Ustawa o cyber bezpieczeństwie weszła w życie. Nowe obowiązki dla wielu polskich firm

28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyber bezpieczeństwa, wprowadzająca środki na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Ustawa wdraża unijną dyrektywę NIS, tworząc w Polsce krajowy system cyber bezpieczeństwa. To kolejna po RODO ustawa mająca zapewnić zwiększone bezpieczeństwo danych.

Przedsiębiorcy z nowymi obowiązkami

W skład Krajowego Systemu Cyberbezpieczeństwa mają wejść tzw. operatorzy usług kluczowych i usług cyfrowych (przedsiębiorstwa z wybranych sektorów gospodarki, administracja rządowa i samorządowa).

“Zapisy nowej ustawy nakładają na wybrane przedsiębiorstwa i organy administracji państwowej dodatkowe wymagania z zakresu bezpieczeństwa sieci i systemów informatycznych. Właściciele małych przedsiębiorstw mogą spać spokojnie, ponieważ zapisy ustawy nie dotykają ich bezpośrednio. Co innego w przypadku banków, firm z sektora energetycznego, przewoźników lotniczych i kolejowych, szpitali czy firm telekomunikacyjnych tworzących infrastrukturę cyfrową” – komentuje Niko Bałazy, Prezes Zarządu firmy S-NET, dostawcy Internetu oraz telekomunikacyjnych rozwiązań dla biznesu.

Kto zatem może zostać uznany za operatora usług kluczowych? Za takiego zostanie uznany podmiot, który będzie spełniał łącznie następujące warunki
  • będzie świadczył usługę kluczową wymienioną w wykazie usług kluczowych,
  • świadczenie tej usługi będzie zależeć od systemów informacyjnych,
  • incydent (zdarzenie teleinformatyczne) miałoby istotny skutek zakłócający świadczenie usługi,
  • będzie jednym z podmiotów wymienionych w załączniku do ustawy.

Uznanie przedsiębiorcy za operatora usługi kluczowej będzie odbywało się w formie wydania decyzji administracyjnej. Od czasu jej otrzymania przedsiębiorca powinien realizować postanowienia ustawy o krajowym systemie cyber bezpieczeństwa i dopiero od dnia otrzymania decyzji będzie można egzekwować od niego odpowiedzialność za ewentualne naruszenia.

Obowiązki w ramach ustawy o cyber bezpieczeństwie

Przedsiębiorcy, którzy zostaną uznani za operatora usług kluczowych są zobligowani do wyznaczenia osoby odpowiedzialnej za cyber bezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyber bezpieczeństwa. Dodatkowe wymagania będą musiały spełniać także wybrane platformy handlowe online, dostawcy usług przetwarzania w chmurze oraz wyszukiwarki internetowe.

“Ustawa nakłada na przedsiębiorcę wskazanego przez rządzących wskazanie w terminie 14 dni danych osobowych osoby odpowiedzialnej z ramienia firmy za cyber bezpieczeństwo. Za brak wskazania takiej osoby grozi kara administracyjna w wysokości 15 tys. złotych. To nie jedyne koszty jakie mogą obciążyć przedsiębiorców. Wyznaczone firmy będą musiały również raz na dwa lata przeprowadzić audyt bezpieczeństwa systemu, jego koszt może wynosić nawet 50 tys. złotych.” – dodaje Niko Bałazy.

Nadzór nad właściwymi działaniami ds. Cyber bezpieczeństwa będą sprawować wydzielone organy (m.in. Agencja Bezpieczeństwa Wewnętrznego, Państwowy Instytut Badawczy NASK oraz Ministerstwo Obrony Narodowej). Ustawa o cyber bezpieczeństwie nie spowoduje ogromnego zamieszania wśród przedsiębiorców jak to miało miejsce po wejściu ustaleń nt. RODO, nie mniej jednak nałoży na część firm dodatkowe obowiązki. Oby przełożyło się to na zwiększenie bezpieczeństwa nas wszystkich.

Niko Bałazy