top of page
Zdjęcie autoraMichał Nosowski

Jak Brytyjczycy podchodzą do kwestii bezpieczeństwa informatycznego?


Brytyjski urząd ds. ochrony informacji (ICO) opublikował szereg wytycznych dotyczących stosowania przepisów NIS (czyli tego, co u nas zostało uregulowane w ustawie o krajowym systemie cyberbezpieczeństwa) – regulacji, która ma swoje źródło w unijnej dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tak, jest taka 😊 ).

Czego możemy się dowiedzieć z tych wskazówek ICO? I jak to się ma do polskiej ustawy o krajowym systemie cyberbezpieczeństwa?

  1. Regulacje wynikające z dyrektywy dot. cyberbezpieczeństwa powinny być wdrożone m.in. przez przedsiębiorstwa świadczące usługi w postaci wyszukiwarek internetowych, sklepów internetowych i usług chmurowych (tzw. dostawców usług cyfrowych) dla klientów zewnętrznych. Nie dotyczy to jednak podmiotów, które są mikro i małymi przedsiębiorstwami (dokładnie tak jak w Polsce).

  2. Jak sprawdzić, czy jesteśmy mikro lub małym przedsiębiorstwem? Prosto: jeżeli mamy więcej niż 50 pracowników lub obroty większe niż 10 mln Euro rocznie, nie jesteśmy mikro/małym przedsiębiorstwem. Jeżeli jesteśmy częścią grupy kapitałowej, bierzemy pod uwagę całą grupę!

  3. Dostawcy usług cyfrowych powinni wdrożyć odpowiednie i proporcjonalne techniczne i organizacyjne środki aby zarządzać ryzykiem związanym ze stosowaniem systemów informatycznych (zupełnie jak w RODO).

  4. Zabezpieczenia muszą obejmować bezpieczeństwo systemów informatycznych i urządzeń, reagowania na incydenty, nieprzerwane świadczenie usług, monitorowanie, audytowanie i testowanie systemów bezpieczeństwa oraz zgodność z międzynarodowymi standardami bezpieczeństwa.

  5. Konieczne jest dokumentowanie tego, w jaki sposób realizujemy powyższe założenia (również tak samo jak w RODO).

  6. Kary za naruszenie przepisów NIS w Wielkiej Brytanii mogą wynosić do 17 milionów funtów. W Polsce maksymalna kara to 1 milion złotych – przy czym naruszenia muszą się powtarzać).

  7. Dostawcy usług cyfrowych są zobowiązani do powiadamiania właściwego organu (W UK – ICO, w Polsce – z reguły NASK) w przypadku incydentów bezpieczeństwa. W UK są na to 72 godziny, w Polsce – jedynie 24. Incydenty muszą być istotne – w przepisach mamy pewne wskazówki jak ustalić czy incydent jest istotny czy nie. Finalnie, to jednak my sami podejmujemy decyzję o istotności incydentu (zupełnie tak jak w przypadku naruszeń ochrony danych znanych z RODO).

Na końcu refleksja związana ze wdrożeniem regulacji dotyczących systemu cyberbezpieczeństwa, poczyniona przez brytyjski organ dot. ochrony danych. Jeżeli ktoś poprawnie wdrożył RODO, nie będzie miał wielkiego problemu z tym aby dostosować się do regulacji NIS. I dokładnie tak samo jest w Polsce – procedury będą wymagały jedynie delikatnej modyfikacji, nie radykalnych zmian. Zakładam, że właściwie wszyscy dostawcy usług cyfrowych przetwarzają dane swoich klientów lub użytkowników i musieli wdrożyć RODO. Do dostosowania się do ustawy o krajowym systemie cyberbezpieczeństwa muszą wykonać tylko mały krok.

Jeżeli chcesz dowiedzieć się więcej na temat ustawy o krajowym systemie cyberbezpieczeństwa, zapraszam tutaj.

Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page