W 2022 roku w Polsce zanotowano 30 tysięcy incydentów związanych z cyberbezpieczeństwem, w 2023 – ponad 80 tysięcy. Nie ma jeszcze pełnych danych za 2024 rok, jednak już we wrześniu liczba zgłoszeń obsługiwanych przez CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) przekroczyła 100 tysięcy („PWCyber”).  

Czytaj też: Jakie przedsiębiorstwa obejmie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowe obowiązki 2025  

Nie powinna dziwić więc legislacyjna lawina w zakresie cyberbezpieczeństwa. W 2025 spodziewane jest przyjęcie transpozycji Aktu o usługach cyfrowych, czyli nowelizacji ustawy o świadczeniu usług drogą elektroniczną. Przepisy te będą miały zastosowanie do wszystkich pośredników w przekazywaniu treści w środowisku cyfrowym.

Zgodnie z kalendarzem legislacyjnym przyjęta zostanie także implementacja dyrektywy odnoszącej się do środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2), czyli nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Podmioty z sektora finansowego wdrażają także rozporządzenie DORA, czyli przepisy dotyczące cyfrowej odporności instytucji finansowych. W roku 2025 przedsiębiorcy będą zobowiązani do dostosowania działalności do Aktu o sztucznej inteligencji i przygotowania się do wdrożenia elektronicznych doręczeń zgodnie z ustawą o e-doręczeniach.

Czy przedsiębiorców czeka „Wielki Reset” i reorganizacja standardów bezpieczeństwa?

Poniżej zaprezentowane zostały najważniejsze obowiązki, które spoczywać będą na przedsiębiorcach zakwalifikowanych jako podmioty ważne lub kluczowe w krajowym systemie cyberbezpieczeństwa. Wszystkie wyżej wymienione regulacje łączy ważna zasada, kluczowa z punktu widzenia prowadzenia działalności i wdrażania środków służących zapewnieniu nowych standardów bezpieczeństwa.

Wspomniane przepisy opierają się na stałej i obecnej na każdym etapie świadczenia usług analizie ryzyka, czyli risk based approach. Po dokonaniu identyfikacji ryzyk w swoim przedsiębiorstwie, to przedsiębiorca decyduje, jakie środki i narzędzia będą ostatecznie stosowane, i które są adekwatne do specyfiki jego działalności.

Risk based approach to podejście, które zakłada identyfikację najważniejszych ryzyk w kontekście prowadzonej działalności i wdrożenie środków minimalizujących te ryzyka, właściwych dla danej branży i specyfiki podmiotu wdrażającego. Pierwszym aktem, który na szeroką skalę wprowadził obowiązek identyfikacji ryzyk, było RODO. Zgodnie z tą koncepcją zakres i sposób realizacji obowiązków nałożonych na administratora danych osobowych (ado) uzależniony jest od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od istniejącego ryzyka naruszenia praw i wolności osób, których dane dotyczą. Wartościami, którym służy risk based aproach na gruncie RODO, są więc prawa i wolności osób, których dane osobowe są przetwarzane. Można powiedzieć, że zakres obowiązków nałożonych na administratorów danych zależy od ryzyk, które w przypadku prowadzonej przez nich działalności może dotknąć przetwarzane dane osobowe.

Nowość

-10%

Nowość

Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź  

Risk based approach 2025 na gruncie NIS2 i planowanej nowelizacji UKSC

Nowelizowane obecnie przepisy UKSC wprowadzają dla przedsiębiorców obowiązkową analizę ryzyka i uzależniają zakres obowiązków od ryzyk w kontekście cyberbezpieczeństwa, jakie wiążą się z prowadzoną przez nich działalnością. Przyjęcie ostatecznej wersji ustawy planowane jest w połowie 2025 roku i nadal trwa proces uzgodnień treści przepisów. Już teraz jednak można pokusić się o wskazanie głównych założeń nowej architektury systemu cyberbezpieczeństwa, a w szczególności obowiązków, które nałożone zostaną na przedsiębiorców.

Szacuje się, że wskutek zmian legislacyjnych liczba podmiotów zaangażowanych w budowanie systemu cyberbezpieczeństwa zwiększy się z 400 do 40 tysięcy. Ważna zmiana dotyczy sposobu wyłaniania tych podmiotów. Przed wdrożeniem przepisów dyrektywy NIS2, podmioty kluczowe dla cyberbezpieczeństwa wskazane były w drodze decyzji administracyjnej. Nowelizacja UKSC zakłada, że operatorzy usług kluczowych i ważnych będą musieli dokonać tzw. samookreślenia, a następnie stosownej rejestracji w rejestrach podmiotów ważnych i kluczowych. W mocy pozostają natomiast wcześniej wydane decyzje (około 400) wobec podmiotów uznanych za kluczowe dla cyberbezpieczeństwa.

Po wejściu w życie nowelizacji UKSC, wszyscy przedsiębiorcy będą musieli przeanalizować listy sektorów, podsektorów i rodzajów podmiotów, które wskazane są w załącznikach do nowelizacji UKSC i stwierdzić, czy kwalifikują się do kategorii podmiotów kluczowych (załącznik nr 1) lub ważnych (załącznik nr 2). Ten, kto się kwalifikuje, będzie musiał dokonać stosownego zgłoszenia – w terminie trzech miesięcy od wejścia w życie nowelizacji lub spełnienia tych warunków. Zarówno w przypadku podmiotów kluczowych, jak i ważnych, przepisy przewidują liczne wyłączenia i wyjątki. Przykładowo, jeżeli przedsiębiorstwo ze względu na jego przedsiębiorstwa partnerskie lub powiązane kwalifikuje się do wskazanych grup, ale, jego system informatyczny jest niezależny od systemów wykorzystywanych w przedsiębiorstwach powiązanych lub partnerskich, to podmiot taki nie będzie uznawany za podmiot kluczowy i ważny. To istotny wyjątek w stosunku do przepisów dyrektywy NIS2. Jak widać, diabeł zawsze tkwi w szczegółach.

Podmioty, które na skutek przeprowadzonej analizy uznają się za podmioty ważne i kluczowe, będą musiały w ciągu sześciu miesięcy wdrożyć nowe standardy bezpieczeństwa. W ciągu dwóch lat zobowiązane będą przejść pierwszy audyt bezpieczeństwa – a wręcz wprowadzić nowy prawny firewall dla zabezpieczenia istotnych obszarów  swojej biznesowej działalności. Na gruncie przepisów UKSC wdrożenie środków w zakresie cyberbezpieczeństwa będzie musiało być nie tylko adekwatne do poziomu szacowanego ryzyka dla prowadzonej działalności – jak było to na gruncie RODO – ale także zobiektywizowane do stanu wiedzy. Przedsiębiorcy będą więc musieli być na czasie z nowinkami technologicznymi i normami w zakresie cyberbezpieczeństwa. Z analizą ryzyka wiąże się również implementacja systemu wewnętrznych szkoleń, wyznaczenie pracowników odpowiedzialnych za kwestie cyberbezpieczeństwa i wdrożenie dokumentacji incydentów bezpieczeństwa a także ich obsługi i raportowania.

Zobacz w LEX: Obowiązki przedsiębiorcy w zakresie cyberbezpieczeństwa (NIS2) > >

Zasady współpracy z organami cyberbezpieczeństwa – pierwsze 72 godziny

Przedsiębiorcy będą mieli obowiązek przygotowania procedur współpracy z organami właściwymi w zakresie cyberbezpieczeństwa oraz zespołami CSIRT. W przypadku zaistnienia poważnego incydentu pierwsze powiadomienie będzie musiało nastąpić w ciągu 72 godzin od zdarzenia. Wraz z ewaluacją zdarzenia przekazywane będą kolejne raporty. Warto też wskazać, że powiadomienie CSIRT może nie wypełnić wszystkich obowiązków spoczywających na przedsiębiorcy po wystąpieniu incydentu bezpieczeństwa, np. ataku hakerskiego lub kradzieży danych. Jeżeli jednocześnie dojdzie do naruszenia prywatności lub danych osobowych, co jest bardzo prawdopodobne, konieczne będzie także dokonanie zgłoszenia do prezesa Urzędu Ochrony Danych Osobowych. Także na gruncie DORA przewidziane są szczególne wymogi w zakresie raportowania incydentów bezpieczeństwa.

Analiza łańcuchów dostaw

Szczególnym obowiązkiem, który wprowadzony zostaje dla podmiotów ważnych i kluczowych, będzie kontrola łańcuchów dostaw i obowiązek wykluczenia z nich tzw. dostawców wysokiego ryzyka (HRS). Niezwłocznie po decyzji o uznaniu danego dostawcy za HRS, zakazane będzie stosowanie nowych wdrożeń z wykorzystaniem sprzętu i komponentów pochodzących od tego podmiotu. Ponadto, podmioty ważne i kluczowe będą miały siedem lat na wycofanie z użycia sprzętu pochodzącego od HRS. W przypadku operatorów telekomunikacyjnych będą to jedynie cztery lata.

Pojęcie HRS nie odnosi się – jak mogłoby się wydawać – do nierzetelnych i zalegających z płatnościami kontrahentów, a do kategorii dostawców sprzętu lub oprogramowania, którzy mogą być uznani za ryzykownych z punktu widzenia bezpieczeństwa państwa. Wartościami, którym służy podejście oparte na ryzyku na gruncie UKSC w zakresie kontroli łańcuchów dostaw, nie jest więc działalność biznesowa przedsiębiorców, a niezakłócone funkcjonowanie państwa i jego organów.

Czytaj w LEX: Cyberbezpieczeństwo kancelarii prawnych > >

Cyberbezpieczeństwo – nowy filar CSR

Tak daleko idące włączenie przedsiębiorców w budowanie systemu cyberbezpieczeństwa nie powinno dziwić, skoro Polska jest jednym z częściej atakowanych państw na świecie. W trudnym środowisku bezpieczeństwa XXI wieku budowanie cyberbezpieczeństwa bez włączenia przedsiębiorców wydaje się niemożliwe. Można wręcz powiedzieć, że działania biznesu w obszarze bezpieczeństwa staną się, obok aktywności w takich sferach jak odpowiedzialność wobec społeczeństwa czy środowiska, kolejnym istotnym filarem CSR - Społecznej Odpowiedzialności Biznesu. Z badania pt. Cyberportret polskiego biznesu wynika jednak, że 52 proc. pracowników deklaruje, że w ciągu ostatnich pięciu lat nie przeszło ani jednego szkolenia z zakresu cyberbezpieczeństwa, tylko 48 proc.  deklaruje, że wie, jak reagować na cyberatak, a ponad 30 proc. wskazuje, że nie wie, komu należy zgłosić cyberatak w firmie. Informacje te pokazują, że w związku z nowymi obowiązkami w zakresie cyberbezpieczeństwa wiele firm musi zdecydowanie zmienić swoje podejście do tego tematu.

Zobacz również w LEX: Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia > >

dr hab. Justyna Kurek-Sobieraj, adwokat w kancelarii Łaszczuk i Wspólnicy

Jan Rysiński, adwokat, partner kierujący praktyką White-Collar Crime w kancelarii Łaszczuk i Wspólnicy