Krajowy System Cyberbezpieczeństwa – nowe obowiązki

Od 28 sierpnia 2018 r. obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa  implementująca dyrektywę NIS (Network and Information Systems Directive z 2016 roku). Obok rozporządzenia o ochronie danych osobowych, dyrektywa jest jednym z kluczowych narzędzi służących realizowanej przez Unię Europejską strategii Jednolitego Rynku Cyfrowego.

Kogo dotyczy ustawa nakładająca nowe obowiązki?

Ustawą zostali objęci operatorzy usług kluczowych, do których zaliczają się przedsiębiorcy świadczący usługi z zakresu bankowości, infrastruktury rynków finansowych, energetyki, transportu, czy ochrony zdrowia czyli takie usługi, których bezpieczeństwo jest kluczowe dla społeczeństwa i gospodarki.

Kto jest zatem operatorem usług kluczowych? O tym decydują organy właściwe do spraw cyberbezpieczeństwa poprzez wydanie decyzji administracyjnych, w których wskazane jest posiadania statusu operatora usług kluczowych. Zgodnie z ustawą o KSC, decyzje powinny zostać wydane do 9 listopada 2018 r.

Wyznaczone podmioty będą miały bardzo krótki czas na dostosowanie się do obowiązków wynikających z ustawy, gdyż będzie to 3 do 6 miesięcy od doręczenia decyzji.

Drugą kategorią podmiotów objętych postanowieniami ustawy są dostawcy usług cyfrowych. Przez usługi cyfrowe należy rozumieć:

  • internetowe platformy handlowe,
  • usługi przetwarzania w chmurze oraz
  • wyszukiwarki internetowe.

Jakie obowiązki przewiduje ustawa?

Przykładowo, ustawa nakłada na operatorów usług kluczowych m.in. obowiązek:

  • prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem;
  • wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    • utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    • bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
    • wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
    • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
  • zbierania informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  • zarządzania incydentami;

 

 Co z pośrednikami?

Ustawa nie przewiduje żadnych dodatkowych regulacji dotyczących pośredników (resellerów, agentów) działających w imieniu własnych i na rzecz podmiotów świadczących usługi kluczowe bądź dostawców usług cyfrowych. Z tego względu należy co do zasady uznać, że również pośrednicy zostali objęci regulacją ustawową, pod warunkiem, że uczestniczą chociażby częściowo w świadczeniu usług wymienionych w ustawie.

Kary finansowe

Na operatorów usług kluczowych oraz dostawców usług kluczowych, którzy nie spełnią obowiązków nałożonych ustawą może zostać nałożona kara do 200 000 zł (a w wyjątkowych przypadkach do 1 mln zł).

 

 

Maciej Puchalski
30 listopada 2018
tel. +48 691 449 091
mpuchalski@legalops.pl
ul. Chmielna 71/86
80-748 Gdańsk
copyright © 2018 by LegalOps, all rights reserved. Realizacja Studio Brothers - strony internetowe
Nasza strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Możesz je wyłączyć. Dowiedz się jak.