Cyberbezpieczeństwo, ochrona danych osobowych, operacyjna odporność cyfrowa – od kilku lat hasła te dominują w przestrzeni publicznej. Dynamiczny rozwój technologii cyfrowych i rosnąca skala zagrożeń cybernetycznych sprawiają, że regulacje dotyczące bezpieczeństwa informacji stają się coraz bardziej rozbudowane i złożone. Instytucje finansowe, podmioty kluczowe lub ważne (dawniej operatorzy usług kluczowych), dostawcy usług ICT, a także szeroko pojęty sektor prywatny i publiczny muszą dziś mierzyć się z równoczesnym stosowaniem kilku istotnych aktów prawnych. W efekcie powstaje skomplikowany krajobraz regulacyjny, w którym łatwo się pogubić.
Regulacje w zakresie cyberbezpieczeństwa kładą nacisk na różne obszary związane z bezpieczeństwem:
- dyrektywa NIS2 koncentruje się na podniesieniu ogólnego poziomu cyberbezpieczeństwa w sektorach kluczowych i ważnych dla gospodarki UE – w uproszczeniu oznacza to, że obowiązuje takie podmioty, jak elektrownie, banki, producenci żywności, producenci wyrobów chemicznych itp., a także dostawców usług dla tego typu podmiotów;
- rozporządzenie DORA (Digital Operational Resilience Act) reguluje operacyjną odporność cyfrową rynku finansowego, wprowadzając m.in. jednolite zasady testowania, monitorowania i raportowania w obszarze ICT – obowiązuje podmioty regulowane działające na rynku finansowym oraz ich zewnętrznych dostawców usług ICT;
- rozporządzenie RODO (ang. GDPR) określa zasady przetwarzania danych osobowych, w tym kwestie związane z tym, kto odpowiada za przetwarzanie danych, a także nakłada szereg obowiązków związanych z zarządzaniem ryzykiem oraz obsługą naruszeń ochrony danych osobowych – dotyczy praktycznie wszystkich podmiotów, które w jakikolwiek sposób przetwarzają dane osobowe.
Szereg podmiotów podlega jednocześnie pod wszystkie trzy wskazane wyżej regulacje – w szczególności podmioty z sektora bankowego, a także niektórzy dostawcy usług ICT.
Zarządzanie cyberbezpieczeństwem
Ze względu na mnogość wymogów, wytycznych, aktów prawnych, a także standardów w zakresie zarządzania bezpieczeństwem informacji (w tym cyberbezpieczeństwem) niezbędne jest holistyczne podejście do zarządzania bezpieczeństwem. Każdy podmiot obowiązany do implementacji poszczególnych wymagań powinien w sposób odpowiedni podzielić i przypisać role wewnątrz organizacji. W praktyce oznacza to zwykle, że:
- służby prawne/oficer ds. compliance odpowiadają za przeniesienie wymogów prawnych na język procedur i polityk wewnętrznych;
- pełnomocnik ds. bezpieczeństwa informacji odpowiada za kwestie związane z nadzorem nad realizacją procesów związanych z bezpieczeństwem;
- IOD jest rolą uregulowaną w rozporządzeniu RODO i odpowiada za obszar ochrony danych osobowych w organizacji;
- dział IT (lub osobowo – kierownik ds. IT) jest rolą operacyjną, która zwykle odpowiada m.in. za dobór technologii, konfigurację systemów, wdrażanie rozwiązań technologicznych i ich monitorowanie.
Kluczem do sukcesu jest zawsze interdyscyplinarna współpraca, oparta na regularnej i odpowiedniej komunikacji, wspólnych ćwiczeniach, szkoleniach i treningach oraz na wzajemnym zrozumieniu ról i procesów w organizacji. Odpowiednia dokumentacja w postaci prawidłowo przygotowanych wewnętrznych polityk i procedur jest również niezbędnym elementem prawidłowo i zdrowo funkcjonującego systemu zarządzania bezpieczeństwem informacji wewnątrz organizacji.
Obszary regulacyjne
Chociaż każda regulacja posiada własną specyfikę, istnieją obszary, w których obowiązki wynikające z dyrektywy NIS2, rozporządzeń DORA oraz RODO przenikają się i powinny być realizowane w sposób spójny.
- Zarządzanie ryzykiem
Wszystkie przywołane wyżej akty prawne wymagają od organizacji wdrożenia systematycznego podejścia do analizy ryzyka. Praktycznym rozwiązaniem jest przyjęcie uniwersalnej metody oceny ryzyka, pokrywającej wszystkie obszary, które powinny być poddane ocenie przez dany podmiot, lub co najmniej opracowanie procesów związanych z wewnętrzną wymianą informacji tak, aby wyniki analizy ryzyka jednego obszaru mogły zasilić analizę ryzyka dla obszaru.
- Ciągłość działania i BIA
DORA wprost wskazuje na obowiązek przeprowadzania Business Impact Analysis (BIA). NIS2 wymaga planów ciągłości działania i odtwarzania po awarii. RODO nie zawiera takiego obowiązku wprost, ale wymaga wdrożenia środków zapewniających dostępność i odporność systemów przetwarzających dane osobowe. W praktyce oznacza to konieczność stworzenia wspólnej matrycy krytyczności procesów i usług.
- Klasyfikacja informacji
Klasyfikacja informacji stanowi podstawę do dalszych działań, związanych z analizą ryzyka, BIA, odpowiednią oceną skutków incydentów, naruszeń, wdrożeniem odpowiednich procedur postępowania z zasobami i danymi etc. W ramach holistycznego podejścia do bezpieczeństwa organizacji warto jest przyjąć jeden spójny system klasyfikacji oraz etykietowania informacji wewnątrz organizacji.
- Zarządzanie procesami i zasobami
Każda z omawianych regulacji wymaga prowadzenia dokumentacji oraz rejestrów. Zamiast tworzyć oddzielne repozytoria zawierające dokumentację dotyczącą tylko jednego obszaru regulacyjnego, warto wdrożyć centralny system zarządzania dokumentacją regulacyjną, który pozwoli uniknąć duplikacji regulacji i ułatwi audyty.
- Dobór odpowiednich środków technicznych i organizacyjnych
Wszystkie omawiane regulacje odnoszą się do obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa informacji w organizacji. Oznacza to, że organizacja podlegająca pod omawiane wymagania powinna stale aktualizować swój katalog zabezpieczeń, w zależności od zmieniającego się krajobrazu cyberzagrożeń. Wymogiem regulacyjnym staje się również wdrażanie zasad postępowania bazujących na uznanych europejskich lub międzynarodowych normach i standardach bezpieczeństwa, takich jak ISO/IEC 27001.
- Zarządzanie incydentami
Omawiane regulacje w sposób szczegółowy określają obowiązki związane z raportowaniem incydentów związanych z ICT oraz naruszeń do właściwych organów.
Ważne jest, aby obsługa incydentów była odpowiednio skoordynowana wewnątrz organizacji i aby wszystkie osoby odpowiedzialne za poszczególne obszary bezpieczeństwa wewnątrz organizacji otrzymały informację o wystąpieniu incydentu w jak najkrótszym czasie.
Doświadczenia i wyzwania
Doświadczenia wielu instytucji pokazują, że największym wyzwaniem niekoniecznie jest sama treść regulacji, lecz koordynacja działań pomiędzy działami compliance, IOD i IT. Wdrożenie RODO nauczyło organizacje, że skupienie się wyłącznie na przepisach prawnych bez wsparcia technicznego jest niewystarczające. Implementacja DORA pokazuje z kolei, że procedury bez zaangażowania operacyjnego IT pozostają martwe.
Dobre praktyki w tym zakresie to m.in.:
- ustanowienie komitetu ds. cyberbezpieczeństwa i ochrony danych, w skład którego wchodzą przedstawiciele wszystkich kluczowych działów;
- wprowadzenie ćwiczeń symulacyjnych obejmujących scenariusze zarówno naruszeń ochrony danych osobowych, jak i poważnych incydentów związanych z ICT;
- korzystanie z jednolitych narzędzi monitoringu i raportowania, które minimalizują ryzyko błędów;
- prowadzenie regularnych szkoleń interdyscyplinarnych, dzięki którym każdy pracownik rozumie konsekwencje regulacyjne swoich działań.
Podsumowując, regulacyjny labirynt wcale nie musi prowadzić do zagubienia. Spójne podejście do zarządzania ryzykiem, incydentami i komunikacją, a także wzajemne zrozumienie pomiędzy compliance, IOD i IT pozwala przekształcić gąszcz wymogów w system wspierający bezpieczeństwo i operacyjną odporność cyfrową organizacji.
Adw. Tomasz Kamiński, wspólnik w Kancelarii Krzysztof Rożko i Wspólnicy
Daniel Niwiński, prawnik, ekspert ds. cyberbezpieczeństwa w Kancelarii Krzysztof Rożko i Wspólnicy
