Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest związana z wdrożeniem dyrektywy NIS2 i ma wzmocnić ochronę sieci, systemów oraz usług istotnych dla państwa i obywateli. Dla CUW temat jest szczególnie ważny, bo centra usług wspólnych przetwarzają dane finansowe, kadrowe, płacowe, księgowe i organizacyjne wielu jednostek jednocześnie.
Cyberbezpieczeństwo nie powinno być traktowane wyłącznie jako zadanie informatyka. W CUW dotyczy także organizacji pracy, uprawnień pracowników, sposobu obsługi zgłoszeń, umów z dostawcami systemów, kopii zapasowych oraz ciągłości działania w okresach zamknięcia miesiąca, naliczania płac lub sporządzania sprawozdań.
Obszary do przeglądu
- aktualna lista systemów i osób z dostępem administracyjnym,
- zasady nadawania, odbierania i okresowego przeglądu uprawnień,
- kopie zapasowe oraz testy odtwarzania danych,
- procedury zgłaszania i obsługi incydentów,
- wymagania cyberbezpieczeństwa w umowach z dostawcami IT.
Dobrym pierwszym krokiem jest krótki audyt organizacyjny: które usługi CUW są krytyczne, jakie dane są przetwarzane, kto odpowiada za reakcję na incydent i jak długo jednostki obsługiwane mogą działać bez danego systemu. Taki przegląd pozwala przygotować plan działań bez sprowadzania cyberbezpieczeństwa do jednorazowego zakupu narzędzia.
Źródło: Ministerstwo Cyfryzacji: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa.
Zdjęcie: Shixart1985 / Wikimedia Commons, CC BY 2.0.