Nowa ustawa o cyberbezpieczeństwie – obowiązki dla sektora finansoweg

Artykuł

Nowa ustawa o cyberbezpieczeństwie – obowiązki dla sektora finansowego

Biuletyn prawny: Finanse i bankowość | Wrzesień 2018 r.

Ustawa o krajowym systemie cyberbezpieczeństwa oznacza nowe obowiązki dla firm z sektora bankowości, ale także energetyki, transportu, ochrony zdrowia czy zaopatrzenia w infrastrukturę cyfrową (tzw. operatorów usług kluczowych). Zmiany dotyczyć będą także dostawców usług cyfrowych, czyli np. platform sprzedażowych online. Do 9 listopada 2018 r. podmioty powinny zostać poinformowane w drodze decyzji administracyjnej, czy zostały zakwalifikowane jako dostawcy usług kluczowych.

Ustawa o krajowym systemie cyberbezpieczeństwa oznacza nowe obowiązki dla firm z sektora bankowości, ale także energetyki, transportu, ochrony zdrowia czy zaopatrzenia w infrastrukturę cyfrową (tzw. operatorów usług kluczowych). Zmiany dotyczyć będą także dostawców usług cyfrowych, czyli np. platform sprzedażowych online.

Przepisy stanowią implementację dyrektywy NIS (Network and Information Systems Directive) i skupiają się na sektorach szczególnie wrażliwych na cyberataki oraz takich, w których skutki ataku mogłyby mieć istotny wpływ na funkcjonowanie społeczeństwa i ciągłość świadczenia najważniejszych z punktu widzenia gospodarki usług. Niewątpliwie usługi finansowe należą w dużej części do usług o krytycznym znaczeniu dla społeczeństwa. Dlatego na liście operatorów usług kluczowych mogą znaleźć się banki, oddziały banków z UE i spoza UE, SKOKi, podmioty prowadzące rynek regulowany, czy CCP (czyli podmiot, który działa pomiędzy kontrahentami kontraktów będących w obrocie na co najmniej jednym rynku finansowym, stając się nabywcą dla każdego sprzedawcy i sprzedawcą dla każdego nabywcy).

Do 9 listopada 2018 podmioty powinny zostać poinformowane w drodze decyzji administracyjnej, czy zostały zakwalifikowane jako dostawcy usług kluczowych. W celu określenia, czy dany przedsiębiorca powinien być objęty obowiązkami wynikającymi z nowej ustawy, kompetentne organy będą brać pod uwagę czynniki takie jak np. liczba klientów, którzy mogą odczuć negatywne skutki incydentu, liczba rachunków płatniczych dotkniętych incydentem. Wśród usług kluczowych dla sektora finansowego w projekcie rozporządzenia Rady Ministrów wskazano w szczególności usługi kredytowe dla MŚP, obsługę posiadaczy rachunków, wypłatę środków pieniężnych z bankomatów, prowadzenie rynku regulowanego, czy organizowanie ASO.

Po otrzymaniu decyzji dostawcy usług kluczowych będą mieli niewiele czasu (3 lub 6 miesięcy) na dostosowanie się do nowych wymogów, do których zaliczają się np.:

a) Dokonanie oszacowania ryzyka dla świadczonych usług kluczowych, 

b) Prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, 

c) Zarządzanie i obsługę incydentów, 

d) Powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie w tym zakresie umowy z podmiotem trzecim,

e) Wdrożenie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także odpowiednich środków technicznych i organizacyjnych zapobiegających lub ograniczających skutki incydentów.

W ciągu roku od otrzymania decyzji należy ponadto przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, który powinien być powtarzany cyklicznie, co najmniej raz na 2 lata.

Komentarz eksperta: Nowa ustawa o cyberbezpieczeństwie – obowiązki dla sektora finansowego

Ustawa przewiduje obowiązki dla podmiotów o kluczowym znaczeniu dla bezpieczeństwa cybernetycznego, jak również obowiązki dla administracji do stworzenia krajowego systemu organów odpowiedzialnych za cyberbezpieczeństwo i reagowanie na incydenty. Jej celem jest również stworzenie skoordynowanego systemu działań na poziomie organów administracji. W wielopoziomowym systemie istotne nowe kompetencje wobec sektora finansowego przypisano KNF, jako organowi właściwemu do spraw cyberbezpieczeństwa. KNF będzie uprawniona do wystąpienia do podmiotów o udzielenie informacji, które pomogą stwierdzić, których przedsiębiorców należy uznać za operatorów usług kluczowych. Ponadto, KNF będzie mogła wystąpić do operatora usługi kluczowej o udzielenie informacji, które pomogą ustalić, czy konieczne jest przeprowadzenie kontroli. Tak udzielone informacje, mogą stanowić materiał dowodowy we wszczętym później postępowaniu administracyjnym lub kontroli. KNF będzie również zobowiązana m.in. do monitorowania stosowania przepisów ustawy przez operatorów usług kluczowych z sektora finansowego oraz za przygotowanie, wraz z innymi organami, rekomendacji dotyczących działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytycznych sektorowych dotyczących zgłaszania incydentów.

Katarzyna Sawicka, Managing Associate, Deloitte Legal

Czy ta strona była pomocna?