• Polski
  • English
  • Deutsch
  • Ustawa o krajowym systemie cyberbezpieczeństwa – nowe obowiązki i surowe sankcje, ale tylko dla nielicznych

    Stworzenie sprawnego i skutecznego systemu ochrony przed naruszeniami bezpieczeństwa cybernetycznego w skali kraju - to cel ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej: ustawa), która weszła w życie 28 sierpnia 2018 r.

    Ustawa w założeniu ma zapewnić możliwość niezakłóconego świadczenia usług cyfrowych oraz innych usług kluczowych dla gospodarki. Zdaniem ustawodawcy, będzie to możliwe dzięki osiągnięciu wysokiego poziomu bezpieczeństwa w systemach informacyjnych, służących do świadczenia tych usług. Wdrażany model przewiduje również mechanizm zgłaszania i reagowania na tzw. incydenty, rozumiane jako każde zdarzenie, które ma lub potencjalnie może mieć niekorzystny wpływ na cyberbezpieczeństwo.

    Obowiązki nałożone ustawą nie mają zasięgu powszechnego, ciążąc m.in. na:

    1. dostawcach usług cyfrowych (za wyjątkiem mikro- i małych przedsiębiorców), czyli podmiotach świadczących usługi internetowej platformy handlowej, przetwarzania w chmurze lub wyszukiwarki internetowej;
    2. operatorach usług kluczowych, świadczących usługi z sektora: energetycznego, transportowego, bankowego i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną wraz z dystrybucją oraz infrastruktury cyfrowej.

    Pełna lista usług kluczowych została zawarta w rozporządzeniu Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych z dnia 11 września 2018 r. (Dz.U. z 2018 r. poz. 1806).

    Status operatora usług kluczowych przyznawany jest w drodze decyzji administracyjnej i przysługuje on od momentu otrzymania decyzji przez jej adresata. Do momentu otrzymania ww. decyzji nie ma obowiązku stosowania się do wymogów ustawy, a dla operatorów usług kluczowych są nimi:

    • szacowanie ryzyka dla swoich usług kluczowych, zarządzanie incydentami, wyznaczenie osoby kontaktowej z właściwym CSIRT i PPK przy Ministerstwie Cyfryzacji, obsługa incydentów we własnych systemach, zgłaszanie incydentów poważnych, usuwanie wskazywanych podatności – już po upływie 3 miesięcy od daty otrzymania decyzji o uznaniu za operatora usług kluczowych;
    • wdrożenie odpowiednich i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych, zapewnienie wymaganej dokumentacji, gromadzenie informacji o zagrożeniach i podatnościach, stosowanie środków zapobiegawczych ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego – po upływie 6 miesięcy od dnia otrzymania decyzji
    • przeprowadzenie pierwszego audytu, przekazanie sprawozdania z audytu podmiotom wskazanym w ustawie – po upływie 12 miesięcy od dnia otrzymania decyzji.

    Zbliżone obowiązki ciążyć będą na dostawcach usług cyfrowych, tyle, że ich status nie jest determinowany decyzją, a skalą działalności i rodzajem świadczonych usług.

    Niewykonanie obowiązków wynikających z ustawy obwarowane jest przy tym surowymi sankcjami pieniężnymi, sięgającymi kwoty 200 000,00 zł, a w wyjątkowych przypadkach, nawet 1 miliona zł.

     

    Wróć do listy
    dr Dominik Lubasz

    dr Dominik Lubasz

    • Wspólnik
    • Radca prawny
    Skontaktuj się z autorem

    Artykuły powiązane

    LinkedIn zaleca zmianę haseł w związku z wyciekiem danych osobowych

    Według informacji podanych wczoraj przez LinkedIn, serwis społecznościowy specjalizujący się w kontaktach zawodowo-biznesowych, cyberprzestępcy uzyskali pełny dostęp do danych osobowych 117 milionów użytkowników tego serwisu, w szczególności adresów mailowych i …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl