Będą kary za zaniedbania w dziedzinie cyberbezpieczeństwa. Ale – jak zgodnie podkreślają eksperci – te proponowane są niemal wirtualne.
Cyberincydenty stwierdzone przez zespół NC Cyber przy NASK / Dziennik Gazeta Prawna
Nowa ustawa o krajowym systemie cyberbezpieczeństwa stwierdza, że zapewnienie go jest obowiązkiem, a nie zaledwie dobrą wolą firmy czy też jej wewnętrznym rozwiązaniem.
W prawie przygotowanym przez Ministerstwo Cyfryzacji pojawia się nowa kategoria firm „operatorów usług kluczowych”, którzy mają obowiązkowo zadbać o siebie i swoich klientów. Tymi kluczowymi operatorami są firmy z sześciu sektorów: energetycznego, transportowego, służby zdrowia, bankowości i infrastruktury finansowej, dostawców wody oraz infrastruktury cyfrowej. To kilkadziesiąt tysięcy mniejszych i większych podmiotów w całym kraju, których działalność jest elementem infrastruktury krytycznej.
Jak ocenia ekspert ds. cyberbezpieczeństwa Adam Haertle, dobrze, że pojawiły się zapisy, które uporządkują zasady identyfikacji, klasyfikacji i raportowania incydentów bezpieczeństwa. – Te procesy, szczególnie w obszarze wymiany informacji, dzisiaj kuleją – podkreśla. Zauważa, że obowiązki dbania o ochronę zapisano, ale bez uszczegółowienia, jak z tego rozliczać. – W projekcie znalazł się obowiązek przeprowadzania audytów bezpieczeństwa przez operatorów usług kluczowych. Pytanie jednak, dlaczego mają one mieć miejsce jedynie co dwa lata. Taki wymóg nie pasuje do dzisiejszej rzeczywistości, gdzie wobec rosnącej skali zagrożeń ocena podatności infrastruktury na ataki powinna być procesem ciągłym – tłumaczy ekspert.
Najwięcej uwag mają eksperci co do wysokości kar zapisanych w ustawie. – Jest symboliczna wobec progów kar dzisiaj zapisanych w prawie telekomunikacyjnym lub tych w ramach RODO – podkreśla Haertle.
Nowa ustawa jest pod tym względem liberalna. Za brak podjęcia środków zaradczych mają grozić grzywny od 1000 do 5000 zł. Od 10 tys. zł ma grozić za niewyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług u operatora, do 50 tys. zł za nieprzeprowadzenie audytu, a 100 tys. zł za niewdrożenie systemu zarządzania bezpieczeństwem. Najwyższa kara – 200 tys. zł – może być orzeczona za uporczywe naruszanie przepisów ustawy i tym samym zagrożenie dla obronności państwa, porządku, życia i zdrowia ludzi.
– W projekcie kary zróżnicowano, co jest dobrym rozwiązaniem. Jednak sytuacje poważnego zagrożenia „cyberbezpieczeństwa dla obronności, państwa, porządku publicznego, życia i zdrowia ludzi” wyceniono na maksymalnie 200 tys. zł. Ustalenie górnego progu jest właściwe, ale mówimy jednak o operatorach usług kluczowych, więc muszą pojawić się pytania o to, czy tę wysokość ustalono właściwie? Dlaczego taka, a nie inna kwota? W uzasadnieniu projektu temu tematowi nie poświęcono uwagi – twierdzi dr Łukasz Olejnik, zajmujący się cyberbezpieczeństwem.
– 200 tys. zł to koszt rocznego zatrudnienia przez dużą firmę kilku sekretarek. Nie są to szczególnie dotkliwe kary – mówi nam jeden z ekspertów.
Wysokość tych kar budzi niepokój szczególnie w zderzeniu z zapowiadanymi karami za wyciek danych osobowych i przewidzianymi w dyrektywie RODO. – Wysokości maksymalnych kar RODO sięgają dwóch milionów euro lub czterech procent globalnych obrotów przedsiębiorcy. Dysproporcje między sankcjami RODO a tymi w propozycji ustawy o krajowym systemie cyberbezpieczeństwa są porażające – podkreśla dr Olejnik.
Jak oceniają eksperci, to raczej kary RODO będą większym motywatorem dla firm, by zadbać o bezpieczeństwo. Także to z prefiksem -cyber.