Zapomniana siostra RODO. Ustawa o krajowym systemie cyberbezpieczeństwa na drugim planie

Polskie społeczeństwo w przeciągu ostatniego roku zdążyło przywyknąć i poniekąd zaznajomić się z RODO. Proces wdrażania rozporządzenia wciąż trwa, a firmy liczą się z konsekwencjami kar finansowych. Zupełnie inaczej wygląda kwestia z młodszą siostrą RODO. Ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje od 28 sierpnia 2018 roku, ale mało kto o niej słyszał. Dlaczego tak jest?

Zadbaj o cyberbezpieczeństwo z LOG System >>

Ustawa o cyberbezpieczeństwie w praktyce

Głównym celem ustawy jest implementacja do polskiego porządku prawnego tzw. Dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym.

Przechodząc do szczegółów ustawy, dowiadujemy się, że postanowienia muszą realizować tylko organizacje średniej wielkości. Przedsiębiorcy, których dotyka rozporządzenie to tzw. operatorzy usług kluczowych. Podmioty, które znajdują się w tej grupie świadczą usługi zależne od systemów informacyjnych. Są to także firmy, w których zdarzenia teleinformatyczne mają istotny skutek, zakłócający świadczenie usług. Wykaz operatorów usług kluczowych obejmuje takie obszary jak administracja publiczna, bankowość, internetowe platformy handlowe, żegluga, transport lotniczy i kolejowy, szpitale, sektor telekomunikacyjny i energetyczny oraz firmy tworzące infrastrukturę cyfrową.

Firmy jako operatorzy kluczowych usług

Ministerstwo Cyfryzacji zobowiązane było do dnia 9 listopada 2018 roku do zidentyfikowania oraz wydania decyzji administracyjnej o uznaniu podmiotu za operatora usługi kluczowej?  Czy Twoja firma należy do sektora usług kluczowych i czy realizujesz wytyczne ustawy?

W terminie do 3 miesięcy, od dnia otrzymania decyzjifirmy mają obowiązek oszacować ryzyko dla swoich usług kluczowych. Postanowienia należy wdrożyć najpóźniej do 6 miesięcy od daty decyzji. Wszelkie kary za niedotrzymanie przyjętych założeń, o których mowa w rozdziale 14 ustawy, mogą być egzekwowane od dnia otrzymania pisma.

Jak nowy akt prawny przekłada się na działania przedsiębiorców? Firmy spełniające kryteria ustawy są zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem w systemie wykorzystywanym do dostarczania usługi kluczowej oraz stałego monitoringu. Kolejnym krokiem firm jest ustalenie procedur postępowania w sytuacji zagrożenie bezpieczeństwa (więcej o cyberbezpieczeństwie pisaliśmy tutaj).

Koordynator dla ustawy o krajowym systemie cyberbezpieczeństwa

Wejście w życie nowej ustawy narzuca kolejne obowiązki. Firmy zakwalifikowane jako operatorzy usług kluczowych, są zobowiązane do wyznaczenia koordynatora. Taka osoba w firmie ma za zadanie utrzymywać kontakt z podmiotami krajowego systemu cyberbezpieczeństwa. Na wskazanie konkretnej osoby jako firmowego koordynatora, przedsiębiorcy mają 14 dni od momentu przyznania decyzji.

Jakie kwalifikacje powinien mieć koordynator? Ustawa nie określa konkretnych wymogów. Konieczne jest wywiązywanie się z obowiązków oraz ścisła współpraca z rządowymi specjalistami w sytuacji zagrożenia dla społeczeństwa. Warto o tym pamiętać, ponieważ sam brak wskazania koordynatora, będzie skutkował karą do 15 tysięcy złotych, którą ustawodawca może ponawiać.

Ustawa o cyberbezpieczeństwie w cieniu RODO

Oba akty mają na celu zapewnienie bezpieczeństwa informacji. W świetle działań związanych z RODO ustawa o cyberbezpieczeństwie wprowadza jeszcze kilka obowiązków dla przedsiębiorców. Firmy z obszarów wspomnianych w wykazie, zobowiązane są m.in. do przeprowadzenia kompleksowego audytu bezpieczeństwa wykorzystywanego systemu w terminie do 12 miesięcy od daty otrzymania decyzji (każdy kolejny co dwa lata) oraz prowadzenia i przechowywania dokumentacji używanego systemu. Ponadto organizacje muszą mieć wdrożoną politykę zarządzania i obsługi incydentów bezpieczeństwa (reagowanie w ciągu 24 godzin od momentu wykrycia). Operatorzy kluczowych usług zobowiązani są także do systematycznego zarządzania ryzykiem wystąpienia ataku.

Sprawdź Rejestry RODO – zarządzanie ryzykiem i zgłaszanie incydentów bezpieczeństwa

Wymogi cyberustawy można spełnić  w prosty sposób równolegle z RODO. Wystarczy zastosować się do norm z artykułu 32 i 33 Rozporządzenia.

Jak podkreślają zgodnie prawnicy zaznajomieni z tematem nowej ustawy, nie warto lekceważyć postanowień. Choć kary za niedotrzymanie zobowiązań są niewielkie w stosunku do sankcji za złamanie RODO, to cyberbezpieczeństwo jest istotną kwestią. Luki w systemach teleinformatycznych to wręcz zaproszenie dla hakerów. Za wyciek danych osobowych w takiej sytuacji firma otrzyma karę wynikającą nie z ustawy o cyberbezpieczeństwie, lecz z przepisów RODO.

Powiązane artykuły