Poznaj młodszą siostrę RODO

10-12-2018, 23:26

Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza nowe wymagania w zakresie zapewnienia bezpieczeństwa informacji, zarządzania ryzykiem i zgłaszania incydentów przez firmy realizujące kluczowe dla państwa działania, takie jak dostarczanie energii czy ochrona zdrowia. Obejmuje także podmioty dostarczające usługi cyfrowe.

Z raportu zatytułowanego „Cyberbezpieczeństwo 2018” wynika, że przez cyberataki 44% przedsiębiorstw poniosło straty finansowe, natomiast 62% odnotowało zakłócenia i przestoje funkcjonowania. Co trzeci ankietowany padł ofiarą ransomware – czyli szyfrowania dysku.  Ponadto 1/5 średnich i dużych przedsiębiorstw nie zatrudnia specjalisty od cyberbezpieczeństwa, a 46% nie ma operacyjnych procedur reakcji na incydenty.

Dr Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24 zaznacza, że w odpowiedzi na coraz częstsze incydenty związane z atakami na infrastrukturę informatyczną organizacji, nowe prawo wprowadza kilka pojęć. Należą do nich m.in. cyberbezpieczeństwo czy operator usługi kluczowej. Co ciekawe, niektórzy przedsiębiorcy powinni szczególnie zwrócić uwagę na drugi termin, ponieważ mogą zostać uznani za takiego operatora. Będą oni wówczas zobowiązani do wdrożenia konkretnych zabezpieczeń. Ponadto zostaną zobowiązani do szacowania ryzyka i terminowego przekazywania informacji o incydentach naruszających cyberbezpieczeństwo podmiotom wskazanym w ustawie.

O uznaniu firmy za operatora usługi kluczowej decyduje organ właściwy do spraw cyberbezpieczeństwa, czyli minister właściwy danemu sektorowi. Jako adresatów takich decyzji ustawa wskazuje m.in. podmioty prowadzące działalność wydobywczą, podmioty dostarczające energię elektryczną, ciepło czy ropę naftową, a także podmioty z sektora transportowego, finansowego, ochrony zdrowia, wodociągów i infrastruktury cyfrowej.  Podmioty te uznaje się za operatorów usług kluczowych, jeśli prowadzone przez nie działania zależą od systemów informatycznych, a incydent może zakłócić ich realizację. Natomiast dostawcą usługi cyfrowej jest podmiot świadczący usługę cyfrową, tj. usługę świadczoną drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Do grona takich dostawców w rozumieniu cyberustawy nie zalicza się jednak mikroprzedsiębiorców i małych przedsiębiorców. Oczywiście to tylko nieliczne przykłady z wielu kwestii, które są zawarte w nowej ustawie.

Cyberustawa a RODO

Przepisy cyberustawy i RODO są do siebie zbliżone, w związku z czym obie regulacje można równolegle wdrażać w organizacji. Cyberustawa odpowiada RODO w takich obszarach jak:

  • szacowanie ryzyka i zapewnienie odpowiedniego poziomu bezpieczeństwa,

  • zarządzanie incydentami i niezwłoczne zgłaszanie ich do organu nadzorczego,

  • wdrożenie odpowiedniej dokumentacji,

  • wyznaczenie inspektora ochrony danych/wyznaczenie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i zgłoszenie punktu kontaktowego właściwym organom.

Źródło: ODO 24


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy