Cyberbezpieczeństwo jest ostatnio niezwykle popularnym tematem, nie tylko w firmach komercyjnych, ale także w instytucjach publicznych. Duży wpływ na to ma wejście w życie Dyrektywy NIS2, która wiele organizacji zmobilizowała do zajęcia się tematem cyberbezpieczeństwa. Co warto wiedzieć na temat NIS2, jak podejść w praktyce do wdrożenia tego dokumentu?
Zachęcamy do obejrzenia rozmowy z naszymi ekspertkami – Edytą Pietak, Managing Director w DEVTALENTS oraz Agnieszką Wachowską, radczynią prawną w Kancelarii Traple Konarski Podrecki i Wspólnicy w ramach cyklu Procurement Influencers Talks: Okiem Ekspertów Pzp.
Cyberbezpieczeństwo – podstawy prawne, czyli NIS i NIS2
Temat cyberbezpieczeństwa w sektorze publicznym nie jest tematem nowym i istnieje już od jakiegoś czasu, choć warto podkreślić, że rzeczywiście w ostatnich miesiącach znacząco zyskał na popularności. Ma to bezpośredni związek z Dyrektywą NIS2, która jednak nie jest pierwszym dokumentem dotyczącym cyberbezpieczeństwa. Zacznijmy więc od początku.
Poprzednikiem Dyrektywy NIS2 jest Dyrektywa NIS, która była pierwszą dyrektywą poświęconą ogólnie cyberbezpieczeństwu w Unii Europejskiej. Dotyczyła ona dość wąskiego grona podmiotów, tzw. operatorów usług cyfrowych. W Polsce dyrektywa NIS została zaimplementowana ustawą o Krajowym Systemie Cyberbezpieczeństwa w 2018 roku, czyli już 6 lat temu. Ustawa ta, choć skupiała się głównie na sektorze prywatnym, zawierała również przepisy dotyczące podmiotów publicznych, które polski ustawodawca dodał, niejako uzupełniając tym samym luki w dyrektywie NIS.
Równolegle funkcjonuje także Ustawa o Informatyzacji działalności podmiotów realizujących zadania publiczne, wraz z którą wprowadzono Krajowe Ramy Interoperacyjności (KRI), które zawierają wytyczne dotyczące bezpieczeństwa systemów teleinformatycznych w sektorze publicznym.
Warto także dodać, że grupa robocza przy Prezesie UZP, która przygotowywała wytyczne dotyczące zamawiania Systemów Informatycznych w opracowanym drugim tomie, dotyczącym opisu przedmiotu zamówienia, zawarła specjalny rozdział dotyczący cyberbezpieczeństwa.
Jak podsumowała to Agnieszka Wachowska podczas webinaru:
– Ramy dotyczące tego, że sektor publiczny i administracja powinna dbać o cyberbezpieczeństwo, są z nami od wielu lat, natomiast faktycznie nie było takiej mocnej egzekucji i te przepisy zawierały dosyć ogólne normy.
Cyberbezpieczeństwo w zamówieniach publicznych w praktyce
Czym tak naprawdę jest cyberbezpieczeństwo? To bez wątpienia coś więcej niż sama Dyrektywa NIS2. Nie można go kupić, musi być uwzględniane w działaniach na wielu obszarach. Dotyczy zarówno zakupu systemów informatycznych, jak i zakupu sprzętu czy szkoleń dla pracowników w jednostkach publicznych, tak aby wiedzieli, jak bezpiecznie poruszać się w sieci.
Zachęcamy także do przeczytania artykułu na temat cyberbezpieczeństwa w organizacji – co warto wiedzieć na ten temat.
Jak wygląda wdrożenie NIS2 w praktyce?
Przede wszystkim NIS2 obejmuje znacznie więcej organizacji niż NIS, a każdy podmiot musi samodzielnie ocenić, czy Dyrektywa go dotyczy. Następnym etapem jest audyt i ocena, co w organizacji już jest, czego brakuje i co trzeba wdrożyć. Dotyczy to zarówno procedur, jak i koniecznych usług/ sprzętu. Tu wchodzi kolejny etap – wybór dostawcy, a także zarezerwowanie środków na niezbędne zamówienia.
Jak podkreślała w rozmowie Edyta Pietak:
– My ze swojej perspektywy rekomendowalibyśmy, żeby zamawiający brali pod uwagę oferty od firm, które same mają już wdrożone i spełniają standardy, chociażby ISO 27001, ponieważ jeżeli sama firma spełnia standardy bezpieczeństwa informacji, to będzie też umiała podobne standardy wdrożyć w jednostkach czy w innych organizacjach.
Bezpieczeństwo łańcucha dostaw, czyli weryfikacja dostawców
NIS2 podkreśla także bezpieczeństwo łańcucha dostaw, co ma bezpośredni wpływ na współpracę z dostawcami. Zamawiający mogą to robić na trzech poziomach:
- Weryfikacja dostawców, czyli sprawdzanie potencjalnych dostawców pod kątem ich zabezpieczeń.
- Postanowienia umowne, czyli zadbanie o to, aby umowy z dostawcami zawierały szczegółowe zapisy dotyczące cyberbezpieczeństwa, takie jak obowiązek stosowania określonych procedur bezpieczeństwa, raportowania incydentów i zagrożeń, a nawet konsekwencje nieprzestrzegania tych zapisów w tym możliwość wypowiedzenia umowy.
- Kontrola przestrzegania umowy, czyli Zamawiający powinni regularnie sprawdzać, czy dostawcy faktycznie stosują się do zawartych w umowie postanowień. Można to robić np. za pomocą audytów.
