Польша реализует директиву NIS2. Новые отрасли, CSIRT и 7 лет на поэтапный отказ от оборудования от поставщиков с высоким уровнем риска

Сейм завершил голосование по поправке к Закону о национальной системе кибербезопасности, которая должна реализовать директиву ЕС NIS2 и рекомендации по сетевой безопасности 5G в Польше. Сейчас законопроект поступает в Сенат. Изменения включают расширение перечня чувствительных секторов экономики, создание новых групп реагирования на инциденты и механизм исключения поставщиков высокого риска из наиболее важной государственной инфраструктуры.

Польша реализует директиву ЕС NIS2 с задержкой более чем на год, расширяя национальную систему кибербезопасности на новые сектора и налагая технические обязательства и санкции на сумму до 100 миллионов злотых на тысячи компаний.

Российская хакерская группа Sandworm атаковала польскую энергосистему с помощью вредоносного ПО DynoWiper.

Поправка вводит разделение на ключевые и важные субъекты, заменяя существующих ключевых операторов услуг и поставщиков цифровых услуг. Теперь система будет охватывать шестнадцать секторов: от энергетики, транспорта и банковского дела до почтовых услуг, управления сточными водами и даже космической деятельности. Этим отраслям придется принять соответствующие технические и организационные меры, адаптированные к масштабам деятельности и характеру предоставляемых услуг. Поддержку будет оказывать сеть отраслевых команд CSIRT, которые будут анализировать инциденты, создавать базу знаний об угрозах и обучать предпринимателей. Данное решение призвано повысить эффективность реагирования на кибератаки и улучшить обмен информацией между субъектами и надзорными органами через систему отчетности S46.

Портал Cyber.gov.pl объединяет службы кибербезопасности НАСК и Министерства цифровизации. Это может спасти вашу компанию

Спорным элементом поправки является порядок признания поставщиков высокорисковыми. Министр цифровизации совместно с Колледжем кибербезопасности сможет в рамках многоступенчатой ​​административной процедуры выявлять производителей, оборудование и программное обеспечение которых представляют угрозу государственной безопасности. Хотя в законопроекте не упоминаются компании поименно, его положения обычно связаны с китайскими компаниями, такими как Huawei и ZTE. Европейская комиссия ранее рекомендовала государствам-членам ограничить свое присутствие в телекоммуникационных сетях. Ключевые и важные субъекты не смогут внедрять новые продукты от таких поставщиков, а существующие решения придется выводить из эксплуатации в течение семи лет. Мобильные операторы получили более короткий срок, а именно три года, в соответствии с рекомендациями Набора инструментов ЕС для безопасности 5G. Стоимость этой операции может достигать миллиардов злотых, что подтверждает американский опыт, где регулятор FCC оценил компенсацию операторам примерно в пять миллиардов долларов.

Командование защиты киберпространства запускает Киберлегион. Новая модель набора ИТ-специалистов в оборонные структуры

Система санкций призвана стать настоящим дисциплинарным инструментом. Ключевые предприятия могут получить штраф в размере 20 000 злотых. PLN до 10 миллионов евро или двух процентов. годовой доход, в то время как важные предприятия сталкиваются с риском в размере 15 000 злотых и более. злотых до семи миллионов евро или 1,4 процента. революции. За каждый день просрочки исполнения распоряжения органа кибербезопасности предусмотрен штраф в размере от 500 до 100 000 злотых. злотых. В крайних случаях, когда халатность представляет прямую угрозу обороне, государственной безопасности или жизни людей, размер санкции может достигать 100 миллионов злотых. Однако парламентская поправка продлила действие закона об освобождении от наказания. Они вступят в силу только через два года после вступления закона в силу, что дает предпринимателям больше времени для подготовки систем безопасности. Как мы писали ранее, реализация директивы NIS2 в Польше охватит более 10 000 человек. компании, которые должны будут соблюдать стандарты, охватывающие управление рисками, процедуры реагирования на инциденты и обучение персонала.

Источник: Gov.pl, Сейм Республики Польша.