2018-07-12
Cyberbezpieczeństwo – wspólnym wysiłkiem do wspólnego celu
Autor: Goście
Komentarzy: (0) Tagi: cyberbezpieczeństwo, dane osobowe, dostawcy usług cyfrowych, operator usług kluczowych, RODO, usługi cyfrowe, ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o świadczeniu usług drogą elektroniczną

Usługi cyfrowe stają się istotną częścią gospodarki światowej. Społeczeństwa coraz częściej polegają na ich dostępności także w celu zaspokajania najbardziej podstawowych potrzeb, takich jak dostawa wody, prądu czy żywności. Z uwagi na rosnącą rolę tych usług nierzadko stają się one celem cyberataków. Przykładowo, w 2017 r. liczba cyberataków polegających na nieuzasadnionej odmowie dostępu do usługi (z ang. DDoS - disturbed denial of service) uległa podwojeniu w porównaniu z rokiem 2016. W związku z rosnącą liczbą cyberataków oraz ich rozmiarami, zapewnienie odpowiedniego poziomu bezpieczeństwa stało się jednym z najważniejszych wyzwań dla współczesnych rządów. Państwo jednak nie jest w stanie samodzielnie zapewnić swoim obywatelom ochrony przed cyberatakami. Część obowiązków związanych z taką ochroną ma obciążać przedsiębiorców – przede wszystkim tych, którzy świadczą tzw. usługi kluczowe oraz większych dostawców usług cyfrowych.

Współpraca kluczem do sukcesu

Odpowiedzią na zagrożenia związane z cyberprzestępczością jest projekt ustawy o krajowym systemie cyberbezpieczeństwa (po II czytaniu w Sejmie, które odbyło się 3 lipca 2018 r., projekt skierowany został do komisji w celu przygotowania dodatkowego sprawozdania). Stanowić on ma implementację postanowień tzw. dyrektywy NIS (Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Rozwiązania w nim przewidziane opierają się na założeniu, że kwestia cyberbezpieczeństwa jest ważna nie tylko dla sektora publicznego, ale także sektora prywatnego. Środkiem do osiągnięcia tego wspólnego celu ma być stworzenie ram ich (obligatoryjnej!) współpracy. W konsekwencji projekt nakłada określone obowiązki nie tylko na podmioty publiczne, ale także na podmioty prywatne będące operatorami usług kluczowych lub dostawcami usług cyfrowych. Niewykonanie tych obowiązków może wiązać się z nałożeniem kary pieniężnej – w przypadku uporczywego niewykonywania obowiązków i postania określonych zagrożeń może ona wynosić nawet 1 000 000 zł.

Dalsza perspektywa – zapewnienie eurobezpieczeństwa

Obecnie zasadniczo trudno mówić o istnieniu jakiegokolwiek krajowego systemu cyberbezpieczeństwa. Brak bowiem ogólnych ponadsektorowych ram dla funkcjonowania takiego systemu, choć istnieją w tym zakresie liczne rozwiązania sektorowe np. w ustawie o świadczeniu usług drogą elektroniczną, ustawie o ochronie danych osobowych czy ustawie o systemie informacji i ochronie zdrowia.

W projekcie ustawy zaś po raz pierwszy zaproponowano rozwiązania uniwersalne (ponadsektorowe). Warto jednak podkreślić, że walka z cyberprzestępczością nie kończy się na rozwiązaniach krajowych. Projekt ten wpisuje się w proces tworzenia unijnego systemu cyberbezpieczeństwa (którego ramy wyznacza dyrektywa NIS).

Nowe obowiązki dla operatorów usług kluczowych

Projekt nakłada szereg nowych obowiązków na podmioty, które można określić jako „operatorów usług kluczowych” lub „dostawców usług cyfrowych”. Należą do nich przede wszystkim: systematyczne monitorowanie zagrożeń i dokonywanie oceny ryzyka, stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka oraz zgłaszanie incydentów. Trudno oprzeć się wrażeniu, że obowiązki te są analogiczne do obowiązków administratorów danych osobowych uregulowanych w RODO. Nie jest to przypadkowe – zarówno RODO, jak i dyrektywa NIS są częścią wspólnych ram mających umożliwić rozwój jednolitego rynku cyfrowego przy jednoczesnym zagwarantowaniu właściwego poziomu bezpieczeństwa obywateli UE. W konsekwencji, przy wykonywaniu obowiązków wynikających z projektu przedsiębiorcy a także podmioty publiczne będą mogli posiłkować się rozwiązaniami przyjętymi w ramach wdrażania RODO.

Operatorami usług kluczowych mogą być zarówno podmioty publiczne, jak i prywatne, co do których zostanie wydana decyzja o uznaniu ich za operatorów usług kluczowych. Podmioty te zostaną wskazane w niejawnym (dostępnym dla ograniczonego grona podmiotów takich jak Policja, Żandarmeria Wojskowa czy CBA) wykazie prowadzonym przez ministra właściwego ds. informatyzacji. Podobne wykazy będą równolegle tworzone w innych państwach członkowskich UE a operator, który został już wpisany na listę w jednym z państw, ma obowiązek poinformować o tym właściwy organ.

Kto jest operatorem usług kluczowych?

Operatorami usług kluczowych wpisanymi do polskiego wykazu mogą być wyłącznie podmioty spełniające łącznie poniższe warunki:

  1. posiadające jednostkę organizacyjną (rozumianą szeroko, jak na gruncie RODO) w Polsce;
  2. świadczące usługi wskazane w załączniku nr 1 do projektu, tj. usługi w zakresie energetyki, wydobywania kopalin, ciepłownictwa, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej (DNS, IXP oraz zarządzanie TLD),
  3. jeżeli ich świadczenie zależy od systemów informacyjnych, a
  4. incydent miałby istotny skutek zakłócający ich świadczenie.

Kluczowe jest zatem nie tylko to, jaką usługę świadczy dany operator, ale także jej architektura (uzależnienie od systemu informacyjnego) oraz odporność na incydenty. Biorąc jednak pod uwagę coraz większą digitalizację wskazanych sektorów, wydaje się, że warunek ten będzie spełniony w większości przypadków – przykładowo trudno obecnie sobie wyobrazić świadczenie usług z dziedziny bankowości bez sprawnie działających systemów informatycznych. 

Jakie obowiązki?

Do najważniejszych obowiązków operatorów usług kluczowych należało będzie w szczególności (pełny wykaz obowiązków zawiera rozdział 3 projektu):

  • podejmowanie odpowiednich (opartych na ocenie ryzyka – w tej kwestii będzie można wykorzystać doświadczenia związane z wdrożeniem RODO) środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy (pomocne w tym zakresie mogą być m.in. standardy ISO/IEC 27001),
  • gromadzenie informacji o zagrożeniach i podatności na incydenty,
  • zarządzanie i obsługa incydentów,
  • zgłaszanie incydentów mających istotny wpływ na ciągłość usług (zatem nie każdy incydent będzie podlegał zgłoszeniu),
  • podejmowanie odpowiednich działań prewencyjnych lub naprawczych.

Przyjęcie projektu może wiązać się ze zmianami w strukturze organizacyjnej operatorów. Będą oni zobowiązani do wyznaczenia przedstawiciela do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz utworzyć odpowiednią jednostkę wewnętrzną ds. cyberbezpieczeństwa albo skorzystać z outsourcingu, tj. powierzyć wykonywanie zadań takiej jednostki profesjonalnemu (odpowiadającego wzorcowi „rzeczywistego profesjonalisty”) podmiotowi zewnętrznemu, który świadczy usługi w zakresie cyberbezpieczeństwa.

Podobnie jak w przypadku RODO ważnym elementem projektu są obowiązki informacyjne wobec usługobiorców. Zgodnie z projektem operatorzy usług kluczowych powinni zapewnić usługobiorcom dostęp do wiedzy o zagrożeniach i skutecznych sposobach dbania o bezpieczeństwo. Aby sprostać temu wymaganiu, mogą oni przykładowo zamieścić odpowiednie komunikaty na stronie www lub przesłać je w wiadomości email.

Zgodnie z zasadą rozliczalności operatorzy usług kluczowych powinni prowadzić dokumentację dotyczącą cyberbezpieczeństwa, zapewnić jej bezpieczeństwo (udostępniać ją wyłącznie osobom upoważnionym, chronić przed użyciem lub utratą integralności, odpowiednio oznaczać kolejne wersje np. za pomocą elektronicznego znacznika czasu) i przynajmniej raz na dwa lata przeprowadzić obligatoryjny (!) audyt bezpieczeństwa systemów informacyjnych.

Dostawcy usług cyfrowych – obowiązki dla dużych i średnich

Druga kategoria podmiotów, która musi liczyć się z nowymi obowiązkami, to dostawcy usług cyfrowych. Odkodowanie tego pojęcia może napotkać pewne przeszkody. Projekt (art. 2 pkt 15 projektu) odsyła do pojęcia „usługi cyfrowej” w rozumieniu ustawy o świadczeniu usług drogą elektroniczną (Dz. U. 2017 poz. 1219) a w ustawie tej brak definicji wspomnianego pojęcia. Jednocześnie w projekcie przyjęto, że usługami cyfrowymi są tylko te, które zostały wymienione w załączniku nr 2 do projektu. Wobec tego tam szukać należy wskazówki. Na liście w załączniku nr 2 znalazły się internetowe platformy handlowe (tj. platformy umożliwiające zawieranie online umów sprzedaży lub o świadczenie usług w relacjach B2B lub B2C, np. e-sklepy, platformy służące do rezerwacji noclegów, platformy streamingowe), usługi przetwarzania w chmurze i wyszukiwarki internetowe. Mikro- i mali przedsiębiorcy prowadzący wskazaną wyżej działalność mogą jednak odetchnąć z ulgą. Do tych kategorii przedsiębiorców (w rozumieniu ustawy z 6 marca 2018 r. – Prawo przedsiębiorców) projekt nie będzie miał zastosowania.

Do obowiązków dostawców usług cyfrowych należą m.in.

  • podejmowanie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem (pomocne mogą być wytyczne ENISA - Technical Guidelines for the implementation of minimum security measures for Digital Service Providers a także normy ISO/IEC 27001, CCS, OCF, BSI C5 lub NIST),
  • podejmowanie działań prewencyjnych i naprawczych (ograniczenie wpływu incydentu na usługę i ciągłość jej świadczenia np. procedury fall-back, disaster recovery lub business continuity),
  • wyznaczenie przedstawiciela w Polsce,
  • monitorowanie, klasyfikowanie i niezwłoczne (24h od wykrycia) zgłaszanie wszelkich incydentów, co jest rozwiązaniem bardzo rygorystycznym. Łagodzi je jednak zastrzeżenie, że obowiązek zgłoszenia aktualizować się będzie jedynie wtedy, gdy będą oni mieli dostęp do informacji niezbędnych do oceny wpływu incydentu, takich jak: liczba użytkowników, których dotyczy incydent, czas jego trwania, zasięg terytorialny, zasięg zakłócenia funkcjonowania usługi i wpływ na działalność gospodarczą lub społeczną

Istotną kwestią, na którą trzeba zwrócić uwagę, jest możliwość ograniczenia ochrony tajemnicy przedsiębiorstwa. Organy wchodzące w skład krajowego systemu cyberbezpieczeństwa (CSIRT GOV, CSIRT NASK czy CSIRT MON), będą mogły zwrócić się do dostawcy usług cyfrowych o uzupełnienie zgłoszenia o informacje, które stanowią tajemnice prawnie chronione, w tym tajemnicę przedsiębiorstwa, w niezbędnym zakresie. W takiej sytuacji trzeba będzie pamiętać o właściwym oznaczeniu poufnego charakteru informacji.

Cyberbezpieczeństwo a ochrona danych osobowych – kompromis?

Obsługa incydentu będzie wiązała się z koniecznością krótkotrwałego przetwarzania danych. Choć w większości informacje potrzebne do tej czynności nie będą danymi osobowymi, to w przypadku danych, które będą miały taki status, nie można zapominać o ich ochronie i o RODO. Pojawić się może wątpliwość, czy operator usług kluczowych lub dostawca usług cyfrowych mogą przetwarzać dane w celu obsługi incydentu, a jeżeli tak, jaką podstawę przetwarzania powinni wskazać podmiotom danych? W ich przypadku podstawą prawną przetwarzania danych osobowych dla podmiotów z sektora prywatnego będzie prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Co się zaś tyczy podmiotów z sektora publicznego, zgodnie z motywem 47 RODO podmioty te nie mogą powoływać się na uzasadniony interes administratora jako podstawę przetwarzania. Potrzebują do tego szczególnej podstawy prawnej a podstawę taką zawiera projekt. W myśl art. 39 CSIRT MON, CSIRT NASK, CSIRT GOV oraz sektorowe zespoły ds. cyberbezpieczeństwa będą mogły przetwarzać dane w zakresie i celu niezbędnym do realizacji ich zadań. Dodatkowo, podmioty te nie będą musiały realizować wszystkich obowiązków wynikających z RODO, w sytuacji, gdy uniemożliwiałoby to wykonywania zadań w zakresie cyberbezpieczeństwa. Dotyczy to m.in. zapewnienia dostępu do danych, sprostowania danych czy spełnienia żądania podmiotu ograniczenia przetwarzania danych. W tym zakresie zapewnienie cyberbezpieczeństwa wymusiło kompromis polegający na ograniczeniu praw podmiotów danych.

Podsumowanie

Od cyfryzacji kolejnych sfer naszego życia nie ma odwrotu. Okazuje się jednak, że cyfryzacja nie oznacza koniecznie „szybciej i taniej”. Cyfryzacja to także konieczność poniesienia kosztów nie tylko na samą informatyzację procesów biznesowych, ale i na ochronę przed nowymi zagrożeniami, które wcześniej nie istniały. Omawiany projekt ustawy pokazuje, że koszty te ponoszą w dużej mierze przedsiębiorcy, przy czym część z nich ponoszą autonomicznie, a część będzie musiała być poniesiona w ramach realizacji obowiązków ustawowych.

 

 

Artykuł autorstwa dr Darii Gęsickiej.

« powrót



Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

BLOG ARCHIWALNY

O autorach
Goście
Prawo konsumenckie
Zignorowanie reklamacji oznacza jej uznanie
Konsumenckie ADR – obowiązki przedsiębiorców
Wybór prawa jako klauzula abuzywna w umowach konsumenckich zawieranych przez Internet
Przejrzystość w e-handlu to podstawa udanych zakupów
Ostatnie komentarze
Wiolka komentuje Strategia i jeszcze raz strategia
Mat komentuje Strategia i jeszcze raz strategia
Parts Store komentuje Strategia i jeszcze raz strategia
Daria komentuje Królewski ślub, królewskie dobra osobiste & własność intelektualna
Ewa komentuje Królewski ślub, królewskie dobra osobiste & własność intelektualna
Archiwum
2019
2018
2017
2016
2015
2014
2013
2012
2011
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)dane osobowe (13)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)sprzedaż w internecie (8)klauzule abuzywne (8)handel elektroniczny (8)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)poufność (5)dowody (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)RODO (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)art. 14 uśude (3)domeny (3)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)sztuczna inteligencja (2)dystrybucja (2)audyt oprogramowania (2)prawo angielskie (2)cloud computing dla prawników (2)administrator forum internetowego (2)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)atak hakerski (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)usługi cyfrowe (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)prawo do nadań (1)odpowiedzialność pośredników (1)rejestracja domen (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)cyfrowa transformacja (1)ICANN (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)dane nieosobowe (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)patenty (1)dostawcy usług cyfrowych (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Royal Wedding (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)ETIAS (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)
więcej...
Poznaj inne nasze serwisy

Blog W ramach regulacji
Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję