Jak Brytyjczycy podchodzą do kwestii bezpieczeństwa informatycznego?

Regulacje wynikające z dyrektywy dot. cyberbezpieczeństwa powinny być wdrożone m.in. przez przedsiębiorstwa świadczące usługi w postaci wyszukiwarek internetowych, sklepów internetowych i usług chmurowych (tzw. dostawców usług cyfrowych) dla klientów zewnętrznych. Nie dotyczy to jednak podmiotów, które są mikro i małymi przedsiębiorstwami (dokładnie tak jak w Polsce).

Jak sprawdzić, czy jesteśmy mikro lub małym przedsiębiorstwem? Prosto: jeżeli mamy więcej niż 50 pracowników lub obroty większe niż 10 mln Euro rocznie, nie jesteśmy mikro/małym przedsiębiorstwem. Jeżeli jesteśmy częścią grupy kapitałowej, bierzemy pod uwagę całą grupę!

Dostawcy usług cyfrowych powinni wdrożyć odpowiednie i proporcjonalne techniczne i organizacyjne środki aby zarządzać ryzykiem związanym ze stosowaniem systemów informatycznych (zupełnie jak w RODO).

Zabezpieczenia muszą obejmować bezpieczeństwo systemów informatycznych i urządzeń, reagowania na incydenty, nieprzerwane świadczenie usług, monitorowanie, audytowanie i testowanie systemów bezpieczeństwa oraz zgodność z międzynarodowymi standardami bezpieczeństwa.

Konieczne jest dokumentowanie tego, w jaki sposób realizujemy powyższe założenia (również tak samo jak w RODO).

Kary za naruszenie przepisów NIS w Wielkiej Brytanii mogą wynosić do 17 milionów funtów. W Polsce maksymalna kara to 1 milion złotych – przy czym naruszenia muszą się powtarzać).

Dostawcy usług cyfrowych są zobowiązani do powiadamiania właściwego organu (W UK – ICO, w Polsce – z reguły NASK) w przypadku incydentów bezpieczeństwa. W UK są na to 72 godziny, w Polsce – jedynie 24. Incydenty muszą być istotne – w przepisach mamy pewne wskazówki jak ustalić czy incydent jest istotny czy nie. Finalnie, to jednak my sami podejmujemy decyzję o istotności incydentu (zupełnie tak jak w przypadku naruszeń ochrony danych znanych z RODO).