Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje swym zasięgiem dość precyzyjnie określony krąg podmiotów.

1. KSCu nie jest nowym RODO

Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje swym zasięgiem dość precyzyjnie określony krąg podmiotów. Są to przede wszystkim tzw. operatorzy usług kluczowych, wyznaczonych na podstawie decyzji właściwego ministra oraz dostawcy usług cyfrowych, świadczący m.in. usługi chmurowe, usługi dla przeglądarek internetowych czy internetowych platform handlowych. Jest to znacząca różnica w stosunku do RODO, które wprowadziło jednolity standard dla wszystkich podmiotów, przetwarzających dane osobowe w związku z działalnością w UE. Wykonywanie obowiązków określonych w KSCu może więc, choć nie musi, wiązać się z przetwarzaniem danych osobowych. Jeśli tak się stanie, podmiot zobowiązany musi zapewnić zgodność swojego działania nie tylko z przepisami w zakresie cyberbezpieczeństwa, ale również z RODO i właściwymi przepisami krajowymi w obszarze danych osobowych. Będzie to miało szczególne znaczenie w przypadku nakładania się na siebie regulacji dotyczących naruszeń bezpieczeństwa, dotykających danych osobowych i mogących powodować wysokie ryzyka dla osób fizycznych, których te dane dotyczą.

2. Podejście oparte na ryzyku jest kluczem do KSCu

KSCu wprowadza konieczność prowadzenia analizy zagrożeń i podatności systemów informatycznych przez podmioty objęte działaniem ustawy. Muszą one również dostosować wdrażane przez siebie rozwiązania, zarówno techniczne, jak i organizacyjne, w sposób i w zakresie adekwatnym do zidentyfikowanych ryzyk (tzw. risk-based approach). W razie potrzeby na uczestniku Krajowego Systemu Bezpieczeństwa będzie ciążyć obowiązek wykazania, że przyjęte rozwiązania są odpowiednie i proporcjonalne dla stwierdzonych okoliczności. W praktyce oznacza to konieczność bardzo elastycznego podejścia do ustanowionych przepisów – podmioty objęte działaniem ustawy powinny posiadać zdolność sprawnego reagowania na zmieniające się uwarunkowania, a jednocześnie być w stanie uzasadnić i wykazać prawidłowość prowadzonych przez siebie działań. Część podmiotów, których dotyczy ustawa, może być już teraz dobrze przygotowana do wymagań KSCu, np. sektor finansowy lub energetyczny. Dla innych z kolei, np. niektórych dostawców usług cyfrowych, sprostanie wymogom KSCu może okazać się nie lada wyzwaniem i wymagać będzie częściowej zmiany kultury organizacyjnej.

Filozofia skoncentrowania działań organizacji na ocenie i analizie ryzyka stanowi także trzon RODO. Z tego względu doświadczenia nabyte w procesie wdrożenia rozporządzenia mogą być również przydatne w procesie implementacji wymogów KSCu w zobowiązanych do tego organizacjach.

3. Zgłaszanie incydentów w terminie 24 godzin

KSCu przewiduje obowiązek zgłaszania incydentów właściwym organom, jednak różnicuje te obowiązki w zależności od rodzaju podmiotu i typu stwierdzonego incydentu. Jest to kolejny wymóg , który – choć na pierwszy rzut oka, przywodzi na myśl RODO – w rzeczywistości może stanowić kolejne, nowe i niełatwe wyzwanie dla podmiotów zobowiązanych do stosowania ustawy.

Jako incydent, zgodnie z art. 2 pkt 5 ustawy, zostało zdefiniowane każde zdarzenie, które ma lub może wpływać niekorzystnie na cyberbezpieczeństwo. Pojemna definicja obarcza zasadniczą odpowiedzialnością podmiot zobowiązany do stosowania ustawy. Zgodnie z zasadą risk-based approach będzie on zobowiązany nie tylko samodzielnie stwierdzić, czy ma do czynienia z incydentem, ale także zakwalifikować go do jednego z czterech rodzajów i podjąć stosowne działania. Definicje poszczególnych typów incydentów są skonstruowane w sposób, który może okazać się stosunkowo mało czytelny, co może komplikować proces wdrażania KSCu w codziennym stosowaniu.

Małgorzata Kurowska ekspert w dziedzinie prawa ochrony danych osobowych oraz prawa nowych technologii/IT w kancelarii Maruta Wachta

4. Wymogi dla dostawców usług

KSCu wprowadza również wymogi względem dostawców usług w zakresie cyberbezpieczeństwa. Choć tego typu usługodawcy nie są w sposób bezpośredni i całkowity objęci działaniem ustawy, to w przypadku świadczenia usług na rzecz operatorów usług kluczowych lub dostawców usług cyfrowych, będą musieli spełnić szereg wymogów w obszarze bezpieczeństwa informatycznego. Szczegółowo określone zostaną one w rozporządzeniu wykonawczym ministra ds. informatyzacji, który będzie również sprawować nadzór i kontrolę nad przedsiębiorcami.

Usługi w zakresie cyberbezpieczeństwa podlegają z reguły jednocześnie wymogom RODO. Z tego względu stosowanie ustawy w praktyce może skutkować kolejnym podwyższeniem standardów oczekiwanych od dostawców usług w zakresie szeroko rozumianego bezpieczeństwa informatycznego. Z drugiej strony, dostosowanie się do wymogów określonych na podstawie KSCu może zwiększyć przewagę konkurencyjną dostawców również w stosunku do zamawiających, niebędących zobowiązanymi do stosowania ustawy.

5. Kary finansowe

Przewidziane w KSCu kary finansowe mogą zostać nałożone za szereg naruszeń, szczegółowo opisanych w ustawie. Podmiot objęty ustawą może zapłacić karę nawet 200 000 zł. Z reguły jednak wysokość sankcji waha się od 15 do 50 tysięcy zł. Tylko w przypadku uporczywych naruszeń ustawy, właściwy organ może nałożyć karę w wysokości do 1 000 000 zł. Warto zwrócić uwagę również na fakt, że w pewnych przypadkach odpowiedzialność finansową za niedochowanie obowiązków ustawowych mogą ponieść także członkowie kadry zarządzającej. W takim przypadku odpowiedzialność kierownika jednostki organizacyjnej jest jednak ograniczona do wysokości 200 proc. miesięcznego wynagrodzenia i zostanie nałożona jedynie w przypadku naruszenia zaledwie kilku, konkretnie wskazanych przepisów.

— Małgorzata Kurowska ekspert w dziedzinie prawa ochrony danych osobowych oraz prawa nowych technologii/IT w kancelarii Maruta Wachta