REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Mała firma » ABC małej firmy » Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować?

Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
10 grudnia 2018, 08:52
ODO 24
ODO 24
Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować, jak ma się ona do RODO? /fot. shutterstock
Ustawa o krajowym systemie cyberbezpieczeństwa – jak się do niej przygotować, jak ma się ona do RODO? /fot. shutterstock

REKLAMA

REKLAMA

Dnia 28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, której celem jest zapewnienie niezakłóconego świadczenia usług kluczowych i cyfrowych. Cyberustawa wprowadza nowe wymagania w zakresie zapewnienia bezpieczeństwa informacji, zarządzania ryzykiem i zgłaszania incydentów. Kto jest jej adresatem , na czym polegają obowiązki m.in. operatorów usług kluczowych i dostawców usług cyfrowych, a także jak je realizować?

Kto jest adresatem ustawy?

Cyberustawa wiąże nie tylko organy i instytucje publiczne, ale także m.in.:

REKLAMA

REKLAMA

A. operatorów usług kluczowych,

B. dostawców usług cyfrowych,

C. spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, 

REKLAMA

D. podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Dalszy ciąg materiału pod wideo

Polecamy: Jak przygotować się do zmian 2019

Ad. A. O uznaniu za operatora usługi kluczowej decyduje organ właściwy do spraw cyberbezpieczeństwa  (minister właściwy danemu sektorowi). Jako adresatów takich decyzji, ustawa wskazuje m.in. podmioty prowadzące działalność wydobywczą, podmioty dostarczające energię elektryczną, ciepło, czy ropę naftową, a także podmioty z sektora transportowego, finansowego, ochrony zdrowia, wodociągów i infrastruktury cyfrowej. 

Podmioty te uznaje się za operatorów usług kluczowych, jeśli świadczone przez nich owe usługi zależą od systemów informatycznych, a incydent miałby istotny skutek zakłócający dla świadczenia takich usług. Kwestie te szczegółowo regulowane są przez rozporządzenie Rady Ministrów z 11.09.2018 r. ws. wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. 

Ad. B. Dostawcą usługi cyfrowej jest podmiot świadczący usługę cyfrową, tj. usługę świadczoną drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Do grona takich dostawców w rozumieniu cyberustawy nie zalicza się jednak mikroprzedsiębiorców i małych przedsiębiorców..

Ad. C. Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej są adresatami ustawy o krajowym systemie cyberbezpieczeństwa, jeśli świadczą usługi, których celem jest bieżące i nieprzerwane zaspokajanie zbiorowych potrzeb ludności w drodze świadczenia usług powszechnie dostępnych.

Ad. D. W celu realizacji swoich obowiązków , operator usługi kluczowej może powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. W obu przypadkach, cyberustawa stawia dodatkowe wymogi.  Szczegółowo określone zostały one w rozporządzeniu Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

Zobacz: Prawo dla firm

Na czym polegają nowe obowiązki?

Operator usługi kluczowej jest zobowiązany:

• Systematycznie szacować ryzyko incydentu i zarządzać tym ryzykiem;

• Wdrożyć środki organizacyjne i techniczne, które odpowiadają i są proporcjonalne do oszacowanego ryzyka;

• Zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Zarządzać incydentami, w tym w ciągu 24 godz. od wykrycia zgłaszać poważne i krytyczne incydenty właściwym organom i współpracować z nimi. W toku jest projekt rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny;

• Zapobiegać i ograniczać wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Zapewnić prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa oraz przekazywać właściwemu organowi dane wymagane cyberustawą;

• Wdrożyć dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także nadzorować jej stosowanie i aktualizację;

• Powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, albo zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;

• Zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zgłosić ją do właściwych organów;

• Zapewnić użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Zobacz: RODO w firmie

Dostawcy usług cyfrowych są zobowiązani:

• Zarządzać ryzykiem dla systemów informatycznych, stosując środki odpowiadające temu ryzyku, uwzględniające bezpieczeństwo systemów informacyjnych i obiektów; postępowanie w przypadku obsługi incydentu; zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej; monitorowanie, audyt i testowanie; najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, określonymi w rozporządzeniu wykonawczym Komisji (UE) 2018/151;

• Zarządzać incydentami, w tym ciągu 24 godzin od momentu wykrycia i zgłaszać istotne incydenty właściwym organom i współpracować z nimi;

• Przekazywać operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora;

Analogiczne obowiązki zostały nałożone na podmioty publiczne. Szczególna rola przypada trzem zespołom, które wspólnie z organami właściwymi ds. cyberbezpieczeństwa (ministrami) zapewniają spójny i kompletny system zarządzania ryzykiem na poziomie krajowym. Są to:

• CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;

• CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;

• CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;

Cyberustawa a RODO – czy można powiązać wdrożenia?

Ustawa o krajowym systemie cyberbezpieczeństwa dotyka kwestii ściśle powiązanych z ochroną danych osobowych i RODO. Istotą obydwu aktów jest zapewnienie bezpieczeństwa informacji. Co więcej, prezentują one podobną metodykę i przyjmują podejście z perspektywy ryzyka wystąpienia incydentów i naruszeń.

Incydent cyberbezpieczeństwa prawdopodobnie będzie także incydentem ochrony danych osobowych, ponieważ przy włamaniu lub uszkodzeniu systemu informatycznego, najczęściej dochodzi także do nieuprawnionego dostępu lub utraty danych osobowych. Fakt ten przewidzieli twórcy cyberustawy, zobowiązując organy właściwe do spraw cyberbezpieczeństwa koordynujące obsługę incydentu, który doprowadził do naruszenia ochrony danych osobowych do współpracy z Urzędem Ochrony Danych Osobowych.

Patrząc z perspektywy wymogów wymienionych powyżej, właściwie do każdego z nich łatwo znaleźć odpowiedniki z RODO. Z tego powodu, wymogi cyberustawy można spełnić równolegle ze spełnianiem następujących norm RODO:

• Szacowanie ryzyka i zapewnienie bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO);

• Zarządzanie incydentami i niezwłoczne zgłaszanie ich do organu nadzorczego (art. 33 RODO);

• Wdrożenie odpowiedniej dokumentacji (art. 24 ust. 2 RODO);

• Wyznaczenie inspektora ochrony danych (art. 37 RODO), co odpowiada wyznaczeniu wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i zgłoszeniu punktu kontaktowego właściwym organów;

• Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo (art. 32 ust. 1 lit. d RODO), co odpowiada nałożonemu cyberustawą obowiązkowi przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• Zapewnienie przejrzystego informowania osób fizycznych (art. 12-14 RODO). Odpowiada on obowiązkowi zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa. Ponadto stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową. W szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Zgodnie z art. 15 ust. 2 cyberustawy, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, może być przeprowadzany m.in. przez co najmniej dwóch audytorów posiadających minimum trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych. Istnieje zatem duże prawdopodobieństwo, że podmioty posiadające doświadczenie w ochronie danych osobowych będą w stanie zapewnić wsparcie zarówno przy wdrożeniu RODO, jak i cyberustawy.

Do kiedy należy wdrożyć i jakie są sankcje?

Operatorzy usług kluczowych stają się związani cyberustawą z chwilą doręczenia im decyzji o uznaniu za takiego operatora. Od tego dnia powinni oni zrealizować swoje obowiązki w następujących terminach:

• 3 miesięcy – szacowanie i zarządzanie ryzykiem; wyznaczenie punktu kontaktowego i zawiadomienie o nim właściwych organów; zapewnienie użytkownikom usługi kluczowej dostęp do wiedzy o zagrożeniach i skutecznych sposobach zabezpieczeń; zarządzanie incydentem i jego terminowe zgłaszanie; powołanie wewnętrznych struktur lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;

• 6 miesięcy – wdrożenie środków odpowiadających ryzyku; zbieranie informacji o zagrożeniach i podatnościach; zapobieganie i ograniczanie wpływu incydentów na cyberbezpieczeństwo usługi kluczowej; zapewnienie prawidłowej i bezpiecznej komunikacji w ramach krajowego systemu cyberbezpieczeństwa; wdrożenie, stosowanie i monitorowanie dokumentacji cyberbezpieczeństwa;

• roku – przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (następnie co najmniej raz na dwa lata).

Dostawcy usług cyfrowych otrzymują decyzję  od organu – w związku z czym swoje obowiązki powinni realizować na bieżąco, jeśli tylko świadczą usługi drogą elektroniczną i nie są mikro lub małymi przedsiębiorcami. W pierwszej kolejności, dostawcy usług cyfrowych powinni wdrożyć procedurę raportowania incydentów, aby zapewnić terminową realizację obowiązków ustawowych (24 godziny od wykrycia istotnego incydentu).

Za naruszenie obowiązków z niej wynikających, cyberustawa przewiduje kary dla operatorów usługi kluczowej, dostawcy usługi cyfrowej, a także dla kierownika operatora usługi kluczowej (nawet do 200% miesięcznego wynagrodzenia), jeśli nie dochowa on należytej staranności w odniesieniu do konkretnych ustawowych obowiązków (szacowanie ryzyka, wyznaczenie punktu kontaktowego, zapewnienie przeprowadzenia audytu).

Kary pieniężne dla operatorów usług kluczowych i dostawców usług cyfrowych mogą sięgać 1 mln zł. Warto zaznaczyć. że  jest to sytuacja, gdy podmiot taki uporczywie narusza przepisy ustawy i stwarza tym poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego, życia i zdrowia ludzi, czy też wywołania szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych. W innych przypadkach wysokość kar dla dostawcy usług cyfrowych może wynieść do 20 000 zł. Dla operatora usługi kluczowej kara ta waha się od 1000 do 200 000 zł (najwyższy pułap w braku przeprowadzenia audytu lub w braku wykonania zaleceń pokontrolnych). 

Autor: Dr Paweł Mielniczek, Ekspert ds. ochrony danych, ODO 24.

Prawnik i naukowiec specjalizujący się w prawie międzynarodowym, ochronie praw jednostki i prawie nowych technologii. Jego doświadczenie zawodowe obejmuje m.in. organizacje międzynarodowe, dużą instytucję finansową, biuro GIODO, UOKiK oraz kancelarię prawną. Koordynuje przygotowania do wejścia w życie RODO. Jest też odpowiedzialny za opracowanie szkoleń, publikacji i materiałów edukacyjnych.

Powiązane
Dokumentacja pracownicza po zmianach od 1 stycznia 2019 r.
Dokumentacja pracownicza po zmianach od 1 stycznia 2019 r.
Korzystanie z chmury i urządzeń mobilnych a ochrona danych w firmach
Korzystanie z chmury i urządzeń mobilnych a ochrona danych w firmach
Jak zwiększyć bezpieczeństwo danych w chmurze?
Jak zwiększyć bezpieczeństwo danych w chmurze?
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Będzie więcej kobiet w organach spółek publicznych - minimum 33%. Nawet 500 tys. zł kary za nierespektowanie nowych przepisów
11 cze 2026

Będzie więcej kobiet w organach spółek publicznych - minimum 33%. To wynik opóźnionej implementacji przez Polskę unijnej dyrektywy Women on Boards. Nawet 500 tys. zł kary za nierespektowanie nowych przepisów. Na jakim etapie są prace legislacyjne?
UE wprowadza standardy równości płac. Pracodawców czekają zmiany
11 cze 2026

Po wejściu w życie przepisów unijnej dyrektywy pracodawcy będą musieli przyjrzeć się wzorom umów i zrezygnować z rozwiązań, które zabraniają pracownikom mówić o swoim wynagrodzeniu - powiedziała w środę ekspertka prawa pracy dr Monika Wieczorek.
Polskie firmy chcą inwestować w AI. Problemem są rosnące koszty oprogramowania
11 cze 2026

Firmy chcą przeznaczać środki na sztuczną inteligencję, ale znaczną część budżetów pochłania utrzymanie istniejących systemów. Rosnące koszty subskrypcji oprogramowania niepokoją już ponad połowę przedsiębiorstw, podczas gdy 52% planuje inwestycje w AI i rozwój własnych aplikacji.
33 procent kobiet w zarządach spółek – nowy obowiązek. Których firm dotyczy? Kary do pół mln zł
10 cze 2026

Rada Ministrów przyjęła 09.06.2026 r. projekt ustawy, który wprowadza obowiązek zapewnienia minimum 33% udziału kobiet w zarządach i radach nadzorczych spółek giełdowych. Nowe przepisy wdrażają unijną dyrektywę i oznaczają konkretne obowiązki dla firm: politykę równowagi płci, raporty oraz przejrzyste kryteria wyboru kandydatów. Za brak dostosowania grozi kara do 500 000 zł.

REKLAMA

Sprzedawcy elektroniki i AGD tylko do 31 lipca 2026 mają czas na wdrożenie systemu napraw - nowe obowiązki
10 cze 2026

Do końca lipca 2026 roku firmy z branży elektroniki i AGD muszą wdrożyć dyrektywę Right to Repair. Nowe przepisy oznaczają obowiązek naprawy sprzętu nawet po gwarancji, dostęp do części zamiennych i dokumentacji technicznej. Brak dostosowania to ryzyko sporów z klientami i sankcji prawnych. Sprawdź szczegóły, obowiązki sprzedawców i uprawnienia kupujących.
Brak kobiet na najwyższych stanowiskach to nie naturalny efekt procesów rynkowych, a konsekwencja barier. Rada Ministrów pracuje nad Women on Boards
09 cze 2026

Brak kobiet na najwyższych stanowiskach to nie naturalny efekt procesów rynkowych, a konsekwencja barier. Rada Ministrów pracuje nad rozwiązaniami z dyrektywy Women on Boards. Parytety - czy płeć zacznie liczyć się bardziej niż kompetencje? To błędne założenie, że dziś o awansach i nominacjach decydują wyłącznie kwalifikacje. Gdyby tak było, trudno byłoby wyjaśnić, dlaczego kobiety – stanowiące połowę społeczeństwa, coraz częściej lepiej wykształcone od mężczyzn i osiągają porównywalne wyniki biznesowe – pozostają tak słabo reprezentowane na najwyższych szczeblach zarządzania.
Inteligencja emocjonalna, pomnażanie majątku, kobiety liderki i AI w firmach rodzinnych - III edycja Family Business Future Summit tym inspirowała liderów firm rodzinnych
08 cze 2026

Ponad 160 uczestników, reprezentujących firmy rodzinne, spotkało się podczas III edycji Family Business Future Summit 2026, aby rozmawiać o sukcesji, odpowiedzialności, relacjach międzypokoleniowych i przyszłości polskiego biznesu rodzinnego. Tegoroczna edycja wydarzenia pokazała, że firmy rodzinne potrzebują dziś nie tylko eksperckiej wiedzy, ale także przestrzeni do szczerej rozmowy o wartościach, zmianie i ciągłości.
Ułatwień nie będzie. Rząd wstrzymuje prace nad wykazem zawodów deficytowych
08 cze 2026

Pracodawcy liczyli na ułatwienia przy uzyskiwaniu zezwoleń na pracę dla cudzoziemców. Rząd wstrzymał jednak prace nad wykazem zawodów deficytowych; powodem jest wzrost bezrobocia - napisał poniedziałkowy „Dziennik Gazeta Prawna” w materiale „Szybkiej ścieżki nie będzie”.

REKLAMA

Microsoft Scout, MAI-Thinking-1, chip kwantowy Majorana 2 – czyli co Microsoft zaprezentował na Build 2026? Sztuczna inteligencja w firmach
03 cze 2026

Microsoft zaprezentował na konferencji Build 2026 autonomicznego agenta Scout, który zarządza kalendarzem i przygotowuje spotkania w Teams i Outlook, oraz pierwszy autorski model AI: MAI-Thinking-1 do złożonych zadań biznesowych. Ogłoszono też nowy chip kwantowy Majorana 2 z czasem życia qubita do 60 sekund i platformę Microsoft Discovery dla naukowców. Sprawdź najważniejsze nowości z obszaru sztucznej inteligencji, narzędzi deweloperskich i technologii kwantowych.
20 tys. zł za każde niedopatrzenie. SENT nakłada bardzo wysokie mandaty. Przedsiębiorcy są zrozpaczeni
03 cze 2026

20 tys. zł za każde niedopatrzenie - nawet złe słowo. System SENT nakłada bardzo wysokie mandaty na przedsiębiorców - są zrozpaczeni. Zdarzają się kary w wysokości 60 tys. zł za kilka przewinień, które nie mają charakteru intencjonalnego.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA