2018-07-12
Cyberbezpieczeństwo – wspólnym wysiłkiem do wspólnego celu

Usługi cyfrowe stają się istotną częścią gospodarki światowej. Społeczeństwa coraz częściej polegają na ich dostępności także w celu zaspokajania najbardziej podstawowych potrzeb, takich jak dostawa wody, prądu czy żywności. Z uwagi na rosnącą rolę tych usług nierzadko stają się one celem cyberataków. Przykładowo, w 2017 r. liczba cyberataków polegających na nieuzasadnionej odmowie dostępu do usługi (z ang. DDoS - disturbed denial of service) uległa podwojeniu w porównaniu z rokiem 2016. W związku z rosnącą liczbą cyberataków oraz ich rozmiarami, zapewnienie odpowiedniego poziomu bezpieczeństwa stało się jednym z najważniejszych wyzwań dla współczesnych rządów. Państwo jednak nie jest w stanie samodzielnie zapewnić swoim obywatelom ochrony przed cyberatakami. Część obowiązków związanych z taką ochroną ma obciążać przedsiębiorców – przede wszystkim tych, którzy świadczą tzw. usługi kluczowe oraz większych dostawców usług cyfrowych.

Współpraca kluczem do sukcesu

Odpowiedzią na zagrożenia związane z cyberprzestępczością jest projekt ustawy o krajowym systemie cyberbezpieczeństwa (po II czytaniu w Sejmie, które odbyło się 3 lipca 2018 r., projekt skierowany został do komisji w celu przygotowania dodatkowego sprawozdania). Stanowić on ma implementację postanowień tzw. dyrektywy NIS (Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Rozwiązania w nim przewidziane opierają się na założeniu, że kwestia cyberbezpieczeństwa jest ważna nie tylko dla sektora publicznego, ale także sektora prywatnego. Środkiem do osiągnięcia tego wspólnego celu ma być stworzenie ram ich (obligatoryjnej!) współpracy. W konsekwencji projekt nakłada określone obowiązki nie tylko na podmioty publiczne, ale także na podmioty prywatne będące operatorami usług kluczowych lub dostawcami usług cyfrowych. Niewykonanie tych obowiązków może wiązać się z nałożeniem kary pieniężnej – w przypadku uporczywego niewykonywania obowiązków i postania określonych zagrożeń może ona wynosić nawet 1 000 000 zł.

Dalsza perspektywa – zapewnienie eurobezpieczeństwa

Obecnie zasadniczo trudno mówić o istnieniu jakiegokolwiek krajowego systemu cyberbezpieczeństwa. Brak bowiem ogólnych ponadsektorowych ram dla funkcjonowania takiego systemu, choć istnieją w tym zakresie liczne rozwiązania sektorowe np. w ustawie o świadczeniu usług drogą elektroniczną, ustawie o ochronie danych osobowych czy ustawie o systemie informacji i ochronie zdrowia.

W projekcie ustawy zaś po raz pierwszy zaproponowano rozwiązania uniwersalne (ponadsektorowe). Warto jednak podkreślić, że walka z cyberprzestępczością nie kończy się na rozwiązaniach krajowych. Projekt ten wpisuje się w proces tworzenia unijnego systemu cyberbezpieczeństwa (którego ramy wyznacza dyrektywa NIS).

Nowe obowiązki dla operatorów usług kluczowych

Projekt nakłada szereg nowych obowiązków na podmioty, które można określić jako „operatorów usług kluczowych” lub „dostawców usług cyfrowych”. Należą do nich przede wszystkim: systematyczne monitorowanie zagrożeń i dokonywanie oceny ryzyka, stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka oraz zgłaszanie incydentów. Trudno oprzeć się wrażeniu, że obowiązki te są analogiczne do obowiązków administratorów danych osobowych uregulowanych w RODO. Nie jest to przypadkowe – zarówno RODO, jak i dyrektywa NIS są częścią wspólnych ram mających umożliwić rozwój jednolitego rynku cyfrowego przy jednoczesnym zagwarantowaniu właściwego poziomu bezpieczeństwa obywateli UE. W konsekwencji, przy wykonywaniu obowiązków wynikających z projektu przedsiębiorcy a także podmioty publiczne będą mogli posiłkować się rozwiązaniami przyjętymi w ramach wdrażania RODO.

Operatorami usług kluczowych mogą być zarówno podmioty publiczne, jak i prywatne, co do których zostanie wydana decyzja o uznaniu ich za operatorów usług kluczowych. Podmioty te zostaną wskazane w niejawnym (dostępnym dla ograniczonego grona podmiotów takich jak Policja, Żandarmeria Wojskowa czy CBA) wykazie prowadzonym przez ministra właściwego ds. informatyzacji. Podobne wykazy będą równolegle tworzone w innych państwach członkowskich UE a operator, który został już wpisany na listę w jednym z państw, ma obowiązek poinformować o tym właściwy organ.

Kto jest operatorem usług kluczowych?

Operatorami usług kluczowych wpisanymi do polskiego wykazu mogą być wyłącznie podmioty spełniające łącznie poniższe warunki:

  1. posiadające jednostkę organizacyjną (rozumianą szeroko, jak na gruncie RODO) w Polsce;
  2. świadczące usługi wskazane w załączniku nr 1 do projektu, tj. usługi w zakresie energetyki, wydobywania kopalin, ciepłownictwa, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej (DNS, IXP oraz zarządzanie TLD),
  3. jeżeli ich świadczenie zależy od systemów informacyjnych, a
  4. incydent miałby istotny skutek zakłócający ich świadczenie.

Kluczowe jest zatem nie tylko to, jaką usługę świadczy dany operator, ale także jej architektura (uzależnienie od systemu informacyjnego) oraz odporność na incydenty. Biorąc jednak pod uwagę coraz większą digitalizację wskazanych sektorów, wydaje się, że warunek ten będzie spełniony w większości przypadków – przykładowo trudno obecnie sobie wyobrazić świadczenie usług z dziedziny bankowości bez sprawnie działających systemów informatycznych. 

Jakie obowiązki?

Do najważniejszych obowiązków operatorów usług kluczowych należało będzie w szczególności (pełny wykaz obowiązków zawiera rozdział 3 projektu):

  • podejmowanie odpowiednich (opartych na ocenie ryzyka – w tej kwestii będzie można wykorzystać doświadczenia związane z wdrożeniem RODO) środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy (pomocne w tym zakresie mogą być m.in. standardy ISO/IEC 27001),
  • gromadzenie informacji o zagrożeniach i podatności na incydenty,
  • zarządzanie i obsługa incydentów,
  • zgłaszanie incydentów mających istotny wpływ na ciągłość usług (zatem nie każdy incydent będzie podlegał zgłoszeniu),
  • podejmowanie odpowiednich działań prewencyjnych lub naprawczych.

Przyjęcie projektu może wiązać się ze zmianami w strukturze organizacyjnej operatorów. Będą oni zobowiązani do wyznaczenia przedstawiciela do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz utworzyć odpowiednią jednostkę wewnętrzną ds. cyberbezpieczeństwa albo skorzystać z outsourcingu, tj. powierzyć wykonywanie zadań takiej jednostki profesjonalnemu (odpowiadającego wzorcowi „rzeczywistego profesjonalisty”) podmiotowi zewnętrznemu, który świadczy usługi w zakresie cyberbezpieczeństwa.

Podobnie jak w przypadku RODO ważnym elementem projektu są obowiązki informacyjne wobec usługobiorców. Zgodnie z projektem operatorzy usług kluczowych powinni zapewnić usługobiorcom dostęp do wiedzy o zagrożeniach i skutecznych sposobach dbania o bezpieczeństwo. Aby sprostać temu wymaganiu, mogą oni przykładowo zamieścić odpowiednie komunikaty na stronie www lub przesłać je w wiadomości email.

Zgodnie z zasadą rozliczalności operatorzy usług kluczowych powinni prowadzić dokumentację dotyczącą cyberbezpieczeństwa, zapewnić jej bezpieczeństwo (udostępniać ją wyłącznie osobom upoważnionym, chronić przed użyciem lub utratą integralności, odpowiednio oznaczać kolejne wersje np. za pomocą elektronicznego znacznika czasu) i przynajmniej raz na dwa lata przeprowadzić obligatoryjny (!) audyt bezpieczeństwa systemów informacyjnych.

Dostawcy usług cyfrowych – obowiązki dla dużych i średnich

Druga kategoria podmiotów, która musi liczyć się z nowymi obowiązkami, to dostawcy usług cyfrowych. Odkodowanie tego pojęcia może napotkać pewne przeszkody. Projekt (art. 2 pkt 15 projektu) odsyła do pojęcia „usługi cyfrowej” w rozumieniu ustawy o świadczeniu usług drogą elektroniczną (Dz. U. 2017 poz. 1219) a w ustawie tej brak definicji wspomnianego pojęcia. Jednocześnie w projekcie przyjęto, że usługami cyfrowymi są tylko te, które zostały wymienione w załączniku nr 2 do projektu. Wobec tego tam szukać należy wskazówki. Na liście w załączniku nr 2 znalazły się internetowe platformy handlowe (tj. platformy umożliwiające zawieranie online umów sprzedaży lub o świadczenie usług w relacjach B2B lub B2C, np. e-sklepy, platformy służące do rezerwacji noclegów, platformy streamingowe), usługi przetwarzania w chmurze i wyszukiwarki internetowe. Mikro- i mali przedsiębiorcy prowadzący wskazaną wyżej działalność mogą jednak odetchnąć z ulgą. Do tych kategorii przedsiębiorców (w rozumieniu ustawy z 6 marca 2018 r. – Prawo przedsiębiorców) projekt nie będzie miał zastosowania.

Do obowiązków dostawców usług cyfrowych należą m.in.

  • podejmowanie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem (pomocne mogą być wytyczne ENISA - Technical Guidelines for the implementation of minimum security measures for Digital Service Providers a także normy ISO/IEC 27001, CCS, OCF, BSI C5 lub NIST),
  • podejmowanie działań prewencyjnych i naprawczych (ograniczenie wpływu incydentu na usługę i ciągłość jej świadczenia np. procedury fall-back, disaster recovery lub business continuity),
  • wyznaczenie przedstawiciela w Polsce,
  • monitorowanie, klasyfikowanie i niezwłoczne (24h od wykrycia) zgłaszanie wszelkich incydentów, co jest rozwiązaniem bardzo rygorystycznym. Łagodzi je jednak zastrzeżenie, że obowiązek zgłoszenia aktualizować się będzie jedynie wtedy, gdy będą oni mieli dostęp do informacji niezbędnych do oceny wpływu incydentu, takich jak: liczba użytkowników, których dotyczy incydent, czas jego trwania, zasięg terytorialny, zasięg zakłócenia funkcjonowania usługi i wpływ na działalność gospodarczą lub społeczną

Istotną kwestią, na którą trzeba zwrócić uwagę, jest możliwość ograniczenia ochrony tajemnicy przedsiębiorstwa. Organy wchodzące w skład krajowego systemu cyberbezpieczeństwa (CSIRT GOV, CSIRT NASK czy CSIRT MON), będą mogły zwrócić się do dostawcy usług cyfrowych o uzupełnienie zgłoszenia o informacje, które stanowią tajemnice prawnie chronione, w tym tajemnicę przedsiębiorstwa, w niezbędnym zakresie. W takiej sytuacji trzeba będzie pamiętać o właściwym oznaczeniu poufnego charakteru informacji.

Cyberbezpieczeństwo a ochrona danych osobowych – kompromis?

Obsługa incydentu będzie wiązała się z koniecznością krótkotrwałego przetwarzania danych. Choć w większości informacje potrzebne do tej czynności nie będą danymi osobowymi, to w przypadku danych, które będą miały taki status, nie można zapominać o ich ochronie i o RODO. Pojawić się może wątpliwość, czy operator usług kluczowych lub dostawca usług cyfrowych mogą przetwarzać dane w celu obsługi incydentu, a jeżeli tak, jaką podstawę przetwarzania powinni wskazać podmiotom danych? W ich przypadku podstawą prawną przetwarzania danych osobowych dla podmiotów z sektora prywatnego będzie prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Co się zaś tyczy podmiotów z sektora publicznego, zgodnie z motywem 47 RODO podmioty te nie mogą powoływać się na uzasadniony interes administratora jako podstawę przetwarzania. Potrzebują do tego szczególnej podstawy prawnej a podstawę taką zawiera projekt. W myśl art. 39 CSIRT MON, CSIRT NASK, CSIRT GOV oraz sektorowe zespoły ds. cyberbezpieczeństwa będą mogły przetwarzać dane w zakresie i celu niezbędnym do realizacji ich zadań. Dodatkowo, podmioty te nie będą musiały realizować wszystkich obowiązków wynikających z RODO, w sytuacji, gdy uniemożliwiałoby to wykonywania zadań w zakresie cyberbezpieczeństwa. Dotyczy to m.in. zapewnienia dostępu do danych, sprostowania danych czy spełnienia żądania podmiotu ograniczenia przetwarzania danych. W tym zakresie zapewnienie cyberbezpieczeństwa wymusiło kompromis polegający na ograniczeniu praw podmiotów danych.

Podsumowanie

Od cyfryzacji kolejnych sfer naszego życia nie ma odwrotu. Okazuje się jednak, że cyfryzacja nie oznacza koniecznie „szybciej i taniej”. Cyfryzacja to także konieczność poniesienia kosztów nie tylko na samą informatyzację procesów biznesowych, ale i na ochronę przed nowymi zagrożeniami, które wcześniej nie istniały. Omawiany projekt ustawy pokazuje, że koszty te ponoszą w dużej mierze przedsiębiorcy, przy czym część z nich ponoszą autonomicznie, a część będzie musiała być poniesiona w ramach realizacji obowiązków ustawowych.




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Parts Store komentuje Strategia i jeszcze raz strategia
Archiwum
2018
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)dane osobowe (12)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)utwory (6)licencja (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)Znalezione Polubione (6)identyfikacja sprawcy w internecie (6)platforma ODR (5)kopia (5)embeding (5)prawo konsumenckie (5)prawnicy (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)embedding (5)dozwolony użytek (5)retencja danych (4)wyszukiwarka (4)użytek prywatny (4)prawa pokrewne (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)chmura (4)reklama (4)dane (4)copyrights (4)telekomunikacja (4)program komputerowy (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)treści (3)RODO (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)baza danych (3)monitorowanie użytkowników (3)ryzyka cloud computing (3)inwigilacja w sieci (3)Usedsoft (3)sprzedaż programu (3)link (3)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Uber (2)Chambers & Partners (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)prawa autorskie do strony (2)Google (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)metawyszukiwarki (2)prawa producentów fonogramów (2)licencja pudełkowa (2)varia (2)GIODO (2)ankiety online (2)SaaS (2)UOKiK (2)internet rzeczy (2)Platformy internetowe (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)cookies (2)FinTech (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)sztuczna inteligencja (2)prawo angielskie (2)dystrybucja (2)audyt oprogramowania (2)administrator forum internetowego (2)cloud computing dla prawników (2)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)e-discovery (1)partnerstwo innowacyjne (1)korzystanie z dzieła w domenie publicznej (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)QC Leisure (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)Google Reader (1)konkurs w internecie (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)public viewing (1)dyrektywa 2009/24 (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)odpowiedzialność pośredników (1)rejestracja domen (1)prawo do nadań (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)aplikacja mobilna (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)gry hazardowe (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)adaptacje filmowe utworów (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)BYOD (1)patenty (1)dostawcy usług cyfrowych (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)pobranie (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)dyrektywa 2011/77/UE (1)jurysdykcja (1)baza EBD (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)non disclosure agreement (1)startup (1)Royal Wedding (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)Coty Germany C-360/12 (1)EUIPO (1)Murphy (1)Creative Commons (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)transmisja (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)ochrona opisów produktów (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)podatki (1)certyfikat (1)social media (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)loterie (1)sieci peer-to-peer (1)atak hakerski (1)UKE (1)egzemplarz (1)Procurement Explorer (1)prawo odstąpienia (1)Dostawcy treści online (1)fan page (1)bring your own device (1)ACTA (1)artystyczne wykonanie (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)MS Word (1)tłumaczenie (1)Proseed (1)usługi cyfrowe (1)prawa artystów wykonawców (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)Deutsche Grammophon (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję