• Szkolenia
    • Szkolenia zamknięte
    • Szkolenia online
  • Webinaria
  • Wydarzenia
  • Blog
  • O nas
    • O akademii
    • O kancelarii
    • Q&A Akademia LTCA
    • Referencje
    • Nasi Eksperci
  • Sklep
  • Abonament
  • Pomagamy
  • Kontakt
    • 0
(+48) 575 692 694
kontakt@akademialtca.pl
Rejestracja Logowanie
Akademia LTCAAkademia LTCA
  • Szkolenia
    • Szkolenia zamknięte
    • Szkolenia online
  • Webinaria
  • Wydarzenia
  • Blog
  • O nas
    • O akademii
    • O kancelarii
    • Q&A Akademia LTCA
    • Referencje
    • Nasi Eksperci
  • Sklep
  • Abonament
  • Pomagamy
  • Kontakt
    • 0

Compliance

  • Strona główna
  • Blog
  • Compliance
  • „Ustawa o cyberbezpieczeństwie nakłada na przedsiębiorców nowe obowiązki z zakresu compliance”

„Ustawa o cyberbezpieczeństwie nakłada na przedsiębiorców nowe obowiązki z zakresu compliance”

  • Avatar
  • Wysłane przez Katarzyna Lamczyk
  • Kategorie Compliance
  • Data 7 września


28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, implementująca do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS)[1]. Ustawa o KSC jest kolejną, obok rozporządzenia o ochronie danych osobowych, projekcie ustawy o odpowiedzialności podmiotów zbiorowych oraz projekcie ustawy o jawności życia publicznego regulacją, która nakłada na przedsiębiorców nowe obowiązki w zakresie compliance.
Celem Ustawy o KSC ma być zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz zapewnienie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług[2].
 

Kogo dotyczą nowe obowiązki?

Ustawa o KSC wprowadza nową definicję operatorów usług kluczowych. Ustawa zalicza do nich te przedsiębiorstwa, które świadczą usługi o charakterze kluczowym zarówno dla społeczeństwa, jak i gospodarki państwa. W załączniku do Ustawy wskazano sektory gospodarki, które zakwalifikowano jako kluczowe. Załącznik ten ma stanowić wytyczne do decydowania o tym, czy działalność prowadzona przez dane przedsiębiorstwo powinna zostać uznana za kluczową. W załączniku znalazły się m.in. takie sektory gospodarki jak sektor bankowości, energetyki, transportu, zdrowia, rynków finansowych czy wodociągowy.
Należy przy tym zaznaczyć, że żaden przedsiębiorca nie nabędzie statusu dostawcy usług kluczowych z mocy samego prawa. O tym, którzy przedsiębiorcy będą uznawani za operatorów usług kluczowych, zdecydują organy administracyjnej właściwe do spraw cyberbezpieczeństwa. Każdy przedsiębiorca uzyska w tym zakresie indywidualną decyzję administracyjną. Zgodnie z treścią Ustawy o KSC, decyzje administracyjne o uznaniu za operatorów usług kluczowych muszą zostać wydane na początku listopada 2018 r., co w konsekwencji spowoduje, że przedsiębiorcy będą mieli bardzo krótki okres czasu na wdrożenie nowych obowiązków.
Zakres przedmiotowy Ustawy o KSC obejmuje ponadto dostawców usług cyfrowych, czyli osoby prawne albo jednostki organizacyjne nie posiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczpospolitej Polskiej, świadczące usługi cyfrowe w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, wymienione w załączniku nr 2 do Ustawy. Za dostawców usług cyfrowych Ustawa uznaje internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.
 

Nowe obowiązki compliace

Ustawa określa trzy rodzaje obowiązków, które muszą realizować operatorzy usług kluczowych, aby ich działalność była zgodna z Ustawą. Są to obowiązki organizacyjne, obowiązki związane z wdrożeniem systemu zarządzania bezpieczeństwem oraz obowiązki identyfikowania i zgłaszania incydentów. Artykuł 9[3] Ustawy o KSC określa zamknięty katalog obowiązków o charakterze organizacyjnym. Przede wszystkim operatorzy usług kluczowych zobowiązani są do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Z uzasadnienia do projektu Ustawy[4] wynika, że prawodawca miał na celu sformalizowanie i wzmocnienie relacji pomiędzy poszczególnymi podmiotami systemu, co ma docelowo ułatwić przepływ informacji. Dodatkowo, dostawcy usług płatniczych zobowiązani są do zapewnienie użytkownikom dostęp do wiedzy o możliwych cyberzagrożeniach, celem budowanie świadomości użytkowników.
Przede wszystkim zaś, dostawcy usług kluczowych muszą wdrożyć system zarządzania bezpieczeństwem oraz zapewnić wdrożenie procedury zgłaszania i obsługi incydentów. Wewnętrzny system zarządzania bezpieczeństwem informacji powinien zapewniać bezpieczeństwo fizyczne, ciągłość działania systemu informatycznego, zarządzanie podatnościami, monitorowanie ryzyka w trybie ciągłym, bezpieczną wymianę informacji. Każdy dostawca usług kluczowych będzie musiał wdrożyć ponadto politykę zarządzania incydentami, która umożliwi ich identyfikację, rejestrację oraz zgłaszanie odpowiednim podmiotom krajowego systemu cyberbezpieczeństwa[5].
Ciekawym obowiązkiem, który Ustawa nakłada na dostawców usług kluczowych, jest obowiązek przeprowadzania wewnętrznych audytów bezpieczeństwa systemów informatycznych. Co ważne, audyty bezpieczeństwa musza być przeprowadzane w częstotliwości co najmniej raz na dwa lata oraz muszą być dokonane przez akredytowane jednostki audytowe (podobnie jak w przypadku badania sprawozdań finansowych).
W przypadku dostawców usług cyfrowych prawodawca uznał, że ryzyko prowadzonej przez nich działalności jest mniejsze niż w przypadku dostawców usług kluczowych. W związku z powyższym, wymogi, jakie Ustawa nakłada na dostawców usług cyfrowych, są mniej restrykcyjnej niż przy usługach kluczowych. Dostawcy usług cyfrowych, na mocy Ustawy, zobowiązani są zapewnić jedynie taki poziom bezpieczeństwa, który będzie współmierny do ryzyka związanego ze świadczonymi usługami. Dodatkowo, mają oni obwiązek zgłaszania i obsługi incydentów istotnych i krytycznych oraz obowiązek informowania operatora usług kluczowych o zaistniałym incydencie istotnym mającym wpływ na ciągłość usługi kluczowej.

Podsumowanie

W ostatnim czasie temat comliance staje się coraz bardziej popularny. Zarówno na poziomie unijnym, jak i w Polsce weszło w życie lub jest projektowanych szereg aktów prawnych, których celem jest zapewnienie zgodności działania podmiotów gospodarczych z prawem oraz przyjętymi wewnętrznymi normami postępowania[6]. Oprócz Ustawy o KSC i ogólnego rozporządzenia o ochronie danych osobowych oraz dyrektywy AML IV, ministerstwo sprawiedliwości planuje kolejne akty prawne, które będą nakładać na przedsiębiorców obowiązek wdrożenia wewnętrznych procedur compliance[7]. Niewątpliwie regulacje te będą ogromnym wyzwaniem dla przedsiębiorców, a nieprzestrzeganie ich postanowień będzie groziło nałożeniem na podmiot wysokich kar finansowych.
 
[1] https://www.gov.pl/cyfryzacja/ustawa-o-cyberbezpieczenstwie-przyjeta-przez-sejm data dostępu 28 sierpnia 2018 roku.
[2] http://prawo.gazetaprawna.pl/artykuly/1201071,prezydent-podpisal-ustawe-o-krajowym-systemie-cyberbezpieczenstwa.html data dostępu 28 sierpnia 2018 roku.
[3] Zob. art. 9 Ustawy o KSC.
[4] Zob. uzasadnienie do projektu ustawy o KSC, str. 24.
[5] Ibidem, str. 24-25.
[6] https://www.forbes.pl/technologie/trendy-w-cyberbezpieczenstwie-w-2018-roku/0syjhen data dostępu 6 września 2018 roku.
[7] Mowa o projekcie ustawy o odpowiedzialności podmiotów zbiorowych i ustawie o jawności życia publicznego.

  • Udostępnij:
Avatar
Katarzyna Lamczyk

Poprzedni post

Obrót kryptowalutami po nowemu – czyli zmiany w opodatkowaniu
7 września

Następny wpis

Nowe projekty rozporządzeń w zakresie cen transferowych
7 września

Wyszukiwarka

Kategorie

  • Aktualności podatkowe
  • Aktualności prawne
  • Bez kategorii
  • Ceny transferowe
  • CIT
  • Compliance
  • PIT
  • VAT
  • WHT

Artykuły archiwalne

  • Styczeń 2021 (14)
  • Grudzień 2020 (16)
  • Listopad 2020 (25)
  • Październik 2020 (18)
  • Wrzesień 2020 (18)
  • Sierpień 2020 (16)
  • Lipiec 2020 (11)
  • Czerwiec 2020 (11)
  • Maj 2020 (13)
  • Kwiecień 2020 (37)
  • Marzec 2020 (9)
  • Październik 2019 (5)
  • Wrzesień 2019 (6)
  • Sierpień 2019 (10)
  • Lipiec 2019 (5)
  • Czerwiec 2019 (3)
  • Maj 2019 (5)
  • Kwiecień 2019 (3)
  • Marzec 2019 (20)
  • Luty 2019 (9)
  • Styczeń 2019 (35)
  • Grudzień 2018 (8)
  • Listopad 2018 (23)
  • Wrzesień 2018 (13)
  • Sierpień 2018 (14)
  • Maj 2018 (2)
  • Kwiecień 2018 (2)
  • Marzec 2018 (11)
  • Luty 2018 (21)
  • Styczeń 2018 (29)
  • Grudzień 2017 (19)
  • Listopad 2017 (26)

Adres
ul. Miodowa 1
00-080 Warszawa

Numer telefonu
(+48) 575 692 694

Adres e-mail
kontakt@akademialtca.pl

Godziny otwarcia
Poniedziałek - Piątek
9:00 - 17:00

logo-eduma-the-best-lms-wordpress-theme

O Nas

  • Kim jesteśmy?
  • Aktualności
  • Wydarzenia
  • Q&A Akademia LTCA
  • Kontakt

Szkolenia

  • Szkolenia otwarte
  • Szkolenia zamknięte
  • Szkolenia online

Linki

  • Logowanie
  • Regulamin
  • Polityka prywatności

Akademia LTCA © Wszystkie prawa zastrzeżone.

Projekt i realizacja: MEDIAONES

Zaloguj się

Zgubiłeś hasło?

Zaloguj przez Facebook Zaloguj przez Google Zaloguj przez Twitter Zaloguj przez LinkedIn

logo


Nie jesteś jeszcze członkiem? Zarejestruj się teraz

Logowanie i rejestracja są bezpłatne.
Materiały dostępne są dopiero po rejestracji i zalogowaniu w serwisie.

Zarejestruj się

Jesteś już zarejestrowany? Zaloguj się

Rejestracja jest bezpłatna.
Materiały dostępne są dopiero po rejestracji i zalogowaniu w serwisie.