Cyberbezpieczeństwo: nowe wymagania i kary
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSCu) przewiduje nawet 1 mln zł kary za naruszenie nowych obowiązków przez przedsiębiorstwa.
Ustawa KCSu została przyjęta przez parlament 5 lipca. Wdraża w kraju unijną dyrektywę NIS (dotyczącą bezpieczeństwa sieci i informacji – Network and Information Systems Directive). Po RODO jest to kolejny krok, który ma przyczynić się do zwiększenia bezpieczeństwa informatycznego w Unii Europejskiej. Dostawcy usług, m.in. chmurowych, muszą przygotować się na zmiany i inwestycje. Nowe prawo nie zapomina także o dostawcach rozwiązań do cyfrowej ochrony.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje określony krąg podmiotów. Są to przede wszystkim tzw. operatorzy usług kluczowych, które zostaną ustalone decyzją właściwego ministra, jak również dostawcy usług cyfrowych, w tym chmurowych oraz platformy e-handlu – wyjaśnia Małgorzata Kurowska z kancelarii Maruta Wachta.
Jeśli wskazane przedsiębiorstwo przetwarza dane osobowe, musi więc nie tylko spełnić nowe wymagania w zakresie cyberbezpieczeństwa, ale również RODO.
Firmy muszą dostosować się do ryzyka
Zgodnie z nową ustawą podmioty objęte KSCu będą zobowiązane do analizowania zagrożeń i podatności swoich systemów informatycznych. Muszą również dostosować rozwiązania techniczne i organizacyjne do ryzyka (tzw. risk-based approach). To na nich w razie potrzeby ciąży obowiązek wykazania, że przyjęły odpowiednie rozwiązania.
W praktyce oznacza to, że przedsiębiorstwa objęte ustawą powinny mieć zdolność sprawnego reagowania na zmieniające się uwarunkowania w zakresie bezpieczeństwa, a jednocześnie umieć uzasadnić prawidłowość swoich działań w tym obszarze.
Część z tych organizacji może być już teraz dobrze przygotowana do spełnienia wymagań KSCu, np. sektor finansowy lub energetyczny. Dla innych, jak platformy e-commerce, może to okazać się nie lada wyzwaniem.
Filozofia skoncentrowania działań organizacji na ocenie i analizie ryzyka stanowi także trzon RODO. Dlatego doświadczenia nabyte przy wdrożeniu rozporządzenia mogą być przydatne w procesie dostosowania do wymogów KSCu.
24 godz. na zgłoszenie incydentu
KSCu wprowadza obowiązek zgłaszania incydentów właściwym organom, jednak są one różne w zależności od rodzaju przedsiębiorstwa i wykrytego problemu.
Jako incydent, zgodnie z art. 2 pkt 5 ustawy, zostało zdefiniowane każde zdarzenie, które ma lub może wpływać niekorzystnie na cyberbezpieczeństwo. Określenie jest więc bardzo pojemne, a ustawa obarcza odpowiedzialnością w tej kwestii dany podmiot. Zgodnie z zasadą risk-based approach musi on samodzielnie stwierdzić, czy ma do czynienia z incydentem, zakwalifikować go do jednego z czterech rodzajów i podjąć stosowne działania. Definicje poszczególnych typów incydentów są mało czytelne, co może komplikować dostosowanie się do wymogów KSC.
Nowe obowiązki dla dostawców usług bezpieczeństwa
Także dostawcy usług cyberbezpieczeństwa będą musieli dostosować się do KSCu. Chodzi o partnerów operatorów usług kluczowych lub dostawców usług cyfrowych. Mają spełnić szereg wymogów, ale nie są one jeszcze znane. Zostaną określone w rozporządzeniu wykonawczym ministra ds. informatyzacji, który będzie również sprawować nadzór i kontrolę nad przedsiębiorcami.
Usługi w zakresie cyberbezpieczeństwa podlegają z reguły jednocześnie RODO. Z tego względu stosowanie ustawy w praktyce może oznaczać wymaganie od dostawców kolejnego podwyższenia standardów ochrony cyfrowej. Z drugiej strony, dostosowanie się do KSCu może zwiększyć przewagę konkurencyjną.
Kary do 1 mln zł
KSCu przewiduje kary finansowe za naruszenia, które są szczegółowo opisane w ustawie. Najcięższe przewinienia wyceniono na 200 tys. zł. Z reguły jednak wysokość sankcji waha się od 15 do 50 tys. zł. W razie uporczywych naruszeń kara ma wynieść nawet 1 mln zł. W niektórych przypadkach odpowiedzialność finansowa grozi także członkom kadry zarządzającej. Kara dla kierownika jednostki organizacyjnej może sięgnąć 200 proc. miesięcznego wynagrodzenia za naruszenie zaledwie kilku przepisów.