Dostawcy świadczący np. usługi chmurowe dla internetowych przeglądarek czy platform handlowych będą musieli analizować zagrożenia cyberatakami i podatność ich systemów informatycznych na takie ryzyka. W konsekwencji powinni dostosowywać do nich stosowane u siebie rozwiązania techniczne i organizacyjne. Takie wymaganiastawia przed nimi ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), która zacznie obowiązywać od 27 sierpnia tego roku.
Ustawa ta jest nazywana aktem uzupełniającym rozwiązania RODO, czyli unijnego rozporządzenia w sprawie ochrony danych osobowych, stosowanego od 25 maja. Małgorzata Kurowska, radca prawny z Kancelarii Maruta Wachta zwraca uwagę, że ten akt wprowadził jednolity standard dla wszystkich podmiotów przetwarzających takie informacje, a wykonywanie obowiązków określonych w przepisach o KSC może, choć nie musi, wiązać się z wykorzystaniemdanych osobowych. Poza tym regulacje wchodzące w życie za niecałe dwa tygodnie odnoszą się do ścisłego ustawowego katalogu firm, do których należą wspomniani dostawcy.
— Jeśli któryś z nich w swoim biznesie przetwarza dane osobowe, to oczywiście musi zapewnić zgodność swojego działania nie tylko z przepisami o cyberbezpieczeństwie, ale również z RODO i regulacjami krajowymi dotyczącymi danych osobowych — wyjaśnia radca prawny.
RODO i ustawę o KSC łączy zasada, że wynikające z nich obowiązki powinny być wypełniane zgodnie z ryzykiem.
Podmioty objęte tymi regulacjami muszą samodzielnie oceniać i identyfikować zagrożenia oraz odpowiednio do nich działać. W razie potrzeby to firma będzie musiała wykazać, że przyjęła rozwiązania adekwatne i proporcjonalne do stwierdzonych okoliczności, aby zapobiec niebezpiecznym incydentom.
Zgodnie z art. 2 pkt 5 ustawy, incydentem jest każde zdarzenie, które ma lub może wpływać niekorzystnie na cyberbezpieczeństwo. Definicja jest — jak widać — pojemna, a zgodnie z zasadą działania opartego na ryzyku, podmiot, który stwierdzi jego istnienie, będzie musiał sklasyfikować zagrożenie i podjąć odpowiednie działania, łącznie z obowiązkiem zgłoszenia tego w ciągu 24 godzin jednemu z zespołów reagowania powołanych przy MON, ABW czy Naukowej Akademickiej Sieci Komputerowej. KSC ma służyć zapobieganiu, wykrywaniu i minimalizowaniu ataków naruszających bezpieczeństwo informatyczne kraju.
— Część podmiotów, których dotyczy ustawa, może być już teraz dobrze przygotowana do wymagań ustawy o KSC — m.in. sektor finansowy lub energetyczny. Dla innych, np. niektórych dostawców usług cyfrowych, sprostanie jej wymogom może okazać się nie lada wyzwaniem i będzie wymagać częściowej zmiany kultury organizacyjnej — ocenia Małgorzata Kurowska.
Ustawa o KSC nakłada obowiązki także na dostawców usług cyberbezpieczeństwa, świadczących je na rzecz operatorów usług kluczowych lub dostawców usług cyfrowych. Ich zadania zostaną określone w rozporządzeniu wykonawczym ministra cyfryzacji, który będzie również sprawować nadzór i kontrolę nad przedsiębiorcami. Za naruszenia grożą kary, najwyższa to 200 tys. zł. Sankcje mogą być nałożone też na członków kadry zarządzającej.