Brytyjski urząd ds. ochrony informacji (ICO) opublikował szereg wytycznych dotyczących stosowania przepisów NIS (czyli tego, co u nas zostało uregulowane w ustawie o krajowym systemie cyberbezpieczeństwa) – regulacji, która ma swoje źródło w unijnej dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tak, jest taka 😊 ).
Czego możemy się dowiedzieć z tych wskazówek ICO? I jak to się ma do polskiej ustawy o krajowym systemie cyberbezpieczeństwa?
Regulacje wynikające z dyrektywy dot. cyberbezpieczeństwa powinny być wdrożone m.in. przez przedsiębiorstwa świadczące usługi w postaci wyszukiwarek internetowych, sklepów internetowych i usług chmurowych (tzw. dostawców usług cyfrowych) dla klientów zewnętrznych. Nie dotyczy to jednak podmiotów, które są mikro i małymi przedsiębiorstwami (dokładnie tak jak w Polsce).
Jak sprawdzić, czy jesteśmy mikro lub małym przedsiębiorstwem? Prosto: jeżeli mamy więcej niż 50 pracowników lub obroty większe niż 10 mln Euro rocznie, nie jesteśmy mikro/małym przedsiębiorstwem. Jeżeli jesteśmy częścią grupy kapitałowej, bierzemy pod uwagę całą grupę!
Dostawcy usług cyfrowych powinni wdrożyć odpowiednie i proporcjonalne techniczne i organizacyjne środki aby zarządzać ryzykiem związanym ze stosowaniem systemów informatycznych (zupełnie jak w RODO).
Zabezpieczenia muszą obejmować bezpieczeństwo systemów informatycznych i urządzeń, reagowania na incydenty, nieprzerwane świadczenie usług, monitorowanie, audytowanie i testowanie systemów bezpieczeństwa oraz zgodność z międzynarodowymi standardami bezpieczeństwa.
Konieczne jest dokumentowanie tego, w jaki sposób realizujemy powyższe założenia (również tak samo jak w RODO).
Kary za naruszenie przepisów NIS w Wielkiej Brytanii mogą wynosić do 17 milionów funtów. W Polsce maksymalna kara to 1 milion złotych – przy czym naruszenia muszą się powtarzać).
Dostawcy usług cyfrowych są zobowiązani do powiadamiania właściwego organu (W UK – ICO, w Polsce – z reguły NASK) w przypadku incydentów bezpieczeństwa. W UK są na to 72 godziny, w Polsce – jedynie 24. Incydenty muszą być istotne – w przepisach mamy pewne wskazówki jak ustalić czy incydent jest istotny czy nie. Finalnie, to jednak my sami podejmujemy decyzję o istotności incydentu (zupełnie tak jak w przypadku naruszeń ochrony danych znanych z RODO).
Na końcu refleksja związana ze wdrożeniem regulacji dotyczących systemu cyberbezpieczeństwa, poczyniona przez brytyjski organ dot. ochrony danych. Jeżeli ktoś poprawnie wdrożył RODO, nie będzie miał wielkiego problemu z tym aby dostosować się do regulacji NIS. I dokładnie tak samo jest w Polsce – procedury będą wymagały jedynie delikatnej modyfikacji, nie radykalnych zmian. Zakładam, że właściwie wszyscy dostawcy usług cyfrowych przetwarzają dane swoich klientów lub użytkowników i musieli wdrożyć RODO. Do dostosowania się do ustawy o krajowym systemie cyberbezpieczeństwa muszą wykonać tylko mały krok.
Jeżeli chcesz dowiedzieć się więcej na temat ustawy o krajowym systemie cyberbezpieczeństwa, zapraszam tutaj.