REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Wdrożenie przepisów o cyberbezpieczeństwie przez firmy

Dziennik Gazeta Prawna
Największy polski dziennik prawno-gospodarczy
Wdrożenie przepisów o cyberbezpieczeństwie przez firmy /fot. Shutterstock
Wdrożenie przepisów o cyberbezpieczeństwie przez firmy /fot. Shutterstock
fot.Shutterstock

REKLAMA

REKLAMA

W ustawie o krajowym systemie cyberbezpieczeństwa nie zapisano wysokich kar, więc mało kto o niej wie. Ale dla części firm jej wdrożenie może być równie trudne, co niedawna przygoda z RODO.

Od 28 sierpnia 2018 r. obowiązuje ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560). To wykonanie unijnej dyrektywy nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli dyrektywy NIS.

REKLAMA

Formalnie zmienia się dużo. W praktyce, jak wskazują eksperci, może się zmienić niewiele. Na pewno jednak biznes słono za to zapłaci.

źródło: Dziennik Gazeta Prawna

Nieznany katalog

REKLAMA

Realizować postanowienia nowej ustawy będą musieli tylko niektórzy przedsiębiorcy. Co do zasady – co najmniej średniej wielkości. Kto – jeszcze dokładnie nie wiadomo. O tym zdecydują urzędnicy na podstawie rozporządzeń wykonawczych do ustawy, których jeszcze nie ma. Zwraca na to uwagę Konfederacja Lewiatan.

Dalszy ciąg materiału pod wideo

– Wątpliwości budzi to, że do konsultacji z opóźnieniem skierowane zostały projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań. Ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi – zaznacza dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Przedsiębiorcy, którzy będą musieli stosować się do wielu przepisów ustawy, to tzw. operatorzy usług kluczowych. Za takiego zostanie uznany podmiot, który będzie spełniał łącznie następujące warunki:

  • będzie świadczył usługę kluczową wymienioną w wykazie usług kluczowych,
  • świadczenie tej usługi będzie zależeć od systemów informacyjnych,
  • incydent (zdarzenie teleinformatyczne) miałoby istotny skutek zakłócający świadczenie usługi,
  • będzie jednym z podmiotów wymienionych w załączniku do ustawy.

REKLAMA

Uznanie przedsiębiorcy za operatora usługi kluczowej będzie odbywało się w formie wydania decyzji administracyjnej. Od czasu jej otrzymania przedsiębiorca powinien realizować postanowienia ustawy o krajowym systemie cyberbezpieczeństwa i dopiero od dnia otrzymania decyzji będzie można egzekwować od niego odpowiedzialność za ewentualne naruszenia.

– Wiele podmiotów może być zaskoczonych otrzymaniem decyzji o uznaniu za operatora usługi kluczowej – przyznaje dr Marek Porzeżyński, ekspert ds. cyberbezpieczeństwa w kancelarii WKB Wierciński, Kwieciński, Baehr.

Zobacz: RODO w firmie

Wybór koordynatora

Podmioty, które zostaną wskazane przez rządzących, będą przede wszystkim musiały wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. To, co najistotniejsze: przedsiębiorca będzie musiał stale monitorować swoje systemy, weryfikować, czy nie dochodzi do żadnych prób ataków sieciowych. Muszą też zostać ustalone możliwie najbardziej precyzyjne procedury, co robić w sytuacji zagrożenia.

Przede wszystkim zaś w firmach będzie musiała zostać wyznaczona osoba odpowiedzialna za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Każdy przedsiębiorca, uznany w decyzji administracyjnej za operatora usług kluczowych, będzie musiał w ciągu 14 dni przekazać do organu właściwego do spraw cyberbezpieczeństwa imię, nazwisko, numer telefonu i adres e-mail powołanego firmowego koordynatora.

Ustawa nie wprowadza wymogu szczególnych kompetencji dla takiej osoby. Mówiąc dobitnie: może to być choćby szatniarz, pod warunkiem że będzie wywiązywał się z obowiązków oraz współpracował z rządowymi specjalistami, gdy ci uznają, że kryzys w firmie mógłby zagrozić ogółowi społeczeństwa.

Za niewskazanie firmowego koordynatora w terminie grozi administracyjna kara w wysokości do 15 tys. zł. Może być ona ponawiana, jeśli nałożenie pierwszej nie zmotywuje przedsiębiorcy do działania. Zdaniem ekspertów to rzecz najważniejsza, albowiem wiele firm może otrzymane pismo zlekceważyć.

Pamięć o RODO

Wyznaczeni przedsiębiorcy będą również zobowiązani do przeprowadzania raz na dwa lata audytu bezpieczeństwa wykorzystywanego systemu. Audyt będzie musiał być zlecony na zewnątrz i przeprowadzony przez wykwalifikowanych fachowców. Koszt takiego audytu, jak szacuje Ministerstwo Cyfryzacji, może wynosić ok. 50 tys. zł.

O obowiązującej już ustawie mało kto wie. Dlaczego? Zdaniem fachowców najprawdopodobniej wynika to z tego, że kary w niej zapisane są niewysokie. W przypadku naruszeń z RODO w grę teoretycznie może wchodzić nawet sankcja do 20 mln euro. Ustawa o krajowym systemie cyberbezpieczeństwa zawiera kary rzędu 15–50 tys. zł. Ministerstwo Cyfryzacji obliczyło, że rocznie z kar ściągnie co najwyżej 3 mln zł.

„Należy w tym miejscu zaznaczyć, że dane dotyczące kar pieniężnych to szacunki, a nie cele. Kary będą nakładane w drodze decyzji administracyjnej w następstwie naruszenia prawa, zgodnie z kodeksem postępowania administracyjnego, tym samym wyklucza to możliwość dowolności w zakresie ich nakładania” – podkreśla resort.

Tyle że – jak zgodnie zaznaczają prawnicy – nowych przepisów nie można lekceważyć. Choćby dlatego, że dziura w systemach teleinformatycznych często skutkuje wyciekiem danych osobowych. A to już umożliwia nałożenie na przedsiębiorcę wysokiej kary wynikającej z przepisów o ochronie danych osobowych.

Etap legislacyjny: Ustawa weszła w życie

Autor: Patryk Słowik

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Wakacje składkowe. Dla kogo i jak z nich skorzystać?

Sejmowe komisje gospodarki i polityki społecznej wprowadziły poprawki redakcyjne i doprecyzowujące do projektu ustawy. Projekt ten ma na celu umożliwić przedsiębiorcom tzw. "wakacje składkowe", czyli przerwę od płacenia składek ZUS.

Czego najbardziej boją się przedsiębiorcy prowadzący małe biznesy? [BADANIE]

Czego najbardziej boją się małe firmy? Rosnących kosztów prowadzenia działalności i nierzetelnych kontrahentów. A czego najmniej? Najnowsze badanie UCE RESEARCH przynosi odpowiedzi. 

AI nie zabierze ci pracy, zrobi to człowiek, który potrafi z niej korzystać

Jak to jest z tą sztuczną inteligencją? Zabierze pracę czy nie? Analitycy z firmy doradczej IDC twierdzą, że jednym z głównych powodów sięgania po AI przez firmy jest potrzeba zasypania deficytu na rynku pracy.

Niewypłacalność przedsiębiorstw. Od początku roku codziennie upada średnio 18 firm

W pierwszym kwartale 2023 r. niewypłacalność ogłosiło 1635 firm. To o 31% więcej niż w tym okresie w ubiegłym roku i 35% wszystkich niewypłacalności ogłoszonych w 2023 r. Tak wynika z raportu przygotowanego przez ekonomistów z firmy Coface.  

REKLAMA

Rosnące płace i spadająca inflacja nic nie zmieniają: klienci patrzą na ceny i kupują więcej gdy widzą okazję

Trudne ostatnie miesiące i zmiany w nawykach konsumentów pozostają trudne do odwrócenia. W okresie wysokiej inflacji Polacy nauczyli się kupować wyszukując promocje i okazje cenowe. Teraz gdy inflacja spadła, a na dodatek rosną wynagrodzenia i klienci mogą sobie pozwolić na więcej, nawyk szukania niskich cen pozostał.

Ustawa o kryptoaktywach już w 2024 roku. KNF nadzorcą rynku kryptowalut. 4,5 tys. EUR za zezwolenie na obrót walutami wirtualnymi

Od końca 2024 roku Polska wprowadzi w życie przepisy dotyczące rynku kryptowalut, które dadzą Komisji Nadzoru Finansowego (KNF) szereg nowych praw w zakresie kontroli rynku cyfrowych aktywów. Za sprawą konieczności dostosowania polskiego prawa do przegłosowanych w 2023 europejskich przepisów, firmy kryptowalutowe będą musiały raportować teraz bezpośrednio do regulatora, a ten zyskał możliwość nakładanie na nie kar grzywny. Co więcej, KNF będzie mógł zamrozić Twoje kryptowaluty albo nawet nakazać ich sprzedaż.

KAS: Nowe funkcjonalności konta organizacji w e-Urzędzie Skarbowym

Spółki, fundacje i stowarzyszenia nie muszą już upoważniać pełnomocników do składania deklaracji drogą elektroniczną, aby rozliczać się elektronicznie. Krajowa Administracja Skarbowa wprowadziła nowe funkcjonalności konta organizacji w e-US.

Sztuczna inteligencja będzie dyktować ceny?

Sztuczna inteligencja wykorzystywana jest coraz chętniej, sięgają po nią także handlowcy. Jak detaliści mogą zwiększyć zyski dzięki sztucznej inteligencji? Coraz więcej z nich wykorzystuje AI do kalkulacji cen. 

REKLAMA

Coraz więcej firm zatrudnia freelancerów. Przedsiębiorcy opowiadają dlaczego

Czy firmy wolą teraz zatrudniać freelancerów niż pracowników na etat? Jakie są zalety takiego modelu współpracy? 

Lavard - kara UOKiK na ponad 3,8 mln zł, Lord - ponad 213 tys. zł. Firmy wprowadzały w błąd konsumentów kupujących odzież

UOKiK wymierzył kary finansowe na przedsiębiorstwa odzieżowe: Polskie Sklepy Odzieżowe (Lavard) - ponad 3,8 mln zł, Lord - ponad 213 tys. zł. Konsumenci byli wprowadzani w błąd przez nieprawdziwe informacje o składzie ubrań. Zafałszowanie składu ubrań potwierdziły kontrole Inspekcji Handlowej i badania w laboratorium UOKiK.

REKLAMA