Mamy jeszcze dużo do zrobienia, wojna tylko uwypukla zagrożenia
Cyberbezpieczeństwo było jednym z tematów tegorocznego Europejskiego Kongresu Gospodarczego w Katowicach. W panelu dyskusyjnym na ten temat razem z przedstawicielami biznesu, nauki i administracji publicznej wystąpił także radca prawny Damian Karwala, senior associate kancelarii CMS.
– Rozmowa o cyberbezpieczeństwie w tym czasie łączy się z agresją Rosji na Ukrainę i pytaniami, czy toczy się również cyberwojna, która mogłaby zagrażać także biznesowi w Polsce. To oczywiście zależy od tego, jak definiujemy taką cyberwojnę. Nie ulega wątpliwości, że od dłuższego czasu mamy do czynienia ze szczególnymi zagrożeniami cyfrowymi, a działania wojenne tylko uwypuklają te problemy. Dyskusja podczas EKG pokazała, że firmy inwestują coraz więcej w zespoły zajmujące się cyberbezpieczeństwem. Zwraca jednak uwagę, że chodzi tu głównie o międzynarodowe firmy działające w naszym kraju, które uczestniczą w globalnych projektach swoich organizacji. Lokalny biznes ma jeszcze dużo do zrobienia – podsumowuje rozmowę podczas EKG Damian Karwala.
W przypadku cyberataku trzeci lub czwarty telefon jest do prawnika
Zespół CMS zajmujący się cyberbezpieczeństwem, którego członkiem jest także Damian Karwala, doradza w wielu aspektach, między innymi na etapie przygotowania dokumentacji wewnętrznej organizacji, analizie, czy i jakim regulacjom podlega konkretny podmiot, a także kontaktach i komunikacji z organami administracji, ubezpieczycielami czy kompleksowym „wprowadzaniem” zagranicznych firm, które rozpoczynają działalność na naszym rynku i muszą spełnić polskie wymagania regulacyjne. Poza tym prawnicy kancelarii doradzają także w przypadku samego ataku cybernetycznego. – W takich sytuacjach po kontakcie z informatykami, wewnętrznym zespołem do spraw cyberbezpieczeństwa w danej organizacji, trzeci lub czwarty telefon jest właśnie do nas, prawników – mówi Damian Karwala. – Pomagamy w rozstrzygnięciu, gdzie i w jaki sposób trzeba zgłosić ten incydent, także w sytuacji, gdy dotyczy to wielu jurysdykcji. Wbrew pozorom to nie jest oczywiste, bo dla takiego zgłoszenia konieczne jest spełnienie kilku przesłanek, a ataki często są wykrywane późno, bo zostały dobrze zakamuflowane. Ważną kwestię w obliczu cyberataku jest również komunikacja z organami, w kwestiach dotyczących skradzionych czy zagrożonych danych. Mieliśmy ostatnio do czynienia z atakiem na podmiot zajmujący się zewnętrzną obsługą kadr i płac, czyli w grę wchodziły duże pakiety danych podmiotów trzecich, w tym danych osobowych. To wymagało wielu działań prawnych realizowanych z udziałem organów administracji i zabezpieczających naszego klienta – opisuje Damian Karwala.
Nowe regulacje niczym RODO
Jak podkreśla Damian Karwala, wyzwaniem nie tylko dla biznesu, ale także dla prawników będą nowe regulacje dotyczące cyberbezpieczeństwa – projektowana Dyrektywa NIS 2 i zmiany w ustawie o krajowym systemie cyberbezpieczeństwa.
Teraz regulacje dotyczące cyberbezpieczeństwa, przede wszystkim ustawa o krajowym systemie cyberbezpieczeństwa, dotyczą tylko określonych podmiotów z kluczowych sektorów jak np. energetyka lub transport. Telekomunikacja ma dodatkowo jeszcze odrębne regulacje. – Jest więc tylko grupa podmiotów, które podlegają tym przepisom i które wiedzą, co należy robić w zakresie cyberbezpieczeństwa. Zdecydowanie więcej firm jest poza tymi regulacjami. Zresztą obecnie obowiązujące przepisy są pozbawione skutecznych sankcji i to właśnie ma się zmienić – uważa Damian Karwala.
Prace nad Dyrektywą NIS 2 czyli, jak sama nazwa wskazuje, następczynią obowiązującej od 2016 roku Dyrektywy NIS, której implementacją jest właśnie ustawa o krajowym systemie cyberbezpieczeństwa, trwają już ponad rok. Jeszcze dłużej trwają prace nad nowelizacją krajowej ustawy, w dodatku prowadzone są one niezależnie od prac na szczeblu unijnym. Ostatni projekt zmian do ustawy opublikowano w połowie marca. Damian Karwala zwraca uwagę, że to nie jest już regulacja skupiona tylko na tym, jak powinno się postępować w przypadku cyberataków, duży nacisk położony jest na przygotowanie się do cyberzagrożeń, na cyfrową prewencję.
W związku z tym nowe regulacje będą nakładać wiele obowiązków oraz kary za ich niewypełnienie. – To mogą być tak duże kary jak w przypadku szeroko komentowanych regulacji RODO – komentuje Damian Karwala i jak dodaje, cała systematyka nowych regulacji zmierza właśnie w stronę systemu, jaki wprowadziły przepisy z zakresu ochrony danych osobowych.
Ryzyka prawne biznesu
Nowe przepisy mogą stworzyć też pewne ryzyka i wątpliwości dla biznesu. Damian Karwala zwraca uwagę w szczególności na dwie kwestie. – Problemem może być kategoria tzw. dostawców wysokiego ryzyka. Teoretycznie wiemy, że może chodzić o podmioty z Chin i Rosji. Co do zasady kierunek jest słuszny, niemniej, jak podkreślali także paneliści na EKG, diabeł tkwi w szczegółach, bo decyzję o uznaniu za takiego dostawcę miałby wydawać określony minister, ale w postępowaniu administracyjnym, które nie do końca spełnia wymogi konstytucyjne. I to generuje wątpliwości, bo zakres tej regulacji jest na tyle szeroki, że może dotknąć każdego dostawcę, a wpisanie na listę dostawców wysokiego ryzyka powoduje, że przedsiębiorca nie będzie mógł oferować swoich usług lub sprzedawać swych produktów w Polsce.
Kolejny problem może wynikać z projektowanych zmian do artykułu 33 ustawy o krajowym systemie cyberbezpieczeństwa. – Zgodnie z tą regulacją, organy miałyby prawo do przeprowadzania badania dowolnego urządzenia i oprogramowania, a zgodnie z ostatnią wersją przepisu, także usługi cyfrowej, czyli teoretycznie wszystkiego, i wydawania rekomendacji, które również mogłyby w skrajnych sytuacjach skutkować zablokowaniem oferowania określonych usług przez daną firmę, przy czym te rekomendacje miałyby być wydawane już poza trybem administracyjnym – mówi Damian Karwala.
Jak dodaje senior associate CMS, w walce o cyberbezpieczeństwo będziemy musieli zrezygnować z pewnej części swobody i wolności. Ważne jest jednak, by wszystkie procedury i regulacje zostały kompleksowo przygotowane. – Tymczasem w Polsce nadal mamy sporo do zrobienia w wymiarze regulacyjnym. Zdarza się, jak w przypadku dostawców wysokiego ryzyka, że idziemy swoją drogą, nie bazujemy na rozwiązaniach funkcjonujących już w innych państwach. A przy wadliwie zaprojektowanych procedurach powstawać mogą określone ryzyka, w tym np. dochodzenia odszkodowań przez podmioty uznane za tego rodzaju dostawców. Dobrym rozwiązaniem byłoby także powołanie jednej agencji, która zajmowałaby się cyberbezpieczeństwem i nadzorowała cały obszar regulacyjny, zwłaszcza w sektorze prywatnym. To dawałoby szansę na lepszą komplementarność przepisów – podsumowuje Damian Karwala.
Artykuł powstał we współpracy z kancelarią CMS.