Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować?

Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować, jak ma się ona do RODO? /fot. shutterstock
Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować, jak ma się ona do RODO? /fot. shutterstock
Dnia 28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, której celem jest zapewnienie niezakłóconego świadczenia usług kluczowych i cyfrowych. Cyberustawa wprowadza nowe wymagania w zakresie zapewnienia bezpieczeństwa informacji, zarządzania ryzykiem i zgłaszania incydentów. Kto jest jej adresatem , na czym polegają obowiązki m.in. operatorów usług kluczowych i dostawców usług cyfrowych, a także jak je realizować?

Kto jest adresatem ustawy?

Cyberustawa wiąże nie tylko organy i instytucje publiczne, ale także m.in.:

A. operatorów usług kluczowych,

B. dostawców usług cyfrowych,

C. spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, 

D. podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Polecamy: Jak przygotować się do zmian 2019

Ad. A. O uznaniu za operatora usługi kluczowej decyduje organ właściwy do spraw cyberbezpieczeństwa  (minister właściwy danemu sektorowi). Jako adresatów takich decyzji, ustawa wskazuje m.in. podmioty prowadzące działalność wydobywczą, podmioty dostarczające energię elektryczną, ciepło, czy ropę naftową, a także podmioty z sektora transportowego, finansowego, ochrony zdrowia, wodociągów i infrastruktury cyfrowej. 

Podmioty te uznaje się za operatorów usług kluczowych, jeśli świadczone przez nich owe usługi zależą od systemów informatycznych, a incydent miałby istotny skutek zakłócający dla świadczenia takich usług. Kwestie te szczegółowo regulowane są przez rozporządzenie Rady Ministrów z 11.09.2018 r. ws. wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. 

Ad. B. Dostawcą usługi cyfrowej jest podmiot świadczący usługę cyfrową, tj. usługę świadczoną drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Do grona takich dostawców w rozumieniu cyberustawy nie zalicza się jednak mikroprzedsiębiorców i małych przedsiębiorców..

Ad. C. Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej są adresatami ustawy o krajowym systemie cyberbezpieczeństwa, jeśli świadczą usługi, których celem jest bieżące i nieprzerwane zaspokajanie zbiorowych potrzeb ludności w drodze świadczenia usług powszechnie dostępnych.

Ad. D. W celu realizacji swoich obowiązków , operator usługi kluczowej może powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. W obu przypadkach, cyberustawa stawia dodatkowe wymogi.  Szczegółowo określone zostały one w rozporządzeniu Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

Zobacz: Prawo dla firm

Na czym polegają nowe obowiązki?

Operator usługi kluczowej jest zobowiązany:

• Systematycznie szacować ryzyko incydentu i zarządzać tym ryzykiem;

• Wdrożyć środki organizacyjne i techniczne, które odpowiadają i są proporcjonalne do oszacowanego ryzyka;

• Zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Zarządzać incydentami, w tym w ciągu 24 godz. od wykrycia zgłaszać poważne i krytyczne incydenty właściwym organom i współpracować z nimi. W toku jest projekt rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny;

• Zapobiegać i ograniczać wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Zapewnić prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa oraz przekazywać właściwemu organowi dane wymagane cyberustawą;

• Wdrożyć dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także nadzorować jej stosowanie i aktualizację;

• Powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, albo zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;

• Zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zgłosić ją do właściwych organów;

• Zapewnić użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Zobacz: RODO w firmie

Dostawcy usług cyfrowych są zobowiązani:

• Zarządzać ryzykiem dla systemów informatycznych, stosując środki odpowiadające temu ryzyku, uwzględniające bezpieczeństwo systemów informacyjnych i obiektów; postępowanie w przypadku obsługi incydentu; zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej; monitorowanie, audyt i testowanie; najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, określonymi w rozporządzeniu wykonawczym Komisji (UE) 2018/151;

• Zarządzać incydentami, w tym ciągu 24 godzin od momentu wykrycia i zgłaszać istotne incydenty właściwym organom i współpracować z nimi;

• Przekazywać operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora;

Analogiczne obowiązki zostały nałożone na podmioty publiczne. Szczególna rola przypada trzem zespołom, które wspólnie z organami właściwymi ds. cyberbezpieczeństwa (ministrami) zapewniają spójny i kompletny system zarządzania ryzykiem na poziomie krajowym. Są to:

• CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;

• CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;

• CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;

Cyberustawa a RODO – czy można powiązać wdrożenia?

Ustawa o krajowym systemie cyberbezpieczeństwa dotyka kwestii ściśle powiązanych z ochroną danych osobowych i RODO. Istotą obydwu aktów jest zapewnienie bezpieczeństwa informacji. Co więcej, prezentują one podobną metodykę i przyjmują podejście z perspektywy ryzyka wystąpienia incydentów i naruszeń.

Incydent cyberbezpieczeństwa prawdopodobnie będzie także incydentem ochrony danych osobowych, ponieważ przy włamaniu lub uszkodzeniu systemu informatycznego, najczęściej dochodzi także do nieuprawnionego dostępu lub utraty danych osobowych. Fakt ten przewidzieli twórcy cyberustawy, zobowiązując organy właściwe do spraw cyberbezpieczeństwa koordynujące obsługę incydentu, który doprowadził do naruszenia ochrony danych osobowych do współpracy z Urzędem Ochrony Danych Osobowych.

Patrząc z perspektywy wymogów wymienionych powyżej, właściwie do każdego z nich łatwo znaleźć odpowiedniki z RODO. Z tego powodu, wymogi cyberustawy można spełnić równolegle ze spełnianiem następujących norm RODO:

• Szacowanie ryzyka i zapewnienie bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO);

• Zarządzanie incydentami i niezwłoczne zgłaszanie ich do organu nadzorczego (art. 33 RODO);

• Wdrożenie odpowiedniej dokumentacji (art. 24 ust. 2 RODO);

• Wyznaczenie inspektora ochrony danych (art. 37 RODO), co odpowiada wyznaczeniu wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i zgłoszeniu punktu kontaktowego właściwym organów;

• Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo (art. 32 ust. 1 lit. d RODO), co odpowiada nałożonemu cyberustawą obowiązkowi przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Zapewnienie przejrzystego informowania osób fizycznych (art. 12-14 RODO). Odpowiada on obowiązkowi zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa. Ponadto stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową. W szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Zgodnie z art. 15 ust. 2 cyberustawy, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, może być przeprowadzany m.in. przez co najmniej dwóch audytorów posiadających minimum trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych. Istnieje zatem duże prawdopodobieństwo, że podmioty posiadające doświadczenie w ochronie danych osobowych będą w stanie zapewnić wsparcie zarówno przy wdrożeniu RODO, jak i cyberustawy.

Do kiedy należy wdrożyć i jakie są sankcje?

Operatorzy usług kluczowych stają się związani cyberustawą z chwilą doręczenia im decyzji o uznaniu za takiego operatora. Od tego dnia powinni oni zrealizować swoje obowiązki w następujących terminach:

• 3 miesięcy – szacowanie i zarządzanie ryzykiem; wyznaczenie punktu kontaktowego i zawiadomienie o nim właściwych organów; zapewnienie użytkownikom usługi kluczowej dostęp do wiedzy o zagrożeniach i skutecznych sposobach zabezpieczeń; zarządzanie incydentem i jego terminowe zgłaszanie; powołanie wewnętrznych struktur lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;

• 6 miesięcy – wdrożenie środków odpowiadających ryzyku; zbieranie informacji o zagrożeniach i podatnościach; zapobieganie i ograniczanie wpływu incydentów na cyberbezpieczeństwo usługi kluczowej; zapewnienie prawidłowej i bezpiecznej komunikacji w ramach krajowego systemu cyberbezpieczeństwa; wdrożenie, stosowanie i monitorowanie dokumentacji cyberbezpieczeństwa;

• roku – przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (następnie co najmniej raz na dwa lata).

Dostawcy usług cyfrowych otrzymują decyzję  od organu – w związku z czym swoje obowiązki powinni realizować na bieżąco, jeśli tylko świadczą usługi drogą elektroniczną i nie są mikro lub małymi przedsiębiorcami. W pierwszej kolejności, dostawcy usług cyfrowych powinni wdrożyć procedurę raportowania incydentów, aby zapewnić terminową realizację obowiązków ustawowych (24 godziny od wykrycia istotnego incydentu).

Za naruszenie obowiązków z niej wynikających, cyberustawa przewiduje kary dla operatorów usługi kluczowej, dostawcy usługi cyfrowej, a także dla kierownika operatora usługi kluczowej (nawet do 200% miesięcznego wynagrodzenia), jeśli nie dochowa on należytej staranności w odniesieniu do konkretnych ustawowych obowiązków (szacowanie ryzyka, wyznaczenie punktu kontaktowego, zapewnienie przeprowadzenia audytu).

Kary pieniężne dla operatorów usług kluczowych i dostawców usług cyfrowych mogą sięgać 1 mln zł. Warto zaznaczyć. że  jest to sytuacja, gdy podmiot taki uporczywie narusza przepisy ustawy i stwarza tym poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego, życia i zdrowia ludzi, czy też wywołania szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych. W innych przypadkach wysokość kar dla dostawcy usług cyfrowych może wynieść do 20 000 zł. Dla operatora usługi kluczowej kara ta waha się od 1000 do 200 000 zł (najwyższy pułap w braku przeprowadzenia audytu lub w braku wykonania zaleceń pokontrolnych). 

Autor: Dr Paweł Mielniczek, Ekspert ds. ochrony danych, ODO 24.

Prawnik i naukowiec specjalizujący się w prawie międzynarodowym, ochronie praw jednostki i prawie nowych technologii. Jego doświadczenie zawodowe obejmuje m.in. organizacje międzynarodowe, dużą instytucję finansową, biuro GIODO, UOKiK oraz kancelarię prawną. Koordynuje przygotowania do wejścia w życie RODO. Jest też odpowiedzialny za opracowanie szkoleń, publikacji i materiałów edukacyjnych.

Reklama
Zatrudnianie i zwalnianie pracowników. Obowiązki pracodawców 2022
Zatrudnianie i zwalnianie pracowników. Obowiązki pracodawców 2022
Tylko teraz
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Szwedzki komputer kwantowy trafi do biznesu

    Powstanie kopia kwantowego komputera działającego na Uniwersytecie Technicznym Chalmersa, która umożliwi przedsiębiorstwom, a także innym naukowcom dostęp do kwantowych obliczeń. Do korzystania z maszyny nie będzie potrzebna specjalistyczna wiedza - informuje uczelnia.

    Japonia i Holandia dołączą do kontroli produkcji chipów w Chinach

    Japonia i Holandia dołączą do Stanów Zjednoczonych we wdrażaniu kontroli eksportu sprzętu do produkcji półprzewodników w Chinach, poinformował  Bloomberg News.

    Badanie: ponad 60 proc. Polaków obawia się kradzieży danych osobowych

    O bezpieczeństwo danych osobowych obawia się ponad 60 proc. Polaków - wynika z badania Krajowego Rejestru Długów. Ofiarą ich wycieku lub kradzieży padło 15 proc. rodaków, a 40 proc. doświadczyło próby ich wyłudzenia.

    Japonia zaostrza sankcje wobec Rosji

    Rząd Japonii ogłosił zaostrzenie sankcji wobec Rosji po jej atakach rakietowych na Ukrainę w czwartek, w których zginęło co najmniej 11 osób i decyzji USA i Niemiec o przekazaniu Ukrainie czołgów, które mogą jej pomóc w odparciu każdej nowej ofensywy Rosji.

    Polskie inwestycje w Ukrainie mogą wzrosnąć 30-krotnie

    Skala polskich inwestycji bezpośrednich w Ukrainie może wzrosnąć do 30 mld dol. w najbliższych 5 latach; to prawie 30-krotny wzrost - ocenił Polski Instytut Ekonomiczny. Według ekspertów zaangażowanie naszych firm będzie widoczne m.in. w sektorze energetycznym, budownictwie, usługach finansowych.

    Akcje, obligacje, giełda, gospodarka. Co nas czeka w 2023 roku?
    W styczniowym komentarzu rynkowym eksperci VIG/C-QUADRAT TFI przedstawiają m.in.: podsumowanie pełnego zdarzeń 2022 roku, omówienie poszczególnych klas aktywów, analizę wskaźników makro oraz ocenę perspektyw globalnych i prognozę na najbliższe miesiące 2023 roku.
    Ropa Brent drożeje do 87,61 dol. za baryłkę, a WTI do ponad 81 dol.

    W piątek rano 27 stycznia ropa Brent drożeje o 0,16 proc., do 87,61 dolarów za baryłkę, a cena amerykańskiej ropy WTI rośnie o 0,36 proc. i kosztuje 81,30 dolarów za baryłkę.

    Kolejne wzrosty na złocie. Komentarz eksperta

    Złoto od początku roku zanotowało wyraźny wzrost, bo aż o około 4,5% patrząc na wyceny w PLN oraz ponad 5,5% w USD. Łatwo więc przeliczyć, że Ci, którzy kupili uncję złota na początku stycznia br., są na plusie ponad 350 zł. 

    „Tylko wiedza nas uratuje”. Jak wygląda edukacja finansowa Polaków

    Jak wynika z raportu Intrum, ”European Consumer Payment Report 2022 i deklaracji blisko 60% ankietowanych konsumentów chce pogłębiać wiedzę dotyczącą finansów. Zrozumienie mechanizmów rządzących pieniędzmi i „zjawisk” występujących w ekonomii ma nas uchronić przez negatywnymi skutkami recesji.
     

    Projektanci mody w opałach. Inflacja i pandemia utrudniają działalność
    Projektanci mody odczuwają sytuację gospodarczą i geopolityczną. Projektantka Gosia Baczyńska podkreśla, że okres pandemii był w jej branży bardzo trudny dla przedsiębiorców, którzy przetrwali w zasadzie tylko dzięki dywersyfikacji działalności. Po zniesieniu największych restrykcji nastąpiło wprawdzie ożywienie, na które jednak szybko przełożyło się spowolnienie w gospodarce i wybuch wojny. Teraz z kolei Baczyńska mierzy się z wysokim kursem euro i brakiem krawcowych.
    Złoty traci do głównych walut

    Złoty w czwartek 26 stycznia stracił do głównych walut, euro zyskało blisko 0,1 proc. i kosztowało prawie 4,72 zł, dolar zaś zdrożał o ponad 0,5 proc., do 4,34 zł.

    Połowa pracowników wybiera firmę na podstawie elastycznych rozwiązań czasowych

    Według raportu aż 47% pracowników wybiera swojego pracodawcę na podstawie czasu i godzin oraz elastycznego harmonogramu pracy. 

    Najem instytucjonalny – alternatywna wersja najmu

    Z początkiem roku zmieniły się zasady opodatkowania na rynku najmu. Prywatni wynajmujący nie mogą już rozliczać podatku na zasadach ogólnych, amortyzując koszty. Alternatywą może być umowa w formie najmu instytucjonalnego.

    Rozmowy z robotem nie do odróżnienia od rozmowy z konsultantem

    Wspierany przez sztuczną inteligencję chatbot imponuje przekonująco ludzkim sposobem odpowiadania na pytania i interakcji z użytkownikami. Budzi to zarówno entuzjazm, jak i niepokój.

    Mercedes SL Motorsport Collectors. Kabrio z designem z F-jedynki

    Mercedes SL Motorsport Collectors to limitowany model, który wyróżnia się za sprawą stylizacji inspirowanej bolidem F1 W13 E Performance.

    Karambol a odszkodowanie. Analiza prawna

    Karambol a odszkodowanie. Kolizja wielu aut utrudnia wskazanie sprawcy. Co z odszkodowaniem w takim przypadku? Sprawdźmy to.

    Dniówki w transporcie – rozliczenie w 2023 r.

    Dniówki w transporcie nie są łatwym zapisem w umowie. Rozliczanie wynagrodzenia kierowcy w transporcie międzynarodowym, od czasu wprowadzenia zmian w lutym 2022 roku, budzi wiele wątpliwości. Wyzwaniem jest prawidłowe rozliczenie wynagrodzenia i przekazanie kierowcy informacji, ile faktycznie zarobi w danym miesiącu. 

    Volkswagena Polo Harlekin na licytacji WOŚP

    Volkswagena Polo Harlekin z licytacji WOŚP to wyjątkowe auto. Ma wielkie serce naklejone na masce. W sumie powstało 3 tys. tego typu wersji.

    Czy smog jest groźny? I to jak! Oto kilka faktów

    Czy smog jest groźny? Niestety tak. Szczególnie w miastach, gdzie natężenie zarówno ruchu pojazdów, jak i pieszych jest wysokie. Oto kilka faktów.

    Nowe BMW M3 CS. Bo liczą się wielkie "nerki" i 550 koni

    Nowe BMW M3 CS zadebiutowało. Limuzyna jest na wskroś sportowa. Pomijając stylizację, jej 6-cylindrowy silnik rzędowy rozwija 550 koni mocy.

    Strefa czystego transportu. Warszawa wyrzuci z centrum stare auta

    Strefa czystego transportu. Warszawa od lipca 2024 roku wprowadzi ograniczenia dotyczące emisji pojazdów jeżdżących po centrum.

    Ile mieszkań brakuje w Polsce?
    Deficyt mieszkań wynika m.in. z konieczności ciągłego sukcesywnego odnawiania zasobu. W obecnej edycji Pulsu Nieruchomości analitycy zespołu Analizy Nieruchomości PKO PB przyjrzeli się, jak wygląda jakość warunków mieszkaniowych w Polsce.
    Inwestycja mieszkaniowa wpisana w miasto, czyli jaka?
    Rozproszona i chaotyczna zabudowa to jeden z palących problemów wielu polskich miast. Przeciwwagą może być projektowanie inwestycji, będących częścią tkanki miejskiej, zgodnych z ideą zrównoważonego rozwoju, a przy tym odpowiadających na potrzeby i problemy mieszkańców.
    5,2 proc. wyniosła w grudniu 2022 r. stopa bezrobocia rejestrowanego w Polsce
    Stopa bezrobocia rejestrowanego w Polsce osiągnęła w grudniu 2022 r. poziom 5,2 proc. Najwyższą stopę bezrobocia odnotowano w woj. podkarpackim – 8,8 proc. Liczba zarejestrowanych osób poszukujących pracy wyniosła 812,3 tys. - poinformowało na Twitterze Ministerstwo Rodziny i Polityki Społecznej.
    Złoty traci do euro i zyskuje do dolara

    W środę 25 stycznia po południu złoty tracił do euro, którego kurs wzrósł do blisko 4,72 zł. Nasza waluta zyskała za to do dolara, który staniał do niespełna 4,33 zł.