• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Obowiązki, które na przedsiębiorców nakłada ustawa o Krajowym Systemie Cyberbezpieczeństwa

08.14.2018

Kilka dni temu Prezydent podpisał ustawę o Krajowym Systemie Cyberbezpieczeństwa. W wielkim skrócie – to taki akt prawny, który ma pomóc w zabezpieczeniu kraju przed różnymi zagrożeniami związanymi z wykorzystaniem Internetu.

 

Tym samym, siłą rzeczy, najbardziej dotyka instytucji państwowych, zwłaszcza tych zajmujących się ochroną naszego państwa przed zagrożeniami z zewnątrz – szpiegostwem prowadzonym przez inne państwa, cyberterroryzmem czy też atakami na najważniejszą infrastrukturę państwową. To ważne sprawy, którymi mają zajmować się profesjonaliści. Dlatego większa część ustawy dotyczy takich instytucji jak ABW czy Ministerstwo Obrony Narodowej. Ale nie oznacza to, że nie ma jakiegokolwiek wpływu na polskich przedsiębiorców. Nowe przepisy nakładają również na nich kilka obowiązków.

 

I nie myślę tu tylko o przedsiębiorcach zajmujących się ważnymi sektorami gospodarki, takimi jak dostarczanie energii elektrycznej albo cieplnej czy też wykonywaniem transportu lotniczego. Oczywiście nowe przepisy poświęcają takim firmom dużo uwagi. Ale dotyczą także nieco mniej „kluczowych” podmiotów, które świadczą usługi drogą elektroniczną – czyli w rozumieniu tej ustawy są tzw. dostawcami usług cyfrowych. To te firmy, które prowadzą działalność w zakresie:

  1. prowadzenia internetowych platform handlowych – czyli dotyczy tych firm, które mają sklepy internetowe,

  2. świadczenia usług przetwarzania w chmurze – obejmie więc firmy, świadczące różnego rodzaju usługi chmurowe,

  3. wyszukiwarek internetowych – czyli np. firm, które tworzą polską wersję Google 😊

Te wszystkie podmioty podlegają ustawie o krajowym systemie cyberbezpieczeństwa. Brzmi groźnie? Na szczęście nie jest tak źle. Przede wszystkim ustawa nie uznaje za dostawców usług cyfrowych mikroprzedsiębiorców (czyli zatrudniających mniej niż 10 pracowników i mających obroty poniżej 2 milionów Euro) i małych przedsiębiorców (zatrudniających poniżej 50 pracowników i mających obroty poniżej 10 milionów Euro) – co oznacza, że nie muszą oni się stosować do wymagań wskazanych w ustawie. Co ciekawe, przepisy nie również dotyczą giełd walut wirtualnych czy też np. świadczenia innych niż sprzedaż lub usługi chmurowe usług drogą elektroniczną – np. portali społecznościowych.

 

Dobrze, ale co jeśli ktoś nie jest mikro albo małym przedsiębiorcą, a posiada np. sklep internetowy albo świadczy usługi chmurowe? W takim przypadku musi już zastosować się do przepisów nowej ustawy o krajowym systemie cyberbezpieczeństwa. Na szczęście to również nic strasznego. Co trzeba zrobić?

 

Przede wszystkim, zadbać o bezpieczeństwo swojego systemu informatycznego. Brzmi znajomo? Tak, obowiązki w tym zakresie są zbliżone do tych znanych z RODO – czyli po prostu musimy spełnić pewne wymagania tak, aby doprowadzić do posiadania (i ciągłego działania) odpowiednich zabezpieczeń. Ustawa wskazuje, że powinniśmy podjąć właściwe i proporcjonalne środki techniczne i organizacyjne (…) w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:

1) bezpieczeństwo systemów informacyjnych i obiektów;

2) postępowanie w przypadku obsługi incydentu;

3) zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;

4) monitorowanie, audyt i testowanie;

5) najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu wykonawczym 2018/151.

 

Wspomniane na końcu Rozporządzenie Parlamentu Europejskiego precyzuje nieco w jaki sposób należy zabezpieczyć nasze systemy informatyczne i jakie cele powinny zostać osiągnięte jeśli chodzi o cyberbezpieczeństwo. Nie są to natomiast wytyczne rewolucyjne – jeżeli ktoś wcześniej wdrożył wcześniej odpowiednie zabezpieczenia, które są zgodne z RODO, może spać spokojnie.

 

Drugim ważnym obowiązkiem, nałożonym na dostawców usług cyfrowych jest kwestia reagowania na incydenty – czyli zdarzenia, które mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Przede wszystkim firma musi być w stanie takie incydenty wykrywać oraz na nie odpowiednio reagować (rejestrować, analizować oraz usuwać ewentualne skutki).

 

Dodatkowo (co chyba budzi największą grozę wśród przedsiębiorców) jeżeli incydent okaże się być istotny, konieczne jest jego zgłoszenie do odpowiedniego organu – w przypadku przedsiębiorców świadczących usługi drogą elektroniczną z reguły będzie to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego przy Naukowej i Akademickiej Sieci Komputerowej (NASK).

 

Co to znaczy, że incydent związany z cyberbezpieczeństwem jest istotny? Tu znowu przychodzi z pomocą przywołane przeze mnie rozporządzenie unijne, które mówi, że dany incydent uznaje się za mający istotny wpływ, jeżeli zaistniała co najmniej jedna z następujących sytuacji:

a) usługa świadczona przez dostawcę usług cyfrowych była niedostępna przez ponad 5 000 000 użytkownikogodzin, przy czym pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut – czyli mnożymy liczbę użytkowników, który nie mogli skorzystać z usługi przez liczbę minut, kiedy usługa nie była dostępna,

 

b) incydent doprowadził do utraty integralności, autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy informatyczne dostawcy usług cyfrowych, która dotknęła ponad 100 000 użytkowników w Unii – utrata poufności czy integralności danych to pojęcia, które znamy już z RODO – dotyczą więc sytuacji gdy dane wyciekły lub zostały zmodyfikowane w sposób nieuprawniony. Aby doszło do incydentu, który ma charakter istotny, naruszenie musi dotknąć ponad 100.000 użytkowników z terenu Unii Europejskiej,

 

c) incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych – wskazuję, że nie chodzi tu tylko o sytuację, gdy ktoś stracił życie albo doszło do zdarzenia mającego wpływ na bezpieczeństwo, ale także jedynie gdy pojawiło się ryzyko wystąpienia takich sytuacji.

 

d) incydent wyrządził co najmniej jednemu użytkownikowi w Unii stratę materialną, której wysokość przekracza 1 000 000 EUR.

 

Dodatkowo, polska ustawa wskazuje, że aby sklasyfikować incydent jako istotny, przedsiębiorca powinien wziąć pod uwagę następujące czynniki:

1) liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;

2) czas trwania incydentu;

3) zasięg geograficzny obszaru, którego dotyczy incydent;

4) zakres zakłócenia funkcjonowania usługi;

5) zakres wpływu incydentu na działalność gospodarczą i społeczną.

Biorąc pod uwagę treść wytycznych zawartych w cytowanym rozporządzeniu unijnym należy wskazać, że, biorąc pod uwagę realia prowadzenia działalności w zakresie usług świadczonych drogą elektroniczną w Polsce, istotne incydenty nie powinny występować zbyt często, a jeżeli już, to dotyczyły będą sporych firm.

 

Pomimo tego, jeśli świadczysz usługi drogą elektroniczną, pamiętaj o obowiązku odpowiedniego zabezpieczenia swoich systemów informatycznych. Jeżeli więc RODO nie przekonało Cię do tego aby rzucić okiem na stan zabezpieczeń komputerów i sieci – ustawa o krajowym systemie cyberbezpieczeństwa jest kolejnym argumentem aby to zrobić.

 

 

 

 

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl