KSC — Krajowy System Cyberbezpieczeństwa

Czym jest KSC?

Krajowy System Cyberbezpieczeństwa (KSC) to polska ustawa z 5 lipca 2018 roku, która implementuje europejską dyrektywę NIS (Network and Information Security). Ustanawia ramy prawne dla ochrony infrastruktury krytycznej i usług kluczowych w Polsce przed zagrożeniami cybernetycznymi.

KSC definiuje role i obowiązki wszystkich podmiotów zaangażowanych w zapewnienie cyberbezpieczeństwa na poziomie krajowym — od operatorów usług kluczowych, przez dostawców usług cyfrowych, po zespoły reagowania na incydenty (CSIRT).

Kogo dotyczy KSC?

Ustawa obejmuje szerokie spektrum organizacji:

• Operatorów usług kluczowych — podmioty z sektorów: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną, infrastruktura cyfrowa
• Dostawców usług cyfrowych — internetowe platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe
• Podmioty publiczne — jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego

Kluczowe obowiązki wynikające z KSC

• Wdrożenie systemu zarządzania bezpieczeństwem — organizacja musi posiadać formalny system zarządzania bezpieczeństwem informacji, obejmujący polityki, procedury i kontrole techniczne
• Wyznaczenie osoby kontaktowej — każdy podmiot musi wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa
• Szacowanie ryzyka — regularna identyfikacja i ocena zagrożeń dla systemów informacyjnych
• Zgłaszanie incydentów — obowiązek zgłoszenia poważnego incydentu do właściwego CSIRT w ciągu 24 godzin od wykrycia
• Audyty bezpieczeństwa — regularne audyty wewnętrzne i zewnętrzne stanu zabezpieczeń
• Dokumentacja — prowadzenie pełnej dokumentacji systemu bezpieczeństwa, incydentów i działań naprawczych

CSIRT — zespoły reagowania na incydenty

W Polsce działają trzy główne zespoły CSIRT:

• CSIRT NASK — obsługuje podmioty cywilne i sektor prywatny
• CSIRT GOV — obsługuje administrację rządową i infrastrukturę krytyczną
• CSIRT MON — obsługuje resort obrony narodowej

Kary za brak zgodności

Ustawa przewiduje kary administracyjne za niewywiązywanie się z obowiązków. Kara pieniężna może wynieść do 200 000 zł. W przypadku rażącego i uporczywego naruszania przepisów — nawet do 1 000 000 zł.

Jak SULI pomaga w zgodności z KSC?

Przeprowadzamy kompleksowy audyt zgodności z KSC — od inwentaryzacji zasobów, przez analizę ryzyka, po opracowanie kompletnej dokumentacji SZBI. Wspieramy w raportowaniu do CSIRT i przygotowujemy organizację na kontrolę ze strony organów właściwych.

Nasz proces obejmuje: gap analysis (co brakuje), roadmapę wdrożenia (co i kiedy zrobić), opracowanie dokumentacji (polityki, procedury), wdrożenie kontroli technicznych (hardening, monitoring) i szkolenie pracowników.