Cyberbezpieczne przedsiębiorstwo
Żyjemy w czasach wypełnionych po brzegi nowymi technologiami. Wykorzystujemy je zarówno w życiu prywatnym jak i w życiu zawodowym. Przedsiębiorstwa coraz więcej inwestują w nowoczesne rozwiązania, wraz z którymi przychodzą zagrożenia cybernetyczne. Jak się przed nimi uchronić?
Odpowiedź na to pytanie nie jest łatwa. W gąszczu przepisów stosunkowo niewielka liczba dotyczy zagadnień związanych z cyberbezpieczeństwem a nawet jeśli istnieją to dotyczą tylko ściśle określonych podmiotów. Jak więc wyznaczyć ramy prawne tego zagadnienia? Odpowiedź na to pytanie padła podczas szkolenia Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia
Krajowy System Cyberbezpieczeństwa
W Polsce kwestie cyberbezpieczeństwa w pewnym zakresie reguluje ustawa o krajowym systemie cyberbezpieczeństwa. Określa obowiązki i zadania podmiotów wchodzących w skład systemu, które w ustawie zostały szczegółowo określone. Zgodnie z art. 4 tejże ustawy krajowym systemem cyberbezpieczeństwa są objęte takie podmioty jak np.:
- operatorzy usług kluczowych,
- dostawcy usług kluczowych,
- sektorowe zespoły cyberbezpieczeństwa,
- jednostki sektora finansów publicznych,
- instytuty badawcze,
- NBP
- czy BGK.
Dodatkowo w ustawie wskazano katalog organów właściwych do spraw cyberbezpieczeństwa. Zostały one przypisane do podmiotu w zależności od sektora prowadzonej działalności, np. dla sektora energii organem właściwym do spraw cyberbezpieczeństwa jest minister właściwy do spraw energii. Organy te zajmują się prowadzeniem bieżącej analizu podmiotów pod kątem uznania ich za operatora usługi kluczowej, wydają decyzje o uznaniu podmiotu za taki czy też przygotowaniem rekomendacji dotyczących działań wzmacniających cyberbezpieczeństwo. Co istotne, ustawa przewiduje sankcje w formie kar pieniężnych zaniechania wykonywania obowiązków czy zadań wskazanych w ustawie.
Operatorzy a dostawcy usług kluczowych
Za operatora usług kluczowych ustawa uznaje podmiot określony w załączniku do ustawy, który posiada jednostkę organizacyjną na terytorium RP i wobec którego organ właściwy wydał decyzję o uznaniu za takiego operatora. Dostawca usług kluczowych natomiast to osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd albo przedstawiciela mającego jednostkę organizacyjną na terenie RP, którzy świadczą usługę cyfrową z wyjątkiem mikro- i małych przedsiębiorców. W załączniku do ustawy ustawodawca w sposób wyraźny wskazał też listę podmiotów wchodzących w skład operatorów usług kluczowych. Są to m.in.:
- sektor energetyczny
- sektor transportowy
- sektor bankowy i infrastruktura rynków finansowych
- sektor ochrony zdrowia
- sektor zaopatrujący w wodę pitną i jej dystrybucję
- sektor infrastruktury cyfrowej
Cyberbezpieczeństwo w przedsiębiorstwie poza ustawą o KSC
W obecnym stanie prawnym brak jest jednego kompleksowego aktu regulującego cały zakres zagadnień z zakresu cyberbezpieczeństwa. Można wskazać jednak liczne regulacje o charakterze sektorowym np. Rekomendacje w zakresie cyberbezpieczeństwa dla polskiego sektora energii, Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej dla sektora medycznego czy też Rekomendacja D dla sektora finansowego. Dodatkowo cyberbezpieczeństwo regulowane jest przez dość liczne akty prawa unijnego jak choćby Dyrektywa NIS, akt o cyberbezpieczeństwie czy RODO. Nie da się jednak jednoznacznie stwierdzić, że cyberbezpieczeństwo w działalności gospodarczej polskich przedsiębiorców jest w pełni uregulowane. Wiele aspektów z tym związanych pozostaje poza regulacjami i przedsiębiorcy muszą sami zadbać o to, by zabezpieczyć się przed cyberatakami oraz prowadzić odpowiednią politykę z zakresu cyberbezpieczeństwa.
Temat cyberbezpieczeństwa z dnia na dzień nabiera na znaczeniu. W obliczu współczesnych wyzwań przedsiębiorstwa muszą kłaść ogromny nacisk na to, aby obok podstawowej działalności znaczącą rolę pełniły regulacje z zakresu cyberbezpieczeństwa oraz prawidłowe określanie ryzyk z nim związanych. Serdecznie zapraszamy do obejrzenia nagrania ze szkolenia Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia, podczas którego ekspert wskazuje, na co należy zwrócić szczególną uwagę.
Product Manager w Redakcji Biznes