Obowiązki, które na przedsiębiorców nakłada ustawa o Krajowym Systemie Cyberbezpieczeństwa
Pierwszego sierpnia 2018 r. Prezydent podpisał ustawę o Krajowym Systemie Cyberbezpieczeństwa. W wielkim skrócie – to taki akt prawny, który ma pomóc w zabezpieczeniu kraju przed różnymi zagrożeniami związanymi z wykorzystaniem Internetu.
Tym samym, siłą rzeczy, najbardziej dotyka instytucji państwowych, zwłaszcza tych zajmujących się ochroną naszego państwa przed zagrożeniami z zewnątrz – szpiegostwem prowadzonym przez inne państwa, cyberterroryzmem czy też atakami na najważniejszą infrastrukturę państwową. To ważne sprawy, którymi mają zajmować się profesjonaliści. Dlatego większa część ustawy dotyczy takich instytucji jak ABW czy Ministerstwo Obrony Narodowej. Ale nie oznacza to, że nie ma jakiegokolwiek wpływu na polskich przedsiębiorców. Nowe przepisy nakładają również na nich kilka obowiązków.
Co ważne, nowa ustawa nie dotyczy tylko przedsiębiorców zajmujących się ważnymi sektorami gospodarki, takimi jak dostarczanie energii elektrycznej albo cieplnej czy też wykonywaniem transportu lotniczego . Oczywiście nowe przepisy poświęcają takim firmom dużo uwagi. Ale dotyczą także nieco mniej „kluczowych” podmiotów, które świadczą usługi drogą elektroniczną – czyli w rozumieniu tej ustawy są tzw. dostawcami usług cyfrowych. To te firmy, które prowadzą działalność w zakresie:
-
prowadzenia internetowych platform handlowych – czyli dotyczy tych firm, które mają sklepy internetowe,
-
świadczenia usług przetwarzania w chmurze – obejmie więc firmy, świadczące różnego rodzaju usługi chmurowe,
-
wyszukiwarek internetowych – czyli np. firm, które tworzą polską wersję Google 😊
Te wszystkie podmioty podlegają ustawie o krajowym systemie cyberbezpieczeństwa . Brzmi groźnie? Na szczęście nie jest tak źle. Przede wszystkim ustawa nie uznaje za dostawców usług cyfrowych mikroprzedsiębiorców (czyli zatrudniających mniej niż 10 pracowników i mających obroty poniżej 2 milionów Euro) i małych przedsiębiorców (zatrudniających poniżej 50 pracowników i mających obroty poniżej 10 milionów Euro) – co oznacza, że nie muszą oni się stosować do wymagań wskazanych w ustawie. Co ciekawe, przepisy nie również dotyczą giełd walut wirtualnych czy też np. świadczenia innych niż sprzedaż lub usługi chmurowe usług drogą elektroniczną – np. portali społecznościowych.
Dobrze, ale co jeśli ktoś nie jest mikro albo małym przedsiębiorcą, a posiada np. sklep internetowy albo świadczy usługi chmurowe? W takim przypadku musi już zastosować się do przepisów nowej ustawy o krajowym systemie cyberbezpieczeństwa. Na szczęście to również nic strasznego. Co trzeba zrobić?
Przede wszystkim , zadbać o bezpieczeństwo swojego systemu informatycznego . Brzmi znajomo? Tak, obowiązki w tym zakresie są zbliżone do tych znanych z RODO – czyli po prostu musimy spełnić pewne wymagania tak, aby doprowadzić do posiadania (i ciągłego działania) odpowiednich zabezpieczeń. Ustawa wskazuje, że powinniśmy podjąć właściwe i proporcjonalne środki techniczne i organizacyjne (…) w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:
1) bezpieczeństwo systemów informacyjnych i obiektów;
2) postępowanie w przypadku obsługi incydentu;
3) zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
4) monitorowanie, audyt i testowanie;
5) najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu wykonawczym 2018/151.
Wspomniane na końcu Rozporządzenie Parlamentu Europejskiego precyzuje nieco w jaki sposób należy zabezpieczyć nasze systemy informatyczne i jakie cele powinny zostać osiągnięte jeśli chodzi o cyberbezpieczeństwo. Nie są to natomiast wytyczne rewolucyjne – jeżeli ktoś wcześniej wdrożył wcześniej odpowiednie zabezpieczenia, które są zgodne z RODO, może spać spokojnie.
Drugim ważnym obowiązkiem, nałożonym na dostawców usług cyfrowych jest kwestia reagowania na incydenty – czyli zdarzenia, które mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Przede wszystkim firma musi być w stanie takie incydenty wykrywać oraz na nie odpowiednio reagować (rejestrować, analizować oraz usuwać ewentualne skutki).
Dodatkowo, jeżeli incydent okaże się być istotny, konieczne jest jego zgłoszenie do odpowiedniego organu – w przypadku przedsiębiorców świadczących usługi drogą elektroniczną z reguły będzie to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego przy Naukowej i Akademickiej Sieci Komputerowej (NASK).
Co to znaczy, że incydent związany z cyberbezpieczeństwem jest istotny? Tu znowu przychodzi z pomocą przywołane przeze mnie rozporządzenie unijne, które mówi, że dany incydent uznaje się za mający istotny wpływ, jeżeli zaistniała co najmniej jedna z następujących sytuacji:
a) usługa świadczona przez dostawcę usług cyfrowych była niedostępna przez ponad 5 000 000 użytkownikogodzin, przy czym pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut – czyli mnożymy liczbę użytkowników, który nie mogli skorzystać z usługi przez liczbę minut, kiedy usługa nie była dostępna,
b) incydent doprowadził do utraty integralności , autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy informatyczne dostawcy usług cyfrowych, która dotknęła ponad 100 000 użytkowników w Unii – utrata poufności czy integralności danych to pojęcia, które znamy już z RODO – dotyczą więc sytuacji gdy dane wyciekły lub zostały zmodyfikowane w sposób nieuprawniony. Aby doszło do incydentu, który ma charakter istotny, naruszenie musi dotknąć ponad 100.000 użytkowników z terenu Unii Europejskiej,
c) incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych – wskazuję, że nie chodzi tu tylko o sytuację, gdy ktoś stracił życie albo doszło do zdarzenia mającego wpływ na bezpieczeństwo, ale także jedynie gdy pojawiło się ryzyko wystąpienia takich sytuacji.
d) i ncydent wyrządził co najmniej jednemu użytkownikowi w Unii stratę materialną , której wysokość przekracza 1 000 000 EUR .
Co więcej, polska ustawa wskazuje, że aby sklasyfikować incydent jako istotny, przedsiębiorca powinien wziąć pod uwagę następujące czynniki:
1) liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;
2) czas trwania incydentu;
3) zasięg geograficzny obszaru, którego dotyczy incydent;
4) zakres zakłócenia funkcjonowania usługi;
5) zakres wpływu incydentu na działalność gospodarczą i społeczną.
Biorąc pod uwagę treść wytycznych zawartych w cytowanym rozporządzeniu unijnym należy wskazać, że, biorąc pod uwagę realia prowadzenia działalności w zakresie usług świadczonych drogą elektroniczną w Polsce, istotne incydenty nie powinny występować zbyt często, a jeżeli już, to dotyczyły będą sporych firm.
Pomimo tego, jeśli świadczysz usługi drogą elektroniczną, pamiętaj o obowiązku odpowiedniego zabezpieczenia swoich systemów informatycznych. Jeżeli więc RODO nie przekonało Cię do tego aby rzucić okiem na stan zabezpieczeń komputerów i sieci – ustawa o krajowym systemie cyberbezpieczeństwa jest kolejnym argumentem aby to zrobić.