1. Szeroki krąg podmiotów dotkniętych nowelizacją
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, modyfikuje dotychczasowe zasady, procedury i obowiązki wynikające z przynależności do krajowego systemu cyberbezpieczeństwa.
Zmiany te nie ograniczają się jednak wyłącznie do organizacji, które formalnie zostaną wpisane do Wykazu KSC. W praktyce ich skutki mogą odczuć również mniejsi dostawcy, podwykonawcy i partnerzy technologiczni współpracujący z regulowanymi podmiotami.
2. Łańcuch dostaw
Podmioty kluczowe i ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, dopasowane do swojej wielkości i charakteru świadczonych usług. W ramach dostosowania powinny m.in. przeanalizować zasoby, zidentyfikować cyberzagrożenia, przejrzeć procedury i przeszkolić pracowników.
Jednym z istotnych obszarów tej analizy jest bezpieczeństwo łańcucha dostaw. Wynika to z faktu, że wiele incydentów nie wynika z bezpośredniego ataku na dany podmiot, lecz z podatności lub naruszeń po stronie dostawcy, w tym dostawcy oprogramowania.
Dlatego nawet firma, która sama nie kwalifikuje się jako podmiot kluczowy lub ważny, może zostać objęta dodatkowymi wymaganiami kontraktowymi. W praktyce może to oznaczać nowe aneksy do umów, obowiązek spełniania określonych standardów bezpieczeństwa, udział w audytach, przedstawianie certyfikatów, wdrożenie procedur reagowania na incydenty albo zobowiązanie do szybkiego informowania kontrahenta o naruszeniach.
Pomagamy konstruować i opiniować zakresy wymogów nakładanych na dostawców zarówno pod kątem płynnej operacyjności biznesowej, jak i spełnienia wymagań regulacyjnych. Wiemy, jak łączyć przepisy z różnych dziedzin prawa (cyberbezpieczeństwo, RODO czy AML) z realizacją Twoich celów biznesowych. Skontaktuj się z nami i zróbmy to razem!