USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA MŁODSZĄ SIOSTRĄ RODO?

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA MŁODSZĄ SIOSTRĄ RODO? 

Wiele osób zainteresowanych tematyką cyberbezpieczeństwa w sieci zadaje sobie szereg pytań: co wprowadzi podpisana 1 sierpnia przez Prezydenta Andrzeja Dudę ustawa o krajowym systemie cyberbezpieczeństwa? Jakie zmiany przed nami? Czy pojawią się modyfikacje w kontekście RODO? A może przedsiębiorcy powinni bać się kar? 

Na wstępie warto wskazać, czym tak naprawdę jest cyberbezpieczeństwo. To sytuacja, stan, w której systemy informatyczne wraz z przetwarzanymi w nich informacjami są bezpieczne, niezagrożone przez cyberprzestępców. Zwykle definiowane jest jako zespół inicjatyw, które mają na celu uzyskanie bezpieczeństwa w sieci. Proces polega na zapewnianiu bezpieczeństwa danych elektronicznych i ich przetwarzania. 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest nazywana młodszą siostrą RODO. Jednak gro osób nie ma świadomości jej wejścia w życie. Być może powodem jest brak zapisów o wysokich karach, które nie budzą grozy. Czy jednak słusznie? Obowiązująca od 28 sierpnia 2018 roku tzw. ustawa o cyberbezpieczeństwie jest wykonaniem unijnej dyrektywy nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli tak zwanej dyrektywy NIS. 

Krajowy System Cyberbezpieczeństwa 

Nadzorowaniem CSIRT (z j. ang Computer Security Incident Response Team) zajmie się Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK), jak i resort obrony narodowej (CSIRT MON). 

System zarządzania cyberbezpieczeństwem w Polsce będzie oparty na podziale dwupoziomowym. Na poziomie roboczym (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalnym (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa). Ich współpraca będzie oparta na wzajemnym kontakcie oraz kontakcie z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. 

Operatorzy usług kluczowych 

Nowa ustawa ma pomóc w ochronie cyberprzestrzeni na poziomie krajowym. 

Wnosi wiele nowości pod kątem formalnym, zaś eksperci twierdzą, że w praktyce może zmienić się niewiele, jednak biznes jest narażony na poniesienie sporych kosztów. Postanowienia nowej ustawy będą obejmowały wyłącznie niektórych przedsiębiorców, co do zasady co najmniej średniej wielkości. Przedsiębiorcy, którzy będą musieli stosować się do przepisów ustawy to tzw. operatorzy usług kluczowych, czyli sektor energetyczny, zdrowotny, bankowy, transportowy, a także operatorów sieci. Aby zostać uznanym za takiego należy spełniać konkretne warunki, m. in. świadczyć usługi kluczowe wymienione w wykazie usług kluczowych. 

Uznanie takiego przedsiębiorcy za operatora usługi kluczowej będzie się odbywało w formie decyzji administracyjnej. Przedsiębiorca powinien przestrzegać przepisów ustawy, a od dnia ewentualnego otrzymania decyzji administracyjnej można egzekwować odpowiedzialność (w przypadku ewentualnych naruszeń). Przedsiębiorca określony jako operator usług kluczowych będzie musiał wdrożyć system bezpieczeństwa w systemie informacyjnym. 

Procedura zakwalifikowania podmiotu, jako operatora usług kluczowych jest następująca: Organ Właściwy bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych, następnie rozpoczyna postępowanie administracyjne oraz zbiera informacje o podmiocie. Kolejno Organ Właściwy ma za zadanie sprawdzenie, czy podmiot spełnia wytyczne ( wymogi rozporządzenia), jeżeli tak to decyzją administracyjną wskazuje operatora usługi kluczowej. Tacy operatorzy mają od 3 do 12 miesięcy na dostosowanie się do wymogów zawartych w rozporządzeniu, realizując obowiązki wynikające z ustawy. Organami do spraw cyberbezpieczeństwa w zależności od sektora są odpowiedni ministrowie. Wyjątkiem jest sektor bankowy i infrastruktury rynków finansowych, nad którymi nadzór sprawowany będzie przez KNF. 

Będzie wymagane, aby przedsiębiorca monitorował stale, nie dochodzi do prób ataków sieciowych. Dodatkowo w firmach będzie musiała zostać wyznaczona osoba, która będzie odpowiedzialna za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Taki wyznaczony przez przedsiębiorcę – operatora usług kluczowych koordynator będzie musiał być zgłoszony w ciągu 14 dni do organu właściwego do spraw cyberbezpieczeństwa. Wymagane dane to imię, nazwisko, nr telefonu, adres e-mail. Brak zgłoszenia koordynatora funkcjonującego w firmie w ww. terminie jest sankcjonowane karą do 15 tys. zł., która może być ponawiana. 

Audyt 

Wyznaczeni przedsiębiorcy są także zobowiązani do przeprowadzenia raz na dwa lata audytu bezpieczeństwa wykorzystywanego systemu. Taki audyt będzie musiał być zlecony z zewnątrz oraz przeprowadzony przez wykwalifikowane podmioty.

Koszt audytu, jak szacuje Ministerstwo Cyfryzacji może wynosić ok. 50 tysięcy złotych.

Mimo że sankcje nie są tak wysokie jak w przypadku RODO nie należy lekceważyć nowej ustawy, ponieważ mogłoby to skutkować wyciekiem danych osobowych, w związku z czym takimi samymi kosztami, jak w przypadku RODO.

Autor: Monika Liwoch

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.