Ustawa O Krajowym Systemie Cyberbezpieczeństwa. Komentarz - C.H. Beck Wydawnictwo Polska Kraków

Komentarz zawiera szczegółową analizę przepisów ustawy 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560), która weszła w życie 28.8.2018 r. Celem regulacji jest zapewnienie cyberbezpieczeństwa w zakresie świadczenia usług kluczowych i usług cyfrowych. Krajowy system cyberbezpieczeństwa obejmuje kilkanaście kategorii podmiotów, w szczególności tzw. operatorów usług kluczowych, tj. firmy działające w sektorach: finansowym, m.in. banki krajowe i zagraniczne oraz ich oddziały, spółdzielcze kasy oszczędnościowo-kredytowe, energetycznym, m.in. przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania paliw ciekłych, podmioty prowadzące działalność gospodarczą w zakresie przesyłania ropy naftowej, wytwarzania paliw syntetycznych, przetwarzania albo magazynowania energii elektrycznej, wydobywania gazu ziemnego, transportowym, np. przewoźnicy lotniczy i kolejowi, podmioty zajmujące się transportem drogowym, ochrony zdrowia, np. podmioty lecznicze, wytwórcy produktów leczniczych, przedsiębiorcy prowadzący działalność w formie aptek, przedsiębiorcy prowadzący hurtownie farmaceutyczne, zaopatrzenia w wodę pitną, tj. przedsiębiorstwa wodociągowo-kanalizacyjne; dostawców usług cyfrowych; Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. zespoły CSIRT poziomu krajowego); sektorowe zespoły cyberbezpieczeństwa; podmioty świadczące usługi z zakresu cyberbezpieczeństwa; organy właściwe do spraw cyberbezpieczeństwa; Pełnomocnika Rządu; Kolegium do Spraw Cyberbezpieczeństwa oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie). Ustawa o krajowym systemie cyberbezpieczeństwa zawiera również zasady wskazywania operatorów usług kluczowych i określa ich obowiązki dotyczące wdrożenia skutecznego systemu zarządzania bezpieczeństwem, obejmującego m.in.: zarządzanie ryzykiem, stosowanie zabezpieczeń systemów informacyjnych adekwatnych do zidentyfikowanego ryzyka, procedur i mechanizmów zgłaszania oraz postępowania z incydentami, prowadzenia dokumentacji czy organizacji struktur wewnętrznych. Operator usługi kluczowej ma również zapewnić przeprowadzenie minimum raz na 2 lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej oraz powołać osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. W ustawie o krajowym systemie cyberbezpieczeństwa ustanowiono organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE (tzw. dyrektywie NIS). Ustawa przewiduje, że minister właściwy ds. informatyzacji będzie m.in.: monitorował wdrażanie Strategii Cyberbezpieczeństwa, prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa, realizował obowiązki sprawozdawcze wobec instytucji unijnych. Ustawą o krajowym systemie cyberbezpieczeństwa dokonano kompleksowej regulacji zagadnień, m.in. dotyczących: podmiotów tworzących krajowy system cyberbezpieczeństwa, identyfikacji i rejestracji operatorów usług kluczowych, obowiązków operatorów usług kluczowych w zakresie stosowania zabezpieczeń systemów informacyjnych, obowiązków dostawców usług cyfrowych, w tym sformułowano m.in. wymagania, jakie muszą spełnić dostawcy usług cyfrowych w zakresie zabezpieczeń systemów informacyjnych służących do świadczenia usług cyfrowych, obowiązków podmiotów publicznych, gdzie zostały zdefiniowane obowiązki podmiotów publicznych objętych zakresem ustawy, zasad udostępniania informacji i przetwarzania danych osobowych, gdzie zostały wyodrębnione zasady udostępniania informacji i przetwarzania danych osobowych w krajowym systemie cyberbezpieczeństwa, nadzoru i kontroli operatorów usług kluczowych, nakładania administracyjnych kar pieniężnych. Publikacja jest skierowana do: praktyków – sędziów, prokuratorów, adwokatów i radców prawnych, jak również specjalistów zajmujących się na co dzień zagadnieniami z obszaru bezpieczeństwa IT, operatorów usług kluczowych wszystkich sektorów, dostawców usług cyfrowych, organów administracji publicznej oraz specjalistów compliance.