Nowa regulacja – Krajowy System Cyberbezpieczeństwa

Pobierz alert w wersji PDF

W dniu 28 sierpnia 2018 r. weszła w życie Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. („Ustawa o KSC”). Stanowi ona efekt prac nad wdrożeniem do polskiego porządku prawnego Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Główny cel ustawy

Zapewnienie optymalnego poziomu cyberbezpieczeństwa, poprzez ustalenie podmiotów odpowiedzialnych za reagowanie na incydenty, tj. zdarzenia mające negatywny wpływ na poufność, integralność, dostępność i autentyczność danych cyfrowych (w tym wyróżnia się incydenty krytyczneincydenty poważne).

Podmioty objęte krajowym systemem cyberbezpieczeństwa

Ustawa wprowadza dwie kategorie podmiotów objętych systemem (art. 4 Ustawy o KSC), tj. operatorów usług kluczowych („OUK”)
i dostawców usług cyfrowych („DUC”), na których nałożono szereg obowiązków.

Operator Usługi Kluczowej – warunki uznania podmiotu za OUK:

  • podmiot należący do jednej z kategorii wskazanej w załączniku nr 1 do Ustawy o KSC, aktualnie katalog obejmuje następujące sektory:
    • ENERGIA (wydobywanie kopalin, wytwarzanie, przesyłanie, dystrybucja, obrót lub magazynowanie energii elektrycznej i ciepła, ropy naftowej i gazu, dostawy i usługi dla sektora energii oraz jednostki nadzorowane i podległe właściwym ministrom)
    • BANKOWOŚĆ I INFRASTRUKTURA RYNKÓW FINANSOWYCH
    • ZAOPATRZENIE W WODĘ PITNĄ I JEJ DYSTRYBUCJA
    • TRANSPORT (transport lotniczy, kolejowy, wodny, drogowy)
    • OCHRONA ZDROWIA
    • INFRASTRUKTURA CYFROWA
  • podmiot posiadający jednostkę organizacyjną na terytorium RP;
  • wobec podmiotu została wydana decyzja o uznaniu podmiotu za operatora usługi kluczowej przez organ właściwy ds. cyberbezpieczeństwa ((i) podmiot świadczy usługę kluczową, (ii) świadczenie tej usługi zależne jest od systemów informacyjnych, (iii) incydent skutkowałby istotnym zakłóceniem świadczenia usług przez ten podmiot).

Obowiązki Operatora Usługi Kluczowej

Dostawca Usługi Cyfrowej

  • osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd na terytorium RP albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej;
  • podmiot świadczący usługę cyfrową wskazaną w załączniku nr 2 do Ustawy o KSC:
    • internetowa platforma handlowa
    • usługa przetwarzania w chmurze
    • wyszukiwarka internetowa
  • za DUC nie zostali uznani mikroprzedsiębiorcy i mali przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców.

Obowiązki Dostawcy Usługi Cyfrowej

Sankcje za niewypełnienie obowiązków:

  • kary pieniężne nakładane na OUK w sytuacji niewykonania poszczególnych obowiązków – w zależności od rodzaju stwierdzonego naruszenia może to być od 1.000 zł (zaniechanie wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów) do nawet 200.000 zł (nieprzeprowadzenie audytu bezpieczeństwa);
  • gdy naruszenia dopuszcza się DUC, kary pieniężne to 20.000 zł w przypadku zaniechań związanych ze obsługą incydentów i usuwaniem podatności, do 20.000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;
  • karą w wysokości do 1.000.000 zł zagrożone jest uporczywe naruszanie zarówno przez OUK jak i DUC przepisów Ustawy o KSC, skutkujące bezpośrednim i poważnym zagrożeniem cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, bądź też zagrożeniem wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych.