Rozporządzenie o ochronie danych osobowych (RODO) weszło w życie 25 maja 2018 roku. Wprowadziło ono wiele nowych, bardzo ważnych obowiązków na wszystkie podmioty, które gromadzą i przetwarzają dan osobowe. Nowe obowiązki pojawiły się również w związku z tym, że pod koniec sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. RODO nałożyło na administratorów danych osobowych oraz na podmioty, które je przetwarzają szereg obowiązków. Wspomniana ustawa jeszcze te obowiązki rozszerza. Administratorzy danych osobowych oraz podmioty zajmujące się ich przetwarzaniem muszą stosować nie tylko przepisy RODO, ale również te o krajowym systemie cyberbezpieczństwa.
Kto został objęty przepisami ustawy o krajowym systemie bezpieczeństwa?
Przepisami ustawy zostali objęci dostawy usług cyfrowych oraz tak zwani operatorzy usług kluczowych. Do dostawców usług cyfrowych należą między innymi podmioty, które świadczą usługi dla platform handlowych i przeglądarek oraz dostawy usług cloud computing. Operatorzy usług kluczowych to między innymi podmioty z branży ciepłowniczej, energetycznej i górnictwa. Przepisy ustawy o krajowym systemie cyberbezpieczństwa muszą być stosowane również przez:
podmioty, które świadczą usługi z zakresu cyberbezpieczństwa;
instytuty;
urzędy;
spółki, które wykonują zadania mające charakter użyteczności publicznej.
Warto wiedzieć, że wszystkie podmioty, które objęte są przepisami ustawy o krajowym systemie cyberbezpieczeństwa, muszą wypełniać obowiązki, które nakłada ustawa nawet w sytuacji, gdy nie przetwarzają danych osobowych.
Katalog obowiązków, które wynikają z ustawy o krajowym systemie bezpieczeństwa i RODO
Zarówno przepisy RODO jak i wynikające z ustawy o krajowym systemie bezpieczeństwa nakładają obowiązek szacowania ryzyka. Operatorzy usług kluczowych mają obowiązek wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, który jest przez nie wykorzystywany do świadczenia tejże usługi. Operatorzy usług kluczowych muszą więc:
wskazać osobę, która będzie odpowiedzialna za kontakty z podmiotami wchodzącymi w system cyberbezpieczeństwa;
wdrożyć odpowiednie do oszacowanego ryzyka środki organizacyjne i techniczne, dzięki którym możliwe będzie zarządzanie bezpieczeństwem w wykorzystywanym do świadczenia usług systemie informacyjnym;
systematycznie przeprowadzać szacowanie ryzyka wystąpienia incydentu oraz dokonywać ich zgłoszenia i obsługi. Pod pojęciem „incydent” należy rozumieć wszystkie zdarzenia, które mogły w sposób negatywny wpłynąć na cyberbezpieczeństwo;
przeprowadzać systematycznie audyt bezpieczeństwa w stosowanych systemach informacyjnych.
Operatorzy usług kluczowych, którzy podlegają przepisom ustawy o krajowym systemie cyberbezpieczeństwa zobowiązani są do zgłaszania każdego incydentu, który wpłynął lub może wpłynąć niekorzystnie na cyberbezpieczeństwo najpóźniej w ciągu 24 godzin od chwili, gdy wykryli incydent. W przypadku dostawców usług cyfrowych incydent powinien zostać zgłoszony niezwłocznie, ale nie później niż po 24 godzinach od jego wykrycia. Tyle samo czasu na zgłoszenie wykrytego incydentu mają podmioty publiczne. Wszyscy dokonują zgłoszenia incydentu w formie elektronicznej do właściwego CSIRT GOV, CSIRT MON lub CSIRT NASK. Warto pamiętać o tym, że nie każdy incydent musi zostać zgłoszony. Zgłoszeniu podlegają wyłącznie incydenty istotne lub poważne. Warto też wiedzieć o tym, że przepisy ustawy o krajowym systemie cyberbezpieczeństwa obowiązują również podmioty, które świadczą usługi dla dostawców usług cyfrowych lub operatorów kluczowych.
Rozwiązania, które zostały wprowadzone przepisami ustawy o krajowym systemie cyberbezpieczeństwa są zgodne z przepisami, które zostały wprowadzone na mocy Rozporządzenia o ochronie danych osobowych. Ustawa o krajowym systemie cyberbezpieczeństwa stanowi bowiem uzupełnienie tych przepisów, które wprowadziło RODO. Podmiotom, które naruszają przepisy RODO lub ustawy o krajowym systemie cyberbezpieczeństwa grożą wysokie kary finansowe.
Artur Świś - Informatyk