Wraz z planowaną nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), instytucje kultury – zarówno publiczne, jak i prywatne – zostaną objęte rygorystycznymi obowiązkami wynikającymi z wdrażania unijnej dyrektywy NIS-2. Nowe przepisy przewidują m.in. konieczność wdrożenia systemów zarządzania bezpieczeństwem informacji, przeprowadzania audytów, dokumentowania działań oraz zgłaszania incydentów. Instytucje zaklasyfikowane jako podmioty kluczowe lub ważne (PKW) muszą przygotować się do spełnienia wymagań organizacyjnych, technicznych i prawnych w celu skutecznego zarządzania ryzykiem cybernetycznym. Projekt ustawy w wersji z lutego 2025 r. precyzuje szczegóły tych obowiązków.

Opracowanie oparto o projekt nowelizacji uksc w wersji z lutego 2025 r. Wspominając w niniejszym opracowaniu łącznie o podmiotach kluczowych i ważnych (do których można zaliczyć prywatne i publiczne instytucje kultury – patrz: część 1 opracowania), przypisujemy im w niniejszym tekście symbol „PKW”. Szczegóły postępowania z PKW i datę wejścia w życie nowych obowiązków ustali uksc w nowym brzmieniu.

Jakie konkretne obowiązki w zakresie cyberbezpieczeństwa nałożono na instytucje kultury

Czy instytucje kultury muszą tworzyć i wdrażać polityki zarządzania bezpieczeństwem informacji? Instytucje kultury muszą przede wszystkim:

• wypełniać obowiązki w zakresie rejestracji w wykazie PKW prowadzonym przez ministra ds. informatyzacji (art. 7-7m uksc);
• wdrożyć odpowiedni system zarządzania bezpieczeństwem informacji (zwłaszcza art. 8, 8a i załącznik nr 4 do uksc);
• wypełniać obowiązki w zakresie relacji zewnętrznych (art. 9 uksc) – przepisy o przepływie informacji między PKW a użytkownikami ich usług i podmiotami krajowego systemu cyberbezpieczeństwa;
• wypełniać obowiązki związane z dokumentacją bezpieczeństwa systemu informacyjnego ( DBSI– art. 10 uksc);
• przeprowadzać audyt bezpieczeństwa systemu informacyjnego (art. 15 uksc) oraz
• zgłaszać i obsługiwać incydenty bezpieczeństwa (art. 11-12b uksc);

Ponadto, nowelizacja uksc to także obowiązki kierownika m.in. instytucji kultury zaliczanej do kategorii PKW, wymienione zwłaszcza w art. 8c-8f uksc.

W jaki sposób instytucje kultury powinny zarządzać ryzykiem cybernetycznym

Instytucje kultury o statusie PKW powinny wdrożyć system zarządzania bezpieczeństwem informacji (SZBI). SZBI wdrażamy w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez nasz podmiot (wg dotychczasowych przepisów jest to „system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej”). Musi zapewniać on elementy wskazane w art. 8 uksc, przy czym szykowana nowelizacja znacząco rozbudowuje dotychczasowe zapisy.

Korzyści

Z komentarza eksperta Prawo i finanse w kulturze dowiesz się:

• Jakie konkretne obowiązki w zakresie cyberbezpieczeństwa nałożono na instytucje kultury
• W jaki sposób instytucje kultury powinny zarządzać ryzykiem cybernetycznym
• Jakie są wymogi dotyczące raportowania incydentów bezpieczeństwa
• Jakie technologie i procedury mogą pomóc w spełnieniu wymogów dyrektywy