Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 roku poz. 1560, tj. Dz.U. z 2020 roku poz. 1369) nakłada szereg obowiązków związanych z cyberbezpieczeństwem na dostawców usługi cyfrowej. Kim jest dostawca usługi cyfrowej? Jakie są obowiązki dostawców usług cyfrowych związane z cyberbezpieczeństwem? Sprawdź w poniższym artykule.
Kim jest dostawca usługi cyfrowej?
Dostawcą usługi cyfrowej jest osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę bądź zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium RP, świadcząca usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców, o których mowa w art. 7 ust. 1 pkt 1 i 2 Ustawy z dnia 6 marca 2018 roku – Prawo przedsiębiorców (Dz.U. z 2019 roku poz. 1292 i 1495 oraz z 2020 roku poz. 424 i 1086).
Ustawa rozróżnia następujące rodzaje usług cyfrowych:
- usługi internetowej platformy handlowej, tj. usługi, które umożliwiają konsumentom lub przedsiębiorcom zawieranie umów drogą elektroniczną z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który korzysta z usług świadczonych przez internetową platformę handlową;
- usługi przetwarzania w chmurze, tj. usługi umożliwiające dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników;
- usługi świadczone w ramach wyszukiwarki internetowej, tj. usługi, które umożliwiają użytkownikom wyszukiwanie wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania przez podanie słowa kluczowego, wyrażenia lub innego elementu, przedstawiające w wyniku odnośniki do informacji związanych z zapytaniem.
Obowiązek podejmowania środków cyberbezpieczeństwa
Ustawa o cyberbezpieczeństwie stanowi, że dostawca usługi cyfrowej podejmuje właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej.
Środki te powinny zapewniać cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniać:
- bezpieczeństwo systemów informacyjnych i obiektów;
- postępowanie w przypadku obsługi incydentu;
- zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
- monitorowanie, audyt i testowanie;
- najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu wykonawczym 2018/151.
Obowiązek wyznaczenia przedstawiciela w UE
Dostawca usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w RP, wyznacza przedstawiciela posiadającego jednostkę organizacyjną na terytorium RP, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną w innym państwie członkowskim UE.
Przedstawicielem może być osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, ustanowiona w RP lub w innym państwie członkowskim UE, wyznaczona do występowania w imieniu dostawcy usługi cyfrowej, który nie posiada jednostki organizacyjnej w UE, do którego organ właściwy do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK lub CSIRT GOV może się zwrócić w związku z obowiązkami dostawcy usługi cyfrowej wynikającymi z ustawy.
Jakie są obowiązki dostawców usług cyfrowych?
Dostawca usługi cyfrowej ma obowiązek:
- przeprowadzania czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów;
- zapewniać w niezbędnym zakresie dostęp do informacji dla właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
- klasyfikować właściwe incydenty jako istotne;
- zgłaszać incydenty istotne niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
- zapewniać obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
- usuwać podatności, które doprowadziły lub mogłyby doprowadzić do incydentu poważnego, incydentu istotnego lub krytycznego;
- przekazuje operatorowi usługi kluczowej, który świadczy tę usługę za pośrednictwem tego dostawcy usługi cyfrowej, informacje dot. incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.
Obowiązek klasyfikowania incydentów
Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:
- liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;
- czas trwania incydentu;
- zasięg geograficzny obszaru, którego dotyczy incydent;
- zakres zakłócenia funkcjonowania usługi;
- zakres wpływu incydentu na działalność gospodarczą i społeczną.
Dostawca usługi cyfrowej, klasyfikując incydent jako istotny, ocenia istotność wpływu incydentu na świadczenie usługi cyfrowej na podstawie powyższych parametrów oraz progów określonych w rozporządzeniu wykonawczym 2018/151.
Zgłoszenie przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji. Dostawca usługi cyfrowej przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu istotnego.
Dostawca zobowiązany jest także przekazać, w niezbędnym zakresie, w zgłoszeniu incydentu, informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV może zwrócić się do dostawcy usługi cyfrowej o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie.