
Energy Market Observer
Innsoft



cire
©2002-2021
mobilne cire
IT BCE