Dyrektywa NIS i jej skutki

Polska zakończyła wdrożenie dyrektywy NIS 21 listopada 2018 r. Przepisom powstałej na tej podstawie polskiej ustawy „w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii” podlegają dwie grupy podmiotów: operatorzy usług kluczowych i dostawcy usług cyfrowych. Ostatnim etapem procesu implementacji było opublikowanie rozporządzenia, które wskazuje tzw. progi dla incydentów poważnych – czyli działań, które powodują lub mogą spowodować zdecydowane obniżenie jakości bądź też przerwanie świadczenia usług przez dostawcę usług kluczowych. Progi dla dostawców usług cyfrowych natomiast określono w rozporządzeniu wykonawczym 2018/151, które wydała Komisja Europejska.

O przynależności do operatorów usług kluczowych firma dowiaduje się z odgórnej decyzji administracyjnej. Druga grupa (dostawców usług cyfrowych) obejmuje internetowe platformy handlowe, dostawców usług przetwarzania w chmurze i wyszukiwarki internetowe. Spod dyrektywy wyłączone są natomiast firmy telekomunikacyjne. Spać spokojnie mogą też mikro- i mali przedsiębiorcy.

Cyfrowy czy nie?

W myśl przepisów usługodawca sam decyduje, czy należy do którejś z wymienionych wcześniej podgrup. To zresztą kwestia nie zawsze łatwa do ustalenia, na co zwrócił uwagę prawnik Krzysztof Wojdyło (podczas spotkania dla przedsiębiorców zorganizowanego przez kancelarię Wardyński i Wspólnicy oraz firmę doradczo-analityczną Audytel). Według specjalisty zwłaszcza internetowe platformy handlowe okazują się kategorią nie tak jednoznaczną, jak zapewne chciał prawodawca. Prawdopodobnie jego intencją nie było obejmowanie tą regulacją np. sklepów internetowych, a raczej podmioty, które tworzą platformy cyfrowe umożliwiające zawieranie umów pomiędzy stronami trzecimi. Podanie przykładu takiej platformy nie nastręczy trudności nikomu w dobie gospodarki cyfrowej. Pytanie jednak, czy w definicję internetowych platform cyfrowych wpisują się te crowdfundingowe, de facto też umożliwiające zwieranie stosunku prawnego pomiędzy osobami trzecimi.

Zdaniem Krzysztofa Wojdyło realne dylematy powstają też, gdy mowa o usługach przetwarzania danych w chmurze, bo choć z jednej strony można wprost wskazać podmioty, które będzie obejmować ta definicja, to z drugiej wątpliwości pojawiają się np. w przypadku dostawców gier sieciowych. Dlatego – jak zalecał prawnik – podmioty, które intuicyjnie czują, że definicje zawarte w kategorii dostawców usług cyfrowych mogą dotyczyć ich działalności, powinny wnikliwie przyjrzeć się nowym regulacjom.

Miernik należytej staranności

Wiele firm, które mogłyby nie być pewne swojego statusu, wybawia z kłopotów przynależność do kategorii mikro- i małych przedsiębiorców. Niemniej wszyscy przedsiębiorcy powinni postrzegać NIS w dużo szerszej perspektywie. Mimo że ustawa formalnie dotyczy tylko dwóch kategorii podmiotów, specjaliści uważają, iż potencjalnie będzie miała znaczenie dla niemal każdej firmy na rynku. Dlaczego? Ponieważ, jak zauważa Krzysztof Wojdyło, jest to pierwsze prawo, które wyznacza standardy postępowania w przedsiębiorstwach w kontekście cyberbezpieczeństwa. Standardy, które podczas rozpraw sądowych mają szansę stać się miernikiem należytej staranności i mogą być wykorzystywane przez sędziów do oceny działań podejmowanych przez przedsiębiorstwa w celu zabezpieczenia się przed cyberincydentami. Tego bardzo brakowało, bo choć nie wszystkie firmy podlegają ustawie NIS, to RODO już tak. A w przepisach RODO wymogi dotyczące bezpieczeństwa są sformułowane bardzo ogólnie. Dlatego również na gruncie rozporządzenia o ochronie danych osobowych będą miały miejsce próby sięgania do standardów z regulacji NIS. Błędem więc byłoby zlekceważenie wpływu tej ustawy na orzecznictwo w przyszłości.

Nie tylko NIS

Tymczasem firmy podlegające bezpośrednio ustawie NIS stają przed problemem zarządzania cyberincydentami, który może się okazać bardzo złożony. Owa złożoność będzie wynikała m.in. z tego, że na rynku przybywa przedsiębiorstw, które w razie kłopotów muszą uwzględniać kilka reżimów zarządzania incydentami, zawartych w jeszcze innych (oprócz NIS) aktach. Jest to więc spore wyzwanie pod względem technologicznym, organizacyjnym i prawnym.

Na zaraportowanie o cyberincydencie w ustawie NIS przewidziano 24 godziny. O tym, jak krótki to czas, biorąc pod uwagę realia działania coraz większej liczby przedsiębiorstw, dowodzi opis hipotetycznej sytuacji, skupiającej jak w soczewce wydarzenia, z którymi organizatorzy wspomnianego spotkania mieli do czynienia w ramach obsługi swoich klientów. Jej bohaterem uczynili spółkę oferującą internetową platformę handlową, z której korzystają konsumenci i przedsiębiorcy. W ramach platformy świadczone są regulowane usługi płatnicze. Spółka należy do międzynarodowej grupy i jest notowana na giełdzie. To powoduje, że w sytuacji cyberataku będzie musiała zarządzać incydentem, biorąc pod uwagę minimum cztery akty prawne: oprócz NIS również RODO, a także PSD2 (wymaga, aby dostawcy usług płatniczych powiadamiali właściwe organy nadzorcze o poważnych incydentach operacyjnych lub incydentach związanych z bezpieczeństwem) i MAR (ustanawia wspólne ramy regulacyjne dotyczące rynków finansowych).

Samo wykrycie i analiza, dzięki której ustalono, że spółka (a dokładnie firma dostarczająca rozwiązania płatnicze na jej platformę) padła ofiarą cyberataku, zajęły przedsiębiorstwu dużo więcej godzin niż 24 przewidziane w dyrektywie NIS.

Sprawa zaczęła się od reklamacji klienta skarżącego się na daremne próby zrealizowania cyfrowej transakcji. Potraktowana została standardowo: po wysłaniu maila do skarżącego się reklamacja czekała na rozpatrzenie przez pracownika odpowiedniego działu. Jednak, gdy podobnych reklamacji zaczęło przybywać, na przeszkodzie szybkiemu działaniu stanęła m.in. konieczność przekazania problemu na wyższy szczebel w spółce. To jednak nie od razu się powiodło, przez nieobecność osób, od których zależała decyzja, jak dalej postępować – były na szkoleniach. Kolejną przeszkodą okazał się weekend, który wstrzymał jakiekolwiek działania ze strony spółki w sprawie reklamacji.

Rozpoznanie, że kłopoty klientów końcowych (reklamacje od nich można było ostatecznie liczyć w tysiącach) nie są przyczyną technicznej usterki, ale ataku hakerskiego, nastąpiło po 120 godzinach, kiedy sprawa dotarła już na szczebel holdingu. W wyniku ataku hakerzy przekierowali transakcje na własne rachunki i weszli w posiadanie danych osobowych klientów, którzy je realizowali.

Czy winą za opóźniony raport można obarczyć w takiej sytuacji zarząd? Są co do tego wątpliwości. Co ciekawe, przepisy RODO nakazują 72-godzinny termin raportowania o incydencie, podczas gdy regulacje PSD2 i MAR nakazują to zrobić niezwłocznie. Przekroczenie każdego z tych limitów czasowych może skutkować dodatkowymi karami za nieodpowiednią reakcję na cyberatak.

Krzysztof Wojdyło zwraca uwagę, że w złożonych grupach zależnych od siebie przedsiębiorstw istnieją bardzo silne powiązania w kontekście dzielenia się usługami. W ich świadczeniu kluczową rolę odgrywają systemy IT, często współużytkowane w organizacji przez należące do niej spółki. Jednak w przypadku cyberincydentu sąd widzi konkretną firmę, konkretny zarząd, który ponosi odpowiedzialność za zaistniałą sytuację i niedotrzymanie zobowiązań. Dlatego jeszcze bardziej istotna niż do tej pory staje się ścisła współpraca każdej spółki z całą grupą, do której przynależy, a system zarządzania incydentami należy aranżować właśnie na poziomie grupy. Jasne jest również, że skoro potencjalnie z cyberincydentami – szczególnie w większych przedsiębiorstwach  – będzie można powiązać kilka różnych aktów prawnych, będą potrzebne osoby, które znają i rozumieją kluczowe dla danej firmy zapisy.