O autorze
dr Marek Porzeżyński - doktor nauk prawnych, prawnik w kancelarii WKB Wierciński, Kwieciński, Baehr specjalizujący się w prawie nowych technologii, w tym ochronie danych osobowych i cyberbezpieczeństwie jak również w zagadnieniach szeroko pojętego prawa własności intelektualnej, mediów i reklamy.

Jeden z pierwszych w Polsce badaczy zajmujący się prawnymi implikacjami wykorzystania technologii sztucznej inteligencji. Dyrektor Instytutu Badań nad Prawnymi Aspektami Nowych Technologii Future Institute, w ramach którego analizuje możliwości i implikacje prawne i społeczne wykorzystania najnowszych zdobyczy technologii, w szczególności związane z rozwojem sztucznej inteligencji i robotyki.

Wykładowca wielu uczelni publicznych, jak również prywatnych. W latach 2014-2017 pracownik naukowo-dydaktyczny w Katedrze Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego. Obecnie wykładowca na SWPS Uniwersytcie Humanistospołecznym .

W chwili obecnej nadal rozwija się naukowo w ramach studiów inżynierskich na kierunku Informatyka Stosowana na Politechnice Warszawskiej.



Wszelkie treści nie stanowią porady ani opinii prawnej. W szczególności nie mogą być one uznane za stanowisko jakiegokolwiek podmiotu, z którym współpracuje Autor. Opublikowane treści odzwierciedlają jedynie prywatne poglądy Autora.

Krajowy system cyberbezpieczeństwa. Pierwszy etap za nami - dostałem decyzję i co dalej?

W dniu dzisiejszym upływa termin, który odpowiednie organy miały na wydanie decyzji, która zobowiązuje kategorie podmiotów wymienione w ustawie o krajowym systemie cyberbezpieczeństwa. Co prawda jeszcze parę dni może potrwać doręczenie decyzji wydanych dzisiaj ale wiele podmiotów otrzymało już swoje listy. Co dalej, jakie wymagania spełnić i kiedy?

Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca. Ustawa ta stanowi implementację Dyrektywy NIS (2016/1148), której celem jest zagwarantowanie odpowiedniego poziomu bezpieczeństwa sieciowego. W ramach nowych przepisów nakłada się nowe obowiązki na różnego rodzaju podmioty, do których należą np. przedsiębiorstwa z sektorów energetyki, infrastruktury cyfrowej, zaopatrzenia w wodę pitną, bankowości, ochrony zdrowia i transportu, jak również dostawcy usług cyfrowych.

W dniu dzisiejszym kończy się czas na podjęcie decyzji odnośnie podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.


Najważniejsze obowiązki


Obowiązki wskazane dla operatorów usług kluczowych są podzielone na trzy kategorie, dla których ustanowiono odrębne terminy na dostosowanie się. Terminy te liczone są począwszy od daty doręczenia decyzji, o której mowa powyżej:

- W terminie 3 miesięcy operatorzy:
dokonują szacowania ryzyka dla usług kluczowych, przygotowują zarządzanie incydentami, wyznaczają osobę kontaktową z właściwym CSIRT, prowadzą działania edukacyjne wobec użytkowników, obsługują incydenty we własnych systemach (zgłaszają incydenty poważne, usuwają wskazywane podatności);


- W terminie 6 miesięcy operatorzy: wdrażają odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbierają informacje o zagrożeniach i podatnościach, stosują środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, przygotowują i stosują wymaganą dokumentację;

- W terminie 12 miesięcy operatorzy muszą przeprowadzić pierwszy audyt bezpieczeństwa systemu (potem przeprowadzać go co najmniej raz na 2 lata) i przekazać sprawozdanie z audytu, wskazanym w ustawie podmiotom.


Co zrobić w przypadku otrzymania decyzji?


Jeżeli jakikolwiek podmiot otrzymał decyzję o wpisie na listę operatorów usług kluczowych powinien niezwłocznie zacząć działać aby nie narazić się na kary. Poniższa lista powinna pomóc w przedsięwzięciu odpowiednich kroków:

1. Zwrócić się do profesjonalnego (wewnętrznego lub zewnętrznego) doradcy. W przypadku gdy uznanie za operatora usługi kluczowej nie było przewidywane można zweryfikować jego zasadność i spróbować ją wzruszyć w odpowiedniej procedurze. W pozostałych przypadkach taka osoba pomoże w zaplanowaniu i sprawnym wypełnieniu wszelkich wymagań formalnych.

2. Zweryfikować obowiązki, do których wypełnienia podmiot jest zobowiązany. W tym kroku chodzi o sytuację porównania obowiązków z aktualnymi procedurami/mechanizmami istniejącymi w danym przedsiębiorstwie w odniesieniu do cyberbezpieczeństwa.

3. Wyznaczenie osoby kontaktowej. Może to być również osoba odpowiedzialna za kwestie cyberbezpieczeństwa w tym podmiocie. Warto to zrobić na wczesnym etapie dostosowania aby osoba ta aktywnie uczestniczyła w całej procedurze.

4. Przygotowanie odpowiedniej dokumentacji, w tym wykonanie szacunku ryzyka.

5. Szkolenie pracowników z zakresu cyberbezpieczeństwa. Szkolenia są jednym z najważniejszych elementów tego systemu. To bowiem użytkownicy odpowiadają za znaczną część ryzyk, z którymi należy sobie poradzić.

6. Pierwszy audyt bezpieczeństwa.


Kary


Razem z nałożeniem dodatkowych obowiązków zazwyczaj podążają mechanizmy, które mają zapewnić ich wypełnienie. Najczęstszą metodą osiągnięcia tego celu jest wskazanie kar za niedostosowanie się do przepisów. W omawianym akcie prawnym znajduje się stosunkowo długa lista kar sięgających 1 000 000 zł.
Znajdź nas na Znajdź nas na instagramie
Trwa ładowanie komentarzy...