Z kolei dyrektywa PSD2 (Payment Services Directive 2), opracowana głównie z myślą o sektorze finansów i bankowości, zobowiązuje do stworzenia szeregu procedur, m.in. dotyczących monitorowania incydentów, postępowania w przypadku ich wystąpienia oraz zgłaszania ataków.

W Polsce trwają prace nad ustawą o odpowiedzialności podmiotów zbiorowych, która określi zasady ponoszenia odpowiedzialności w przypadku, gdy czynu zabronionego dopuszczą się organy podmiotu zbiorowego albo pojedynczy pracownicy lub osoby upoważnione do działania w imieniu firmy lub instytucji.

Do naruszeń prawa skutkującego odpowiedzialnością podmiotu zbiorowego można zakwalifikować nielegalne przetwarzanie danych osobowych. Wynika to z art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych  – mówi Katarzyna Gorzkowska.

Każda nowa regulacja powinna znaleźć odzwierciedlenie w polityce bezpieczeństwa. Jej przygotowanie i wdrożenie w pierwszej kolejności powinno mieć na celu zapewnienie przestrzegania prawa. Natomiast cel pośredni stanowi uniknięcie sankcji, np. kar administracyjnych nakładanych przez prezesa Urzędu Ochrony Danych Osobowych za złamanie przepisów.

Trzy pytania do…
dr inż. Agnieszki Gryszczyńskiej, z Katedry Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego

Co konkretnie powinna zawierać polityka bezpieczeństwa w firmie?

Powinna określać ogólne wymagania, zasady, procedury oraz instrukcje dotyczące ochrony informacji, czyli obejmować takie elementy jak: polityka informacyjna, zasady ochrony danych osobowych i tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych (w tym informacji niejawnych), polityka bezpieczeństwa systemów teleinformatycznych, zasady zapobiegania przestępstwom (m.in. cyberprzestępstwom), procedury postępowania w przypadku stwierdzenia incydentu lub wykrycia działania stanowiącego czyn zabroniony. Spójne z polityką bezpieczeństwa powinny być inne dokumenty, np. rejestr incydentów.

Jakie akty prawne – oprócz mocno ostatnio nagłośnionego RODO – należy uwzględnić w tworzeniu polityki bezpieczeństwa?

Z uwagi na to, że polityka bezpieczeństwa odnosi się do wszystkich możliwych rodzajów naruszenia bezpieczeństwa, a także scenariuszy postępowania w takich sytuacjach, powinna uwzględniać przepisy dotyczące działań związanych z incydentami. Trzeba pamiętać nie tylko o ochronie danych osobowych oraz postępowaniu w przypadku jej naruszenia ale też uwzględnić inne regulacje nakładające obowiązek zgłaszania incydentów i odpowiedniej reakcji w razie ich wystąpienia. Podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych powinny uwzględnić przepisy ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Art. 10 ustawy nakłada na operatorów obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Szczegółowe obowiązki firm świadczących usługi cyfrowe w zakresie bezpieczeństwa sieci i systemów informacyjnych określa rozporządzenie wykonawcze Komisji Europejskiej 2018/151. Wymogi dotyczące bezpieczeństwa i zgłaszania incydentów przez przedsiębiorców telekomunikacyjnych określa ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne, a obowiązki dostawców usług zaufania – rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.

Czy jakieś szczególne regulacje obowiązują w sektorze publicznym?

Podmioty publiczne dodatkowo powinny uwzględnić ustawę z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań wobec systemów teleinformatycznych.