Prawo w biznesie
Walka z cyberzagrożeniami oznacza nowe obowiązki dla firm

Walka z cyberzagrożeniami oznacza nowe obowiązki dla firm

Jolanta Ojczyk

Nowe technologie Spółki

Zmiany w prawie

Data dodania: 28.08.2018

Nawet milion zł będzie grozić operatorom usług kluczowych lub dostawcom usług cyfrowych, którzy uporczywie naruszą zapisy ustawy o cyberbezpieczeństwie. Chodzi m.in. o brak odpowiednich zabezpieczeń i niezgłaszanie incydentów. Tyle, że choć ustawa właśnie zaczyna obowiązywać, ciągle nie ma przepisów wykonawczych określających szczegółowo obowiązki co najmniej kilkuset podmiotów.

We wtorek 28 sierpnia wchodzi w życie ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa *. Określa ona zadania i obowiązki podmiotów wchodzących w jego skład. Chodzi o sektory usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej, a więc w energetyce, transporcie, bankowości, instytucjach finansowych, sektorze ochrony zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej. Z szacunków Ministerstwa Cyfryzacji wynika, że dotyczy co najmniej 500 podmiotów. Regulacja wprowadza m.in. wymogi i obowiązki, jakie musi spełnić operator usługi kluczowe. Ma on m.in. niezwłocznie zgłosić do Zespołu Reagowania na Incydenty Komputerowe (CSRiT), że doszło do incydentu oraz obsłużyć go - zidentyfikować, zarejestrować oraz zaklasyfikować na podstawie określonych progów: poważny, istotny lub krytyczny. Będzie też zobowiązany do informowania o zagrożeniach i stosowaniu zabezpieczeń. Ustawa nakłada też obowiązek opracowania i nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa. Za brak odpowiednich środków technicznych i operacyjnych, jak i nie zgłaszanie incydentów poważnych, nie zapewnianie ich obłsugi i nie współdziałanie z CSIRT będą groziły kary. Czytaj również: Milion złotych kary za zagrożenie cyberbezpieczeństwa >>

Jakie kary

Na przykład za każdy przypadek niezgłoszenia incydentu poważnego lub istotnego grozić będzie od 20 tys. zł kary, za nieprzeprowadzenie audytu, nie usunięcie w terminie nieprawidłowości stwierdzonych podczas kontroli skutkować - do 200 tys. zł. Operatorom lub dostawcom, którzy uporczywie będą naruszać przepisy ustawy grozić będzie nawet milion zł. Problem w tym, że aby firmy mogły wdrożyć wynikające z ustawy obowiązki, muszą zostać opublikowane rozporządzenia wykonawcze. Do dziś jednak trwają ich konsultacje. - Wciąż nie wiadomo, jaki będzie próg uznania incydentów za poważne, jakie kryteria powinny spełniać podmioty świadczące usługi z zakresu cyberbezpieczeństwa, jaką dokumentację cyberbezpieczeństwa należy posiadać dla systemów IT wykorzystywanych do świadczenia usług kluczowych, nie jest także wiadomo jaka będzie ostateczna treść wykazu tychże usług - mówi adwokat Tomasz Gwara z butiku prawniczego Discretia.

Kontrowersyjne progi i usługi

Najwięcej uwag organizacje społeczne zgłosiły do projektów: w sprawie porogów uznania incydentów za poważny oraz sprawie wykazu usług kluczowych. Rozporządzenie w sprawie progów uznania incydentu za poważny, będzie podstawą dla operatorów usług kluczowych do klasyfikacji incydentów w procesie ich zgłaszania i obsługi. Progi powinny określać:

• liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,
• czas trwania oddziaływania incydentu na świadczoną usługę kluczową,
• zasięg geograficzny związany z obszarem, którego dotyczy incydent,
• inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują.

Z tym, że w zakresie infrastruktury cyfrowej przyjęto, że poważnym jest każdy incydent, który doprowadził do braku poufności, integralności czy dostępności usługi. Polska Izba Informatyki i Telekomunikacji oraz Konfederacja Lewiatan uważają, że to zbyt ogólne określenie. W efekcie praktycznie każdy incydent będzie musiał być uznany za incydent poważny i będzie wymagał raportowania. Ponadto według PIITnie jest zrozumiałe, co projektodawca miał na myśli pisząc o incydencie polegającym na „braku poufności usługi. Z kolei jeśli chodzi o wykaz usług kluczowych najwięcej uwag ma Związek Banków Polskich oraz Komisja Nadzoru Finansowego. Te wskazane w projekcie nie pokrywają się bowiem z tymi, które obecnie prowadzą instytucje finansowe.

Formularze do poprawki

Sporo uwag zgłoszono też do projektu rozporządzenia w sprawie wzoru formularza do przekazywania informacji o naruszeniach. Konfederacja Lewiatan przede wszystkim zwraca uwagę, że liczba danych, którą trzeba dostarczyć jest bardzo duża i niezwykle pracochłonna dla przedsiębiorców. Konfederacja proponuje więc wykreślenie punktów opisowych, a pozostawienie jedynie tych do odznaczenia (z checkboxem). Z kolei w przypadku projekt rozporządzenia w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych ZBP proponuje wprowadzenie prowadzenia rejestru ryzyka i jego aktualizacji.
Czytaj również: Cyberbezpieczeństwo ograniczy swobodę działalności gospodarczej >>

Audyt co dwa lata

Ustawa nakłada też na operatora usługi kluczowej obowiązek zapewnienia przeprowadzania, co najmniej raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej. Z szacunków Ministerstwa cyfryzacji wynika, że obowiązek ten będzie dotyczył ok. 509 podmiotów, w tym aż 253 świadczących usługi w ochronie zdrowia. - Bardzo dobrze, że ustawa wymaga przeprowadzania regularnych audytów – mówi dr. Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności. - Powstaje jednak pytanie czy ten okres zawsze jest adekwatny do specyficznego rodzaju firm, w specyficznych sektorach gdzie ewolucja zagrożeń następuje szybko. Czy nie można było uzależnić tego - choćby tak jak w RODO - od rozwoju sytuacji zewnętrznej, lub zmian w systemach – pyta Olejnik.

Ustawa jednak wprowadza sztywny termin. Teraz w konsultacjach jest rozporządzenie, które określi katalog certyfikatów uprawniających do przeprowadzania audytów. Projekt przewiduje ich osiem. Zdaniem Związku Banków Polskich ta liczba jest za mała . Posiadanie tylko jednego z nich bowiem nie wystarczy do kompleksowego audytu – a posiadanie wszystkich jest mało realne. Dlatego NBP proponuje, aby wymagane było posiadania certyfikatu CIA oraz co najmniej jednego z: CISA, CISM, CISSP, SSCP, ISO27001.
Czytaj również, jakie projekty rozporządzeń wyknawczych do ustawy o cyberbezpieczeństwie wciąż są konsultowane >>

Żadnych uwag nie zgłoszono do projektu rozporządzenia w sprawie zakresu działania Kolegium do Spraw Cyberbezpieczeństwa.

----------------------------------------------------------------------------------------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.

Nowe technologie Spółki

Zmiany w prawie

Data dodania: 2018-08-28

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome