W obecnym zinformatyzowanym świecie, gdzie niemal wszystko, od drobnych spraw prywatnych po poważne przedsięwzięcia biznesowe, zależy od sprawności sieci informatycznych, cyberbezpieczeństwo urosło do rangi najpoważniejszych wyzwań, jakie stoją przed administratorami i użytkownikami sieci teleinformatycznych. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS) jest unijną odpowiedzią na to wyzwanie. Na terenie kraju implementuje ją właśnie Ustawa o krajowym systemie cyberbezpieczeństwa.
Ustawa obejmuje przede wszystkim tzw. operatorów usług kluczowych oraz dostawców usług cyfrowych. Ci pierwsi to podmioty świadczące usługi, które mają kluczowe znaczenie dla utrzymania „krytycznej działalności społecznej lub gospodarczej”. Dostawcy usług cyfrowych to z kolei firmy świadczące usługi drogą elektroniczną w rozumieniu Ustawy o świadczeniu usług drogą elektroniczną (z wyłączeniem mikroprzedsiębiorców i firm małych).
Usługi uznane za kluczowe wskazane są w rozporządzeniu wykonawczym do Ustawy. Z kolei usługi cyfrowe objęte regulacją Ustawy wskazane są w załączniku do niej i obejmują:
- internetowe platformy handlowe,
- usługi przetwarzania w chmurze,
- wyszukiwarki internetowe.
Na dostawców usług cyfrowych Ustawa nakłada obowiązek stosowania środków technicznych i organizacyjnych, mających zapewnić odpowiedni poziom cyberbezpieczeństwa. Szerszy katalog obowiązków dotyczy operatorów usług kluczowych. Podmioty uznane za tego typu podmioty na mocy decyzji administracyjnej (i umieszczone w wykazie prowadzonym przez Ministra właściwego do spraw administracji), obowiązani będą:
- wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usług,
- wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami systemu cyberbezpieczeństwa,
- prowadzić zgłoszenia i obsługę incydentów, czyli zdarzeń mogących negatywnie wpływać cyberbezpieczeństwo,
- przeprowadzać co najmniej raz na dwa lata audyty bezpieczeństwa systemów informacyjnych, itp.
NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!
Jak wynika z powyższego, kluczowe dla praktyki funkcjonowania Ustawy będą akty wykonawcze, wskazujące m.in. katalog usług kluczowych, a także decyzje w przedmiocie uznania za operatorów usług kluczowych. To praktyka pokaże, na ile Ustawa faktycznie obciąży rynek kolejnymi obowiązkami, które choć zapewne konieczne, z pewnością oznaczać będą (kolejne) istotne obciążenia finansowe i organizacyjne.
Za naruszenia przepisów nowej ustawy przewidziano sankcje karne: grzywny dla podmiotów objętych Ustawą w wysokości do 200 000 zł, a także grzywny dla osób fizycznych – zajmujących stanowiska kierownicze, którzy nie dopełnili obowiązków (do 200% miesięcznego wynagrodzenia).
Autor: Adam Roszyk, adwokat w KSP Legal & Tax Advice w Katowicach
Zobacz także KSP Blog o Prawie i Własności Intelektualnej