Nowy bat na przedsiębiorców – NIS – wdrożenie dyrektywy UE w sprawie cyberbezpieczeństwa

W dniu 9 maja 2018 r. minął termin, w którym Polska była zobowiązana do wdrożenia

Dyrektywy Parlamentu Europejskiego i Rady (UE) nr 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii,

która  została przyjęta 6 lipca 2016 r. (Dz.Urz. UE z 2016 r. L 194, s. 1) i powszechnie znana jest pod skrótem:

„Dyrektywa NIS”

(z angielskiego: „Network and Information Systems Directive”).

Dyrektywa ta zobowiązuje wszystkie państwa członkowskie UE do wprowadzenia do ustawodawstwa krajowego przepisów gwarantujących tzw. „minimalny poziom cyberbezpieczeństwa.”

Ze tego względu aktualnie w Sejmie będzie procedowany projekt ustawy o krajowym systemie cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji .

Jak wynika z tekstu projektu  ustawy o krajowym systemie cyberbezpieczeństwa – opublikowanego na stronach sejmowych – jej regulacją i przewidzianymi w niej obowiązkami objęte mają zostać np.:

  •  duże i średnie firmy realizujące tzw. „usługi kluczowe” z sektorów: energetycznego, transportowego, bankowości, ochrony zdrowia, zaopatrzenia w wodę pitną oraz dostawców usług cyfrowych ,
  • jednostki sektora finansów publicznych np. gminy,
  • instytuty badawcze,
  • Narodowy Bank Polski,
  • Bank Gospodarstwa Krajowego,
  • Urząd Dozoru Technicznego,
  • Polskie Centrum Akredytacji,
  • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
  • i inne podmioty – jeśli tak zadecyduje Minister Cyfryzacji w wydawanym przez siebie rozporządzeniu.

Czym jest usługa kluczowa ?

Jak wynika z art. 5 ust. 2 projektu ustawy o krajowym systemie cyberbezpieczeństwa, przez usługę kluczową należy rozumieć:

„usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych, który ma zostać opublikowany w formie Rozporządzenia przez Radę Ministrów”

Konkretni operatorzy tych tzw. usług kluczowych, którzy zobowiązani będą do stosowania ustawy zostaną wskazani w drodze decyzji indywidualnej przez Ministra Cyfryzacji spośród przedsiębiorców działających w kluczowych z punktu widzenia państwa sektorach gospodarki.

Obowiązki, które przewidziano w projekcie ustawy przypominają te, które w zakresie danych osobowych  przewiduje – słynne już – RODO.

Przykładowo:

na podmioty objęte ustawą nakłada się obowiązek wdrożenia efektywnego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej.

Systemu zarządzania bezpieczeństwem w systemie informacyjnym powinien zapewniać np.:

  • prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz
  • zarządzanie ryzykiem wystąpienia incydentu;
  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy,
  • zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  • zarządzanie incydentami w zakresie cyberbezpieczeństwa,
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

Innym istotnym (i kosztownym) obowiązkiem dla operatora usługi kluczowej jest zapewnienie przeprowadzenia – co najmniej raz na dwa lata – audytu bezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej.

Audyty takie będą mogły przeprowadzać wyłącznie jednostki i audytorzy spełniający szczegółowe warunki określone w ustawie.

Oczywiście na podmioty, które nie zastosują się do przepisów dotyczących cybebezpieczeństwa nakładane będą kary finansowe – jednak nie tak dotkliwe jak w przypadku RODO.


powrót na stronę główną foryś radcowie prawni

 

radca prawny Arkadiusz Foryś

radca prawny Arkadiusz Foryś, 18 lat praktyki w Krakowie,
Close Menu