Dostawco usług chmurowych czy Twoje umowy są zgodne z Data Act i gotowe na zmianę dostawcy przez klienta?
Czytaj więcej
Vibe coding a prawo
Czytaj więcej
Będzie coraz trudniej o 8,5% ryczałt od przychodów ewidencjonowanych w branży IT?
Czytaj więcej
Shadow AI
Czytaj więcej
Objaśnienia, konsultacje, publikacje – czy termin wejścia w życie KSeF pozostaje realny?
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 3
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 2
Czytaj więcej
Lista samokontroli do umów cywilnoprawnych – czy pytania GIP dotyczące samozatrudnienia i B2B powinny być powodem do paniki?
Czytaj więcej
Pierwsze kroki ze start-upem, czyli co z tą polityką prywatności
Czytaj więcej
Encyclopaedia Britannica v. Perplexity AI: kolejny pozew przeciwko dostawcy modelu sztucznej inteligencji
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 1
Czytaj więcej
Pierwszy pozew o kradzież głosu polskiego lektora przy wykorzystaniu AI
Czytaj więcej
Umowy inwestycyjne w start-upach, czyli jak negocjować i czego unikać – praktyczny przewodnik dla founderów
Czytaj więcej
Data Act – Rozwiązanie umowy na usługę chmurową
Czytaj więcej
GEMA wygrywa z OpenAI – czy to przełomowy wyrok?
Czytaj więcej
Standardowe klauzule umowne dla dostawców usług chmurowych
Czytaj więcej
Wyrok sądu w sprawie Getty Images przeciwko Stability AI – kluczowe skutki dla zarządzania IT oraz biznesu cyfrowego
Czytaj więcej
Exit plan w start-upie
Czytaj więcej
Sztuczna inteligencja w medycynie – nowe wyzwania prawne i praktyczne
Czytaj więcej
KSeF – to przede wszystkim wyzwanie informatyczne
Czytaj więcej
Finansowanie start-upów
Czytaj więcej
Nowe wyzwania prawne dla IT – prelekcja Mateusza Kozieła podczas warsztatów MMC Polska
Czytaj więcej
Założenia ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu opublikowane
Czytaj więcej
Generatywna sztuczna inteligencja a prawo autorskie w UE – kluczowe wnioski z raportu EUIPO
Czytaj więcej
Obowiązek współdziałania w kontrakcie utrzymaniowym IT – dobre praktyki umowne
Czytaj więcej
Richard Kadrey v. Meta Platforms: kolejna decyzja w sprawie trenowania modeli AI oraz praw autorskich w Stanach Zjednoczonych
Czytaj więcej
Naruszenie praw autorskich i co dalej?
Czytaj więcej
ESOP czyli co? 
Czytaj więcej
Nowe prawo pokrewne w praktyce – jak chroni wydawców w erze platform cyfrowych?
Czytaj więcej
Bartz i in. vs. Anthropic: pierwsze zwycięstwo producentów modeli sztucznej inteligencji przeciwko autorom książek
Czytaj więcej
Open source w firmie: potencjał, obowiązki, ryzyko
Czytaj więcej
Jaką formę prawną wybrać dla start-upu?
Czytaj więcej
Nowe zasady gry w WHT – MF publikuje długo wyczekiwane objaśnienia do klauzuli rzeczywistego właściciela
Czytaj więcej
Nie tylko formalność – wpływ badania due diligence na decyzje transakcyjne
Czytaj więcej
Styl a prawo autorskie na tle generowania obrazów w stylu Ghibli
Czytaj więcej
Raport Copyright and Generative AI: sztuczna inteligencja a prawo autorskie
Czytaj więcej
Sztuczna inteligencja przed sądem – pierwszy spór przed TSUE
Czytaj więcej
Zgłaszać czy nie zgłaszać? Naruszenia ochrony danych osobowych po „nowemu”.
Czytaj więcej
Kiedy design łamie prawo – dark patterns w świetle przepisów
Czytaj więcej
Program komputerowy jako wkład do spółki – skutki podatkowe
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 3: Jak odzyskać swobodę zarządzania systemem – dostępne strategie i ich konsekwencje
Czytaj więcej
Program komputerowy jako wkład do spółki
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 2: Jak sprawdzić swoją sytuację prawną i techniczną?
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 1: Dlaczego zamawiający tracą wpływ na swoje systemy IT?
Czytaj więcej
Ulga na innowacyjnych pracowników a 50% koszty uzyskania przychodów – naczynia połączone?
Czytaj więcej
Czy czeka nas deregulacja RODO?
Czytaj więcej
Polski Akt o Dostępności – nowe obowiązki również dla e-commerce
Czytaj więcej
Zmiany w prawie autorskim – nowe uprawnienia twórców
Czytaj więcej
Zagrożona wirtualna tożsamość – spory o domeny internetowe
Czytaj więcej
26 kwietnia: Światowy Dzień Własności Intelektualnej
Czytaj więcej

Co zmienia nowelizacja UKSC? Część 4

Podmioty objęte krajowym systemem cyberbezpieczeństwa, zgodnie z nowelizacją ustawy podpisaną w lutym przez Prezydenta będą musiały wywiązać się z szeregu obowiązków mających na celu zwiększenie poziomu cyberbezpieczeństwa w organizacjach. Nowe przepisy wejdą w życie na początku kwietnia. Należy zaznaczyć, że pomimo, iż prezydent podpisał ustawę, to jednocześnie podjął decyzję o skierowaniu jej do kontroli następczej przez Trybunał Konstytucyjny, co jednak nie ma wpływu na jej wejście w życie.

To czwarty wpis z cyklu artykułów o nowelizacji UKSC (ustawy o krajowym systemie cyberbezpieczeństwa). Poprzednio nakreśliliśmy tło nowelizacji i wskazaliśmy najważniejsze założenia, omówiliśmy zakres podmiotowy a także kwestię zgłoszenia do rejestru, a dzisiaj dokonujemy krótkiego przeglądu niektórych obowiązków spoczywających na podmiotach ważnych i kluczowych.

System zarządzania bezpieczeństwem informacji

Podstawowym wymogiem stawianym przed podmiotami ważnymi i kluczowymi, mającym swoje źródło w art. 21 dyrektywy NIS2, jest wprowadzenie tzw. systemu zarządzania bezpieczeństwem informacji. Wdrożenie takiego systemu jest przewidziane już teraz w przypadku podmiotów publicznych, z uwagi na § 19 rozporządzenia Rady Ministrów z 21 maja 2024 r. w sprawie Krajowym Ram Interoperacyjności. Zaskoczone nie będą także podmioty posiadające status operatora usług kluczowych – obowiązek wprowadzenia systemu wynika z obowiązującego art. 8 UKSC, który obecnie ma zostać dostosowany tak, by obejmował wszystkie elementy wskazane w dyrektywie NIS2.

Założenia systemu zarządzania bezpieczeństwem informacji opierają się na pewnym cyklu. Rozpoczyna się on od

  • oszacowania przez organizację ryzyka wystąpienia incydentu i zarządzenia tym ryzykiem. Stopień i rodzaj ryzyka ustalony w ramach tego pierwszego kroku powinien być przy tym uwzględniony podczas następnego działania, jakim jest
  • wdrożenie proporcjonalnych środków technicznych i organizacyjnych. Korzystając z tych środków, organizacja powinna
  • zbierać informacje o cyberzagrożeniach i podatnościach, a w razie wystąpienia incydentu
  • zarządzić nim. Zarządzenie incydentem powinno z kolei uwzględniać
  • stosowanie środków zapobiegających i ograniczających wpływ takiego incydentu na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi.

Szczególnie istotne dla zwiększenia odporności cybernetycznej jest przede wszystkim wdrożenie adekwatnych środków technicznych i organizacyjnych. By były one skuteczne, powinny przede wszystkim nawiązywać do oszacowanego ryzyka i uwzględniać charakterystykę danego podmiotu: jego rozmiar i ekspozycję na ryzyko i możliwości finansowe. Środki wdrażane przez małe i duże przedsiębiorstwo – mimo że mają źródło w jednym przepisie – mogą się zatem istotnie różnić. W praktyce omawiany wymóg oznaczać będzie m.in. opracowanie zestawu spójnych dokumentów i mechanizmów zarządczych, takich jak: polityk bezpieczeństwa systemu informacyjnego, planów ciągłości działania i planów awaryjnych czy procedur testowania systemu.

Zgłaszanie incydentów

W zakresie obowiązku zgłaszania incydentów nowelizacja UKSC wiernie odwzorowuje założenia dyrektywy NIS2. Zgłoszeniu podlegać będą zatem incydenty poważne, a podmiotem przyjmującym zgłoszenie będzie CSIRT sektorowy. Na organizacjach ciążyć będzie wymóg:

  • zgłoszenia wczesnego ostrzeżenia o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia;
  • zgłoszenia incydentu poważnego niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;
  • przekazania sprawozdania końcowego z obsługi incydentu poważnego, nie później niż w ciągu miesiąca od dnia zgłoszenia incydentu poważnego (a także sprawozdań okresowych, na wniosek CSIRT sektorowego).

Zgłoszenia będą dokonywane za pośrednictwem systemu S46, co umożliwi dostęp do informacji o tych zgłoszeniach dla pozostałych CSIRT.

Łańcuch dostaw

Podmioty objęte ustawą o krajowym systemie cyberbezpieczeństwa będą musiały zadbać także o zgodność z przepisami w łańcuchu dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi. Może to wymagać opracowania polityki łańcucha dostaw, w której zostaną wskazane kryteria wyboru dostawców, ale także dostosowania zawartych umów. Powinny one przewidywać obowiązek dostawcy do m.in. zgłaszania incydentów do podmiotu, informowania o podatnościach czy precyzować oczekiwania dotyczące personelu dostawcy (przykładowo poprzez wskazanie wymaganych certyfikacji).

W trosce o utrzymanie większej przejrzystości i usprawnienia kontaktu, organizacja może rozważyć także opracowanie i prowadzenie wykazu bezpośrednich dostawców z danymi kontaktowymi oraz wskazaniem jakie produkty ICT, usługi ICT czy procesy ICT dostarczają.

Audyt

Zgodnie z obowiązującą ustawą o krajowym systemie cyberbezpieczeństwa, operator usługi kluczowej ma obowiązek zapewnienia przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Nowelizacja ustawy modyfikuje ten wymóg, adresując go do podmiotów kluczowych (ale już nie do podmiotów ważnych!) i wydłużając okres między audytami do 3 lat. Podobnie jak obecnie, audyt będzie mógł być przeprowadzony przez podmiot z odpowiednią akredytacją, dwóch audytorów posiadających odpowiednie certyfikaty lub praktykę, lub przez sektorowy CSIRT.

W ślad za NIS2, nowelizacja przewiduje także możliwość nakazania przez organ właściwy do spraw cyberbezpieczeństwa przeprowadzenia audytu doraźnego przez podmiot kluczowy lub podmiot ważny. W przypadku podmiotów ważnych obowiązek przeprowadzenia audytu doraźnego może zostać nałożony w razie wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy, natomiast wobec podmiotów kluczowych organ jest uprawniony do nakazania audytu w każdym czasie.

Szkolenia

Organizacje objęte nowelizacją ustawy powinny pamiętać także o obowiązku szkoleniowym nałożonym na kierownika podmiotu kluczowego lub ważnego, a także osobę, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa. Szkolenie powinno dotyczyć wykonywania obowiązków z zakresu opracowania systemu zarządzania bezpieczeństwem informacji, zgłaszania incydentów czy audytu bezpieczeństwa, a udział w nim powinien być dokumentowany.

Jak możemy pomóc?

Jeżeli poszukujesz wsparcia w procesie dostosowania Twojej organizacji do wymogów wynikających z nowelizacji UKSC – zapraszamy do kontaktu. Nasze wsparcie oferujemy w każdym etapie tego procesu: asystując nie tylko przy samoocenie, ale także przy wdrożeniu odpowiednich środków technicznych z zakresu cyberbezpieczeństwa, co jest możliwe dzięki współpracy z partnerem technologicznym kancelarii.

 

Przebieg prac nad rządowym projektem ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw: https://www.sejm.gov.pl/sejm10.nsf/PrzebiegProc.xsp?nr=1955 .

Hanna Groborz | Barta & Partners

Hanna Groborz

radca prawny
hgroborz@barta.pl +48 531 488 151