W dniu 9 maja 2018 r. minął termin, w którym Polska była zobowiązana do wdrożenia
Dyrektywy Parlamentu Europejskiego i Rady (UE) nr 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii,
która została przyjęta 6 lipca 2016 r. (Dz.Urz. UE z 2016 r. L 194, s. 1) i powszechnie znana jest pod skrótem:
„Dyrektywa NIS”
(z angielskiego: „Network and Information Systems Directive”).
Dyrektywa ta zobowiązuje wszystkie państwa członkowskie UE do wprowadzenia do ustawodawstwa krajowego przepisów gwarantujących tzw. „minimalny poziom cyberbezpieczeństwa.”
Ze tego względu aktualnie w Sejmie będzie procedowany projekt ustawy o krajowym systemie cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji .
Jak wynika z tekstu projektu ustawy o krajowym systemie cyberbezpieczeństwa – opublikowanego na stronach sejmowych – jej regulacją i przewidzianymi w niej obowiązkami objęte mają zostać np.:
- duże i średnie firmy realizujące tzw. „usługi kluczowe” z sektorów: energetycznego, transportowego, bankowości, ochrony zdrowia, zaopatrzenia w wodę pitną oraz dostawców usług cyfrowych ,
- jednostki sektora finansów publicznych np. gminy,
- instytuty badawcze,
- Narodowy Bank Polski,
- Bank Gospodarstwa Krajowego,
- Urząd Dozoru Technicznego,
- Polskie Centrum Akredytacji,
- Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
- i inne podmioty – jeśli tak zadecyduje Minister Cyfryzacji w wydawanym przez siebie rozporządzeniu.
Czym jest usługa kluczowa ?
Jak wynika z art. 5 ust. 2 projektu ustawy o krajowym systemie cyberbezpieczeństwa, przez usługę kluczową należy rozumieć:
„usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych, który ma zostać opublikowany w formie Rozporządzenia przez Radę Ministrów”
Konkretni operatorzy tych tzw. usług kluczowych, którzy zobowiązani będą do stosowania ustawy zostaną wskazani w drodze decyzji indywidualnej przez Ministra Cyfryzacji spośród przedsiębiorców działających w kluczowych z punktu widzenia państwa sektorach gospodarki.
Obowiązki, które przewidziano w projekcie ustawy przypominają te, które w zakresie danych osobowych przewiduje – słynne już – RODO.
Przykładowo:
na podmioty objęte ustawą nakłada się obowiązek wdrożenia efektywnego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej.
Systemu zarządzania bezpieczeństwem w systemie informacyjnym powinien zapewniać np.:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz
- zarządzanie ryzykiem wystąpienia incydentu;
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy,
- zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
- zarządzanie incydentami w zakresie cyberbezpieczeństwa,
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
Innym istotnym (i kosztownym) obowiązkiem dla operatora usługi kluczowej jest zapewnienie przeprowadzenia – co najmniej raz na dwa lata – audytu bezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej.
Audyty takie będą mogły przeprowadzać wyłącznie jednostki i audytorzy spełniający szczegółowe warunki określone w ustawie.
Oczywiście na podmioty, które nie zastosują się do przepisów dotyczących cybebezpieczeństwa nakładane będą kary finansowe – jednak nie tak dotkliwe jak w przypadku RODO.
powrót na stronę główną foryś radcowie prawni
