RODO a cyberbezpieczeństwo - poznaj nowe obowiązki związane z bezpieczeństwem cyfrowym

Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa weszła w życie w dniu 28 sierpnia 2018 r. Jej celem jest implementacja do krajowego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 roku w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS). Inaczej niż RODO, ustawa nie reguluje bezpośrednio kwestii ochrony danych osobowych, natomiast dotyczy bezpieczeństwa systemów informatycznych. Oznacza to, że jeżeli administrator lub procesor przetwarza dane osobowe w systemach informatycznych, wówczas musi stosować wymogi wynikające nie tylko z RODO, ale i z ustawy o krajowym systemie cyberbezpieczeństwa. Nie dotyczy to jednak każdego podmiotu przetwarzającego dane z użyciem tego systemu.

Ustawa o krajowym systemie cyberbezpieczeństwa dotyczy bowiem wyłącznie określonych w art. 4 tej ustawy podmiotów, a mianowicie:

• urzędów,
• instytutów,
• spółek wykonujących zadania o charakterze użyteczności publicznej,
• podmiotów świadczących usługi z zakresu cyberbezpieczeństwa.

Oprócz tego zakresem regulacji ustawy objęci są:

• operatorzy usług kluczowych – są to podmioty działające w dziedzinach wydobycia kopalin, energii elektrycznej oraz ciepła, względem których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej,
• dostawcy usług cyfrowych, m.in. chmury, usług dla przeglądarek czy platform handlowych (usługi te wyliczono w załączniku nr 2 do ustawy).

Ustawa o krajowym systemie cyberbezpieczeństwa przewiduje, podobnie jak RODO, obowiązek szacowania ryzyka (risk-based approach). Otóż każdy operator usługi kluczowej ma obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego m.in.:

• prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
• wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy.

Obowiązkiem operatora jest więc bieżąca analiza zagrożeń i podatności systemów informatycznych i odpowiednia reakcja na wyniki tej analizy. Tak, jak w przypadku RODO, obowiązuje to zasada rozliczalności, co oznacza, że operator będzie musiał wykazać zasadność stosowanych narzędzi.

Przypomnijmy, że o każdym naruszeniu ochrony danych osobowych należy poinformować – w ciągu 72 godzin – Prezesa UODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Podobne rozwiązanie jest przewidziane w ustawie o krajowym systemem cyberbezpieczeństwa.

Otóż podmiot podlegający tej ustawie ma obowiązek zgłaszania każdego incydentu, który ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Operator usługi kluczowej powinien zgłosić incydent poważny, nie później niż w ciągu 24 godzin od momentu jego wykrycia, w postaci elektronicznej do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV. Natomiast dostawca usługi cyfrowej powinien dokonać zgłoszenia incydentu niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, w postaci elektronicznej do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.  Z kolei podmiot publiczny zgłasza incydent niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, w postaci elektronicznej do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.

Nie każdy incydent podlega zgłoszeniu. Zgłosić należy wyłącznie

• incydent poważny – czyli taki, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;
• incydent istotny – taki, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 roku.

Co istotne, ustawa o krajowym systemie cyberbezpieczeństwa może obowiązywać również dla innych podmiotów, jeżeli dostarczają one usługi w zakresie cyberbezpieczeństwa dla operatorów usług kluczowych czy dostawców usług cyfrowych. Podmioty te muszą wówczas spełnić dodatkowe wymogi. Zostaną one uregulowane w rozporządzeniu ministra do spraw informatyzacji, w którym z uwzględnieniem Polskich Norm będą określone warunki organizacyjne i techniczne oraz konieczność zapewnienia bezpieczeństwa dla takich podmiotów świadczących usługi z zakresu cyberbezpieczeństwa.

Rozwiązanie to nie stoi w sprzeczności do RODO. W motywie 49 preambuły wskazano bowiem, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji należy do prawnie uzasadnionych interesów administratora, którego sprawa dotyczy.

Podmioty te powinny liczyć się z tym, że administratorzy danych osobowych, którzy korzystają z ich usług, a jednocześnie podlegają krajowemu systemowi cyberbezpieczeństwa, będą w swoisty sposób audytowani przez tych administratorów w kontekście spełniania tych wymogów.

Podobnie jak RODO, niestety nowa ustawa o krajowym systemie cyberbezpieczeństwa przewiduje wysokie kary finansowe za nieprzestrzeganie przewidzianych w niej obowiązków. Kary wynoszą:

• od 15.000,00 złotych do 200.000,00 złotych za m.in. nieprzeprowadzanie systematycznego szacowania ryzyka (do 150.000,00 złotych) czy nieprzeprowadzanie audytu (do 50.000,00 złotych);
• do 1.000.000,00 złotych w przypadku gdy w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi albo zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych.