Krajowy System Cyberbezpieczeństwa – nowe obowiązki dla dostawców usług cyfrowych

W związku z wejściem w życie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa na wybranych dostawców usług cyfrowych nałożone zostały nowe obowiązki. Brak spełnienia tych obowiązków może wiązać się z nałożeniem sankcji, w tym kar pieniężnych.

Tło regulacji

Wśród podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa, ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2018 r., poz. 1560, dalej jako „Ustawa”) wymienia między innymi dostawców usług cyfrowych. Zakresem stosowania Ustawy objęte jest jednak jedynie świadczenie usług w zakresie prowadzenia internetowej platformy handlowej, usługi przetwarzania w chmurze i wyszukiwarki internetowej. Na potrzeby Ustawy, za dostawcę usług cyfrowych nie uważa się jednak mikroprzedsiębiorców i małych przedsiębiorców. Ustawa stanowi jednocześnie implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dalej jako „dyrektywa”).

Najważniejsze obowiązki dostawców usług cyfrowych

Na podstawie Ustawy, dostawca usługi cyfrowej jest zobowiązany podjąć właściwe i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem na jakie narażone są systemy informatyczne wykorzystywane do świadczenia usługi cyfrowej. Środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka (zostały one określone w rozporządzeniu wykonawczym do dyrektywy).

Dostawcy usług cyfrowych są również zobowiązani do zgłaszania i obsługi incydentów tj. zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Dostawcy usług cyfrowych są zobowiązani do zgłaszania określonych rodzajów incydentów wskazanym podmiotom publicznym oraz do informowania o takich zdarzeniach operatorów usług kluczowych (m.in. z sektora energetycznego, transportowego i ochrony zdrowia), gdy mają one wpływ na ciągłość świadczenia usługi kluczowej.

Wśród innych obowiązków nałożonych Ustawą na dostawców usług cyfrowych należy wskazać także na obowiązek usuwania podatności, czyli właściwości systemu informatycznego mogących prowadzić do wystąpienia incydentu. Do usunięcia podatności w wyznaczonym terminie, dostawca usługi cyfrowej może zostać wezwany przez odpowiedni organ.

Możliwe sankcje

Organ nadzorujący dostawców usług cyfrowych zgodnie z Ustawą może w szczególności prowadzić wobec nich kontrole, a także nakładać administracyjne kary pieniężne. Karze pieniężnej podlega dostawca usługi cyfrowej, który nie wykonuje obowiązków w zakresie: zgłaszania incydentów istotnych, zapewnienia obsługi incydentów oraz usuwania podatności systemu informatycznego. Za każde z tych naruszeń przewidziana została kara pieniężna w wysokości do 20 tys. zł. Dodatkowo, jeżeli w wyniku kontroli, organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że dostawca usługi cyfrowej uporczywie narusza przepisy Ustawy, powodując: bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych, nakłada karę w wysokości do 1 000 000 zł.

Share This: