Gruszecki: Trzy scenariusze cyberataku, na które należy przygotować przedsiębiorstwo (ANALIZA)
W maju 2018 roku zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) oraz upłynie termin implementacji dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS). Jeszcze wcześniej, z dniem 13 stycznia 2018 r., upłynie termin implementacji dyrektywy w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD II). Wszystkie trzy regulacje wprowadzą obligatoryjne systemy notyfikacji (informowania): RODO w zakresie naruszeń danych osobowych, NIS w zakresie bezpieczeństwa sieci i systemów informatycznych, PSD II w zakresie incydentów operacyjnych i incydentów związanych z bezpieczeństwem dostawcy usług płatniczych – pisze Paweł Gruszecki, radca prawny, Partner, Szef Praktyki Nowych Technologii i Telekomunikacji w Kancelarii Kochański, Zięba i Partnerzy.
Zakres regulacji
RODO – jako regulacja o charakterze horyzontalnym – w istotnym stopniu zmieni system ochrony danych osobowych w Unii Europejskiej i wpłynie na wszystkie podmioty przetwarzające dane osobowe. Rozporządzenie ma za zadanie zwiększenie ochrony osób fizycznych w dobie gospodarki opartej na danych pozyskiwanych przy wykorzystaniu nowych technologii. W tym celu wprowadzone zostaną takie obowiązki jak każdorazowe przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych, przestrzeganie zasady prywatności na etapie projektowania oraz obowiązek informowania w przypadku naruszenia ochrony danych osobowych. Od dnia 25 maja 2018 r. Rozporządzenie stanie się częścią krajowego porządku prawnego i będzie stosowane łącznie z projektowaną obecnie Ustawą o ochronie danych osobowych, a także szeregiem innych nowych przepisów zawartych w poszczególnych ustawach sektorowych (np. Ustawa Prawo bankowe, Ustawa o działalności ubezpieczeniowej i reasekuracyjnej).
Z kolei dyrektywa NIS ma za zadanie zapewnienie bezpieczeństwa sieci i systemów informatycznych. W tym celu ustanawia minimalne standardy bezpieczeństwa oraz wprowadza obowiązek notyfikowania o tzw. incydentach, czyli zdarzeniach, które mają rzeczywisty niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych. Obowiązki przewidziane w dyrektywie skierowane są do dwóch grup podmiotów: operatorów usług kluczowych (m.in. przedsiębiorstwa z sektora energetycznego, transportowego i bankowego) oraz dostawców usług cyfrowych (internetowych platform handlowych, wyszukiwarek internetowych oraz usług przetwarzania w chmurze). Dyrektywa zostanie zaimplementowana do krajowego systemu prawnego w Ustawie o krajowym systemie cyberbezpieczeństwa.
Dyrektywa PSD II ma natomiast na celu wprowadzenie zmian na rynku usług płatniczych, które wpłyną na działalność banków, instytucji płatniczych czy instytucji kredytowych. Do najważniejszych zmian należą m.in. wprowadzenie obowiązkowego silnego uwierzytelnienia klienta, wprowadzenie obowiązku sformalizowanego zarządzania bezpieczeństwem informatycznym oraz wprowadzenie obowiązku notyfikacji incydentów operacyjnych i incydentów związanych z bezpieczeństwem dostawcy usług płatniczych (np. zdarzenia zagrażające bezpieczeństwu środków finansowych klienta).
Cel wprowadzenia notyfikacji
Obowiązek notyfikacji ma pełnić funkcję uzupełniającą wobec obowiązku zapewnienia wysokiego poziomu ochrony bowiem żadne, nawet najbardziej zaawansowane systemy zabezpieczające, nie dają stuprocentowej gwarancji kompletnej ochrony. Z tego względu aby minimalizować negatywne skutki braku odpowiedniego poziomu ochrony RODO, NIS i PSD II wprowadzają systemy notyfikowania wskazujące działania informacyjne jakie należy podjąć w przypadku naruszenia: ochrony danych osobowych (RODO), bezpieczeństwa sieci i systemów informatycznych (NIS) oraz bezpieczeństwa dostawcy usługi płatniczej lub wystąpienia incydentu operacyjnego (PSD II). Dodatkowo wprowadzenie systemu notyfikacji pozytywnie wpłynie na wzrost świadomości zagrożeń bezpieczeństwa, a także umożliwi użytkownikom podjęcie szybkiej i samodzielnej reakcji w razie zagrożenia ich interesów i danych (np. zmiana hasła, usunięcie danych, zaszyfrowanie danych).
Jedno zdarzenie – kilka obowiązków notyfikacyjnych
Obowiązki notyfikacyjne mogą zaktualizować się zarówno osobno, jak i łącznie – w niektórych sytuacjach jedno zdarzenie może doprowadzić do powstania obowiązku notyfikacyjnego na gruncie dwóch lub nawet trzech regulacji jednocześnie. Przykładowo, naruszenie bezpieczeństwa sieci podmiotu świadczącego usługę przetwarzania w chmurze, które spowoduje tzw. „wyciek danych”, może doprowadzić zarówno do powstania obowiązku notyfikacyjnego na gruncie NIS, jak i do powstania obowiązku informowania z RODO. Podobnie w przypadku naruszenia bezpieczeństwa dostawcy usług płatniczych – naruszenie bezpieczeństwa na gruncie PSD II może skutkować naruszeniem ochrony danych osobowych na gruncie RODO. Możliwe są także sytuacje, w których dojdzie do zaktualizowania obowiązku notyfikacyjnego na gruncie wszystkich trzech regulacji. Należy jednak zauważyć, iż pomimo tego, że wystąpienie jednego zdarzenia może doprowadzić do powstania kilku obowiązków notyfikacyjnych, poszczególne regulacje należy traktować odrębnie – przedsiębiorstwa będą zobowiązane do wypełnienia każdego obowiązku z osobna.
Treść obowiązków notyfikacyjnych
Procedury notyfikacyjne z RODO, NIS i PSD II różnią się od siebie w zakresie: podmiotów zobowiązanych do dokonania notyfikacji; sytuacji, w których aktualizuje się obowiązek dokonania zgłoszenia; podmiotów, które mają być notyfikowane; terminów, w których należy wywiązać się z obowiązku oraz konsekwencji jego niedopełnienia. Aby ułatwić przygotowanie przedsiębiorstw na nadchodzące zmiany, kluczowe postanowienia dotyczące notyfikacji zostały zilustrowane w poniższej tabeli.
Obowiązki notyfikacyjne na gruncie
RODO, NIS i PSD II
KTO? Podmiot zobowiązany do dokonania notyfikacji
- sNIS:
I. Art. 16 ust. 1
Dostawcy usług cyfrowych wskazanych w załączniku III do dyrektywy (np. usługi przetwarzania w chmurze), z wyłączeniem mikro i małych przedsiębiorców (art. 16 ust. 11)
II. Art. 14 ust. 1
Operatorzy usług kluczowych wskazani w załączniku II do dyrektywy (np. przedsiębiorstwa z sektora energetycznego, transportowego i bankowego)
- RODO:
Art. 33 ust. 1
– Administratorzy danych osobowych
– Podmioty przetwarzające (processorzy)
- PSD II:
Art. 96 ust. 1
Dostawcy usług płatniczych
CO? Co podlega zgłoszeniu
- sNIS:
I-II. Art. 16 ust. 3 / art. 14 ust. 3
Incydenty mające istotny wpływ na ciągłość świadczonych usług (dostawy usług cyfrowych / świadczenia usług kluczowych).
Incydentem jest każde zdarzenie, które ma rzeczywiście niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych.
- RODO:
Art. 33 ust. 1
Naruszenia ochrony danych osobowych zdefiniowane w art. 4 pkt 12.
- PSD II:
Art. 96 ust. 1
Poważne incydenty operacyjne lub incydenty związane z bezpieczeństwem dostawcy usług płatniczych.
WOBEC KOGO? Kogo należy powiadomić
- sNIS:
I. Art. 14 ust. 3
– CSIRT lub
– Właściwy organ
II. Art. 16 ust. 3
– CSIRT lub
– Właściwy organ
Art. 16 ust. 5
Operator usług kluczowych
(gdy operator usług kluczowych jest zależny od dostawcy usług cyfrowych)
- RODO:
Art. 33
Organ nadzorczy, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych
Art. 34
Osoba, której dane dotyczą, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zawiadomienie nie jest wymagane w przypadkach, o których mówi art. 34 ust. 3
- PSD II:
Art. 96 ust. 1
– Właściwy organ
– Użytkownicy usług płatniczych danego dostawcy usług płatniczych gdy incydent ma lub może mieć wpływ na ich interesy finansowe.
KIEDY? Termin notyfikacji
- sNIS:
I. Art. 14 ust. 3
Niezwłocznie
II. Art. 16 ust. 3
Bez zbędnej zwłoki
- RODO:
Art. 33
Bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia
Art. 34
Bez zbędnej zwłoki
- PSD II:
Art. 96 ust. 1
Bez zbędnej zwłoki
SANKCJA Konsekwencje niewypełnienia obowiązku
- sNIS:
I-II. Art. 21
Państwa członkowskie ustanawiają przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych na podstawie niniejszej dyrektywy i podejmują wszystkie niezbędne środki w celu zapewnienia ich wykonania. Przewidziane sankcje muszą być skuteczne, proporcjonalne i odstraszające.
- RODO:
Art. 83 ust. 4 lit. a
Naruszenie obowiązku notyfikacji podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- PSD II:
Art. 103
Państwa członkowskie ustanawiają przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń przepisów prawa krajowego transponujących niniejszą dyrektywę i podejmują wszelkie niezbędne środki, aby zapewnić, by przepisy te były stosowane. Sankcje takie są skuteczne, proporcjonalne i odstraszające.
