Audyt według ustawy o KSC

Audyt zgodności Twojej organizacji z wymaganiami ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)

Audyt wg ustawy o KSC jest konsekwencją wejścia w życie 28 sierpnia 2018 r. ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wraz z towarzyszącymi rozporządzeniami. Nakłada ona na podmioty mające kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej państwa (tzw. operatorzy usług kluczowych) szereg obowiązków w zakresie cyberbezpieczeństwa.

Podmioty określone w ustawie jako operatorzy usług kluczowych są zobowiązani do wdrożenia wielu elementów podnoszących ich poziom bezpieczeństwa teleinformatycznego. Jednym z nich jest m.in. wdrożenie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zgodnej z wymaganiami norm PN-EN ISO/IEC 27001 i PN-EE ISO 22301 oraz oszacowanie ryzyka związanego z cyberbezpieczeństwem i wdrażanie adekwatnych zabezpieczeń.

Kogo dotyczy audyt wg ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)?

Przeprowadzanie audytu KSC wymagane jest w przypadku podmiotu włączonego do systemu o Krajowym Systemie Cyberbezpieczeństwa oraz będącego operatorem świadczącym usługi kluczowe, który:

  • został wskazany w załączniku do ustawy,
  • świadczy usługę kluczową określoną w rozporządzeniu,
  • świadczenie tej usługi zależy od systemów informacyjnych,
  • usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.

Usługi kluczowe wymienione w rozporządzeniu obejmują podmioty państwowe jak i prywatne z następujących sektorów:

  • energetyczny (m.in. energia elektryczna, ciepło, ropa i gaz),
  • transportowy (z podziałem na wodny, lądowy i powietrzny,
  • bankowy i infrastruktura rynków finansowych,
  • uzdatnianie wody i odprowadzanie ścieków,
  • ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny),
  • infrastruktury cyfrowej (DNS, IXP i TLD).

Co zyskuje organizacja z przeprowadzonego audytu wg ustawy o KSC?

Po wykonaniu usługi audytu KSC organizacja będzie w stanie:

  • zweryfikować gotowość do spełnienia wymagań i obowiązków wynikających z przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa,
  • wdrożyć skuteczne zabezpieczenia przed cyberatakami,
  • oszacować ryzyko związane z cyberbezpieczeństwem,
  • przekazywać informacje o poważnych incydentach do wyznaczonych organów.

Zakres audytu KSC

Wykonywany audyt KSC przez Ekspertów Agileo.IT obejmuje:

  • Przeprowadzanie analizy dokumentacji dotyczącą bezpieczeństwa IT,
  • Przeprowadzanie analizy skuteczności funkcjonowania mechanizmów kontrolnych,
  • Opracowanie raportu zawierającego opis zidentyfikowanych niezgodności oraz obserwacji wraz z rekomendacjami,
  • Opracowanie harmonogramu z szacunkowym kosztem rekomendowanych zmian,
  • Prezentację wyników analizy Kierownictwu organizacji.

Dlaczego Agileo.IT?

Nasi Eksperci:

  • Posiadają uprawnienia wymagane przez ustawę o Krajowym Systemie Cyberbezpieczeństwa do przeprowadzania oceny bezpieczeństwa systemów informacyjnych,
  • Mają wieloletnie doświadczenie w audytowaniu systemów zarządzania bezpieczeństwem informacji wg ISO 27001 oraz norm PN-ISO/IEC 20001 i ISO/IEC 27005,
  • Z powodzeniem przeprowadzili wiele audytów zgodności z wymaganiami ustawy o KSC.

Zachęcamy do kontaktu z nami – chętnie odpowiemy na wszelkie Państwa pytania związane z przeprowadzaniem audytu KSC.