Główne założenia ustawy
Ostatnimi czasy na łamach portalu BiznesAlert przedstawiliśmy krótką analizę nowego projektu ustawy o krajowym systemie cyberbezpieczeństwa, implementującej europejską dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”), w kontekście przedsiębiorstw kluczowych dla gospodarek państwowych.
Jednakże, opisywany przez nas projekt nie ogranicza się wyłącznie do uregulowania statusu oraz nałożenia obowiązków i praw na operatorów kluczowych. Ustawa dotyka również następujących kwestii:
- organizacji krajowego systemu cyberbezpieczeństwa,
- zadań i obowiązków podmiotów wchodzących w skład ww. systemu (w tym operatorów kluczowych, dostawców usług cyfrowych, podmiotów publicznych),
- sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy przez ww. jednostki,
- zakresu oraz trybu stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
Kim są dostawcy usług cyfrowych?
Niniejszym artykułem pragniemy przybliżyć obowiązki nałożone na kolejną kategorię podmiotów odpowiedzialnych za cyberbezpieczeństwo. Jak bowiem wynika z projektu ustawy, do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych – oprócz usługodawców prowadzących działalność w sektorach priorytetowych dla gospodarki i społeczeństwa – będą również zobowiązani tzw. dostawcy usług cyfrowych.
Na gruncie projektowanej ustawy pod pojęciem dostawców usług cyfrowych określamy:
- podmioty świadczące usługi cyfrowe, w tym internetowe platformy handlowe (Allegro, eBay, AliExpress), usługi przetwarzania w chmurze (Microsoft Azure, Dropbox), wyszukiwarki internetowe (Google, Yahoo, DuckDuckGo),
- zatrudniające nie mniej niż 50 pracowników,
- osiągające roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych przekraczający równowartość w złotych 10 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat przekroczyły równowartości w złotych 10 milionów euro.
W jaki sposób usługodawcy mają zapewnić cyberbezpieczeństwo?
Usługodawcy cyfrowi zostali zobowiązani do wdrożenia odpowiedniego systemu zarządzania incydentami. System ten – przy pomocy proporcjonalnych do ryzyka środków technicznych i zabezpieczających – ma zapewnić cyberbezpieczeństwo świadczonych przez nich usług. Pomimo prozaicznej treści takiego przepisu, prawne zobligowanie dostawców cyfrowych do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych zdaje się być w dzisiejszych czasach być potrzebne i konieczne. Wskazują na to chociażby szeroko opisywane przez prasę zagraniczną incydenty; np. wyciek danych osobowych około 77 mln konsumentów, korzystających z usług Sony Playstation Network.
Powyższe wydarzenia dowodzą jedynie jak bardzo elastycznie przedsiębiorstwa winny podchodzić do wdrożenia odpowiednich zabezpieczeń. Ustawodawca europejski i polski, zauważając ten problem, zobligował usługodawców cyfrowych do ciągłego uwzględniania najnowszego w tym przedmiocie stanu wiedzy. Rozwój techniczny w obszarze cyberbezpieczeństwa ma zapewnić powstanie środków zabezpieczających oraz minimalizujących wpływ incydentów na funkcjonowanie sieci i systemów informatycznych przedsiębiorców.
Dostawcy cyfrowi zostaną również zobligowani do identyfikacji incydentów, ich klasyfikacji oraz zgłaszania istotnych naruszeń do CIRST NASK. Tego rodzaju informacje usługodawcy powinni również zgłaszać operatorom usługi kluczowej, którzy świadczą swoje usługi za pośrednictwem podmiotów dostarczających platformy i aplikacje cyfrowe.
Prawo właściwe
Świadczenie usług cyfrowych na terytorium UE oraz EFTA będzie podlegać prawu polskiemu, w przypadku gdy główna siedziba dostawcy (utożsamiana z siedzibą zarządu przedsiębiorstwa) znajduje się w RP. Prawu polskiemu będzie również podlegać ten usługodawca, który świadczy usługi w kliku państwach i wyznacza przedstawiciela, działającego na terytorium RP. Natomiast, gdy serwer informatyczny będzie się znajdował w innym miejscu niż fizyczna siedziba dostawcy, organy RP będą dodatkowo zobligowane do współpracy i udzielania pomocy analogicznym instytucjom w państwie położenia przedmiotowego serwera.
O obowiązkach przedsiębiorstw kluczowych na gruncie projektu ustawy o krajowym systemie cyberbezpieczeństwa pisała Aleksandra Modzelewska na portalu Biznes Alert w artykule pt.: „Cyberbezpieczeństwo przedsiębiorstw kluczowych„.
O dyrektywie NIS pisała na portalu Biznes Alert Ewelina Ocipińska w artykule pt.: „Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?„. Artykuł został również opublikowany na blogu IP Procesowo.