Cyberbezpieczeństwo – kluczowe zmiany w polskim prawie

0

Lada dzień wejdzie w życie ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSCu), przyjęta przez polski parlament 5 lipca. Ustawa implementująca unijną dyrektywę „NIS” to – zaraz po RODO – kolejny krok, który ma szansę przyczynić się do zwiększenia poziom

Małgorzata Kurowska, Radca prawny Maruta Wachta
Małgorzata Kurowska, Radca prawny Maruta Wachta

u bezpieczeństwa informatycznego na obszarze Unii Europejskiej. Na jakie zmiany należy się przygotować? Czy słusznie nazywana jest ustawą uzupełniającą RODO?

  1. KSCu nie jest nowym RODO

Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje swym zasięgiem dość precyzyjnie określony krąg podmiotów. Są to przede wszystkim tzw. operatorzy usług kluczowych, wyznaczonych na podstawie decyzji właściwego ministra oraz dostawcy usług cyfrowych, świadczący m.in. usługi chmurowe, usługi dla przeglądarek internetowych czy internetowych platform handlowych. Jest to znacząca różnica w stosunku do RODO, które wprowadziło jednolity standard dla wszystkich podmiotów, przetwarzających dane osobowe w związku z działalnością w UE. Wykonywanie obowiązków określonych w KSCu może więc, choć nie musi, wiązać się z przetwarzaniem danych osobowych. Jeśli tak się stanie, podmiot zobowiązany musi zapewnić zgodność swojego działania nie tylko z przepisami w zakresie cyberbezpieczeństwa, ale również z RODO i właściwymi przepisami krajowymi w obszarze danych osobowych. Będzie to miało szczególne znaczenie w przypadku nakładania się na siebie regulacji dotyczących naruszeń bezpieczeństwa, dotykających danych osobowych i mogących powodować wysokie ryzyka dla osób fizycznych, których te dane dotyczą.

  1. Podejście oparte na ryzyku jest kluczem do KSCu

KSCu wprowadza konieczność prowadzenia analizy zagrożeń i podatności systemów informatycznych przez podmioty objęte działaniem ustawy. Muszą one również dostosować wdrażane przez siebie rozwiązania, zarówno techniczne, jak i organizacyjne, w sposób i w zakresie adekwatnym do zidentyfikowanych ryzyk (tzw. risk-based approach). W razie potrzeby na uczestniku Krajowego Systemu Bezpieczeństwa będzie ciążyć obowiązek wykazania, że przyjęte rozwiązania są odpowiednie i proporcjonalne dla stwierdzonych okoliczności. W praktyce oznacza to konieczność bardzo elastycznego podejścia do ustanowionych przepisów – podmioty objęte działaniem ustawy powinny posiadać zdolność sprawnego reagowania na zmieniające się uwarunkowania, a jednocześnie być w stanie uzasadnić i wykazać prawidłowość prowadzonych przez siebie działań. Część podmiotów, których dotyczy ustawa, może być już teraz dobrze przygotowana do wymagań KSCu, np. sektor finansowy lub energetyczny. Dla innych z kolei, np. niektórych dostawców usług cyfrowych, sprostanie wymogom KSCu może okazać się nie lada wyzwaniem i wymagać będzie częściowej zmiany kultury organizacyjnej.

Czytaj również:  Chorzy na bardzo rzadką chorobę metaboliczną czekają na refundację leku. Problemem jest też dostęp do rehabilitacji

Filozofia skoncentrowania działań organizacji na ocenie i analizie ryzyka stanowi także trzon RODO. Z tego względu doświadczenia nabyte w procesie wdrożenia rozporządzenia mogą być również przydatne w procesie implementacji wymogów KSCu w zobowiązanych do tego organizacjach.

  1. Zgłaszanie incydentów w terminie 24 godzin