28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, implementująca do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS)[1]. Ustawa o KSC jest kolejną, obok rozporządzenia o ochronie danych osobowych, projekcie ustawy o odpowiedzialności podmiotów zbiorowych oraz projekcie ustawy o jawności życia publicznego regulacją, która nakłada na przedsiębiorców nowe obowiązki w zakresie compliance.

Celem Ustawy o KSC ma być zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz zapewnienie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług[2].

Kogo dotyczą nowe obowiązki?

Ustawa o KSC wprowadza nową definicję operatorów usług kluczowych. Ustawa zalicza do nich te przedsiębiorstwa, które świadczą usługi o charakterze kluczowym zarówno dla społeczeństwa, jak i gospodarki państwa. W załączniku do Ustawy wskazano sektory gospodarki, które zakwalifikowano jako kluczowe. Załącznik ten ma stanowić wytyczne do decydowania o tym, czy działalność prowadzona przez dane przedsiębiorstwo powinna zostać uznana za kluczową. W załączniku znalazły się m.in. takie sektory gospodarki jak sektor bankowości, energetyki, transportu, zdrowia, rynków finansowych czy wodociągowy.

Należy przy tym zaznaczyć, że żaden przedsiębiorca nie nabędzie statusu dostawcy usług kluczowych z mocy samego prawa. O tym, którzy przedsiębiorcy będą uznawani za operatorów usług kluczowych, zdecydują organy administracyjnej właściwe do spraw cyberbezpieczeństwa. Każdy przedsiębiorca uzyska w tym zakresie indywidualną decyzję administracyjną. Zgodnie z treścią Ustawy o KSC, decyzje administracyjne o uznaniu za operatorów usług kluczowych muszą zostać wydane na początku listopada 2018 r., co w konsekwencji spowoduje, że przedsiębiorcy będą mieli bardzo krótki okres czasu na wdrożenie nowych obowiązków.

Zakres przedmiotowy Ustawy o KSC obejmuje ponadto dostawców usług cyfrowych, czyli osoby prawne albo jednostki organizacyjne nie posiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczpospolitej Polskiej, świadczące usługi cyfrowe w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, wymienione w załączniku nr 2 do Ustawy. Za dostawców usług cyfrowych Ustawa uznaje internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.

Nowe obowiązki compliace

Ustawa określa trzy rodzaje obowiązków, które muszą realizować operatorzy usług kluczowych, aby ich działalność była zgodna z Ustawą. Są to obowiązki organizacyjne, obowiązki związane z wdrożeniem systemu zarządzania bezpieczeństwem oraz obowiązki identyfikowania i zgłaszania incydentów. Artykuł 9[3] Ustawy o KSC określa zamknięty katalog obowiązków o charakterze organizacyjnym. Przede wszystkim operatorzy usług kluczowych zobowiązani są do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Z uzasadnienia do projektu Ustawy[4] wynika, że prawodawca miał na celu sformalizowanie i wzmocnienie relacji pomiędzy poszczególnymi podmiotami systemu, co ma docelowo ułatwić przepływ informacji. Dodatkowo, dostawcy usług płatniczych zobowiązani są do zapewnienie użytkownikom dostęp do wiedzy o możliwych cyberzagrożeniach, celem budowanie świadomości użytkowników.

Przede wszystkim zaś, dostawcy usług kluczowych muszą wdrożyć system zarządzania bezpieczeństwem oraz zapewnić wdrożenie procedury zgłaszania i obsługi incydentów. Wewnętrzny system zarządzania bezpieczeństwem informacji powinien zapewniać bezpieczeństwo fizyczne, ciągłość działania systemu informatycznego, zarządzanie podatnościami, monitorowanie ryzyka w trybie ciągłym, bezpieczną wymianę informacji. Każdy dostawca usług kluczowych będzie musiał wdrożyć ponadto politykę zarządzania incydentami, która umożliwi ich identyfikację, rejestrację oraz zgłaszanie odpowiednim podmiotom krajowego systemu cyberbezpieczeństwa[5].

Ciekawym obowiązkiem, który Ustawa nakłada na dostawców usług kluczowych, jest obowiązek przeprowadzania wewnętrznych audytów bezpieczeństwa systemów informatycznych. Co ważne, audyty bezpieczeństwa musza być przeprowadzane w częstotliwości co najmniej raz na dwa lata oraz muszą być dokonane przez akredytowane jednostki audytowe (podobnie jak w przypadku badania sprawozdań finansowych).

W przypadku dostawców usług cyfrowych prawodawca uznał, że ryzyko prowadzonej przez nich działalności jest mniejsze niż w przypadku dostawców usług kluczowych. W związku z powyższym, wymogi, jakie Ustawa nakłada na dostawców usług cyfrowych, są mniej restrykcyjnej niż przy usługach kluczowych. Dostawcy usług cyfrowych, na mocy Ustawy, zobowiązani są zapewnić jedynie taki poziom bezpieczeństwa, który będzie współmierny do ryzyka związanego ze świadczonymi usługami. Dodatkowo, mają oni obwiązek zgłaszania i obsługi incydentów istotnych i krytycznych oraz obowiązek informowania operatora usług kluczowych o zaistniałym incydencie istotnym mającym wpływ na ciągłość usługi kluczowej.

Podsumowanie

W ostatnim czasie temat comliance staje się coraz bardziej popularny. Zarówno na poziomie unijnym, jak i w Polsce weszło w życie lub jest projektowanych szereg aktów prawnych, których celem jest zapewnienie zgodności działania podmiotów gospodarczych z prawem oraz przyjętymi wewnętrznymi normami postępowania[6]. Oprócz Ustawy o KSC i ogólnego rozporządzenia o ochronie danych osobowych oraz dyrektywy AML IV, ministerstwo sprawiedliwości planuje kolejne akty prawne, które będą nakładać na przedsiębiorców obowiązek wdrożenia wewnętrznych procedur compliance[7]. Niewątpliwie regulacje te będą ogromnym wyzwaniem dla przedsiębiorców, a nieprzestrzeganie ich postanowień będzie groziło nałożeniem na podmiot wysokich kar finansowych.