Dyrektywa NIS-2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Poważne incydenty związane z cyberbezpieczeństwem docelowo trzeba będzie obsługiwać na nowych zasadach, w tym zgłaszać wczesne ostrzeżenia o incydencie i prowadzić sprawozdawczość w tym zakresie. Szczegóły w temacie tygodnia.
Zgłaszanie incydentów poważnych wg dyrektywy NIS2
Art. 23 Dyrektywy NIS2 kreuje po stronie PKW obowiązek niezwłocznego zgłaszania każdego tzw. poważnego incydentu, który ma istotny wpływ na świadczenie przez PKW usług. PKW muszą też - w stosownych przypadkach - powiadamiać odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie tych usług.
Dyrektywa nakazuje uznać incydent za poważny, jeżeli:
-
spowodował on lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
-
wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Projekt polskiej ustawy zmienia definicję takiego incydentu (w stosunku do obecnie występującej w ustawie), dostosowując ją do ww. definicji sformułowanej w dyrektywie. Projekt definiuje też incydent („zwykły incydent”) jako zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych.
Warto zwrócić uwagę, że poważny incydent może mieć wpływ na bezpieczeństwo informacji, w tym na bezpieczeństwo danych osobowych przetwarzanych przez PKW.
