24 godziny na zgłoszenie cyberzagrożenia

opublikowano: 15-08-2018, 22:00

Niedługo zacznie obowiązywać ustawa, która ma zwiększyć bezpieczeństwo informatyczne kraju. Firmy muszą same identyfikować ryzyko.

Dostawcy świadczący np. usługi chmurowe dla internetowych przeglądarek czy platform handlowych będą musieli analizować zagrożenia cyberatakami i podatność ich systemów informatycznych na takie ryzyka. W konsekwencji powinni dostosowywać do nich stosowane u siebie rozwiązania techniczne i organizacyjne. Takie wymaganiastawia przed nimi ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), która zacznie obowiązywać od 27 sierpnia tego roku.

Ustawa ta jest nazywana aktem uzupełniającym rozwiązania RODO, czyli unijnego rozporządzenia w sprawie ochrony danych osobowych, stosowanego od 25 maja. Małgorzata Kurowska, radca prawny z Kancelarii Maruta Wachta zwraca uwagę, że ten akt wprowadził jednolity standard dla wszystkich podmiotów przetwarzających takie informacje, a wykonywanie obowiązków określonych w przepisach o KSC może, choć nie musi, wiązać się z wykorzystaniemdanych osobowych. Poza tym regulacje wchodzące w życie za niecałe dwa tygodnie odnoszą się do ścisłego ustawowego katalogu firm, do których należą wspomniani dostawcy.

— Jeśli któryś z nich w swoim biznesie przetwarza dane osobowe, to oczywiście musi zapewnić zgodność swojego działania nie tylko z przepisami o cyberbezpieczeństwie, ale również z RODO i regulacjami krajowymi dotyczącymi danych osobowych — wyjaśnia radca prawny.

RODO i ustawę o KSC łączy zasada, że wynikające z nich obowiązki powinny być wypełniane zgodnie z ryzykiem.

Podmioty objęte tymi regulacjami muszą samodzielnie oceniać i identyfikować zagrożenia oraz odpowiednio do nich działać. W razie potrzeby to firma będzie musiała wykazać, że przyjęła rozwiązania adekwatne i proporcjonalne do stwierdzonych okoliczności, aby zapobiec niebezpiecznym incydentom.

Puls Firmy
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
×
Puls Firmy
autor: Sylwester Sacharczuk
Wysyłany raz w tygodniu
Sylwester Sacharczuk
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Zgodnie z art. 2 pkt 5 ustawy, incydentem jest każde zdarzenie, które ma lub może wpływać niekorzystnie na cyberbezpieczeństwo. Definicja jest — jak widać — pojemna, a zgodnie z zasadą działania opartego na ryzyku, podmiot, który stwierdzi jego istnienie, będzie musiał sklasyfikować zagrożenie i podjąć odpowiednie działania, łącznie z obowiązkiem zgłoszenia tego w ciągu 24 godzin jednemu z zespołów reagowania powołanych przy MON, ABW czy Naukowej Akademickiej Sieci Komputerowej. KSC ma służyć zapobieganiu, wykrywaniu i minimalizowaniu ataków naruszających bezpieczeństwo informatyczne kraju.

— Część podmiotów, których dotyczy ustawa, może być już teraz dobrze przygotowana do wymagań ustawy o KSC — m.in. sektor finansowy lub energetyczny. Dla innych, np. niektórych dostawców usług cyfrowych, sprostanie jej wymogom może okazać się nie lada wyzwaniem i będzie wymagać częściowej zmiany kultury organizacyjnej — ocenia Małgorzata Kurowska.

Ustawa o KSC nakłada obowiązki także na dostawców usług cyberbezpieczeństwa, świadczących je na rzecz operatorów usług kluczowych lub dostawców usług cyfrowych. Ich zadania zostaną określone w rozporządzeniu wykonawczym ministra cyfryzacji, który będzie również sprawować nadzór i kontrolę nad przedsiębiorcami. Za naruszenia grożą kary, najwyższa to 200 tys. zł. Sankcje mogą być nałożone też na członków kadry zarządzającej.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane