Nowe unijne regulacje nałożą na instytucje finansowe obowiązek zgłaszania do nadzorcy poważnych incydentów informatycznych.
Sektory najczęściej atakowane przez hakerów w krajach regionu EMEA / Dziennik Gazeta Prawna
Zgodnie z obowiązującymi u nas przepisami banki nie mają obowiązku zgłaszania incydentów informatycznych, skutkujących wyciekiem danych klientów. Innymi słowy, jeżeli bank padnie ofiarą ataku hakera, który wykradnie dane klientów, teoretycznie sprawę można zamieść pod dywan.
Wkrótce dużo się jednak w tej kwestii zmieni. – Zdecydują o tym dwa dokumenty: dyrektywa PSD II i unijne rozporządzenie o ochronie danych osobowych – twierdzi Michał Mostowik, prawnik z kancelarii dLK Korus Okoń.
Na podstawie tego pierwszego dokumentu banki będą zobowiązane zgłaszać do Komisji Nadzoru Finansowego wszystkie poważne incydenty informatyczne, KNF z kolei będzie obowiązkowo zawiadamiać o nich Europejski Urząd Nadzoru Bankowego oraz Europejski Bank Centralny.
– Natomiast rozporządzenie o ochronie danych osobowych wprowadzi obowiązek notyfikacji do generalnego inspektora ochrony danych osobowych przypadków naruszenia danych osobowych klientów, czyli nie tylko wycieków, ale już nawet samego uzyskania dostępu do nich przez osoby postronne – dodaje Michał Mostowik.
Specjaliści uważają, że przepisy, jakie mają zostać uchwalone, są wyrazem nowego podejścia władz unijnych do incydentów informatycznych. Dotąd starano się głównie zapobiegać ich powstawaniu. Najwyraźniej wiele wydarzeń i ataków, które miały ostatnio miejsce, uświadomiło unijnym urzędnikom, że nie wszystkim takim sytuacjom da się zapobiec. Teraz kładzie się więc nacisk na procedury, które mają uregulować kwestie tego, co robić, gdy do ataku dojdzie.
Dla banków oznacza to dużo zmian. W praktyce nowe przepisy oznaczają, że instytucje finansowe będą musiały same na siebie donosić i narażać się na sankcje, jeśli incydenty wynikają z zaniedbań banków. Próba zatajenia incydentu może powodować znacznie dalej idącą odpowiedzialnością banku. Kary, jakie państwowe urzędy będą mogły nakładać na instytucje finansowe, to wartość nawet 2 proc. ich rocznych przychodów.
Ponadto zgodnie z nowymi przepisami banki będą też zobowiązane informować klientów, że ich dane padły ofiarą cyberprzestępców, oraz instruować ich, co w takiej sytuacji powinni zrobić.
Bankowcy już przygotowują się do wejścia nowych przepisów w życie, choć ich ostatecznego kształtu jeszcze nie znają – oba akty prawne mają zostać uchwalone do końca tego roku. Później banki będą miały dwa lata na wcielenie w życie tych regulacji. – Warto podkreślić, że wymogi, które zostaną nałożone na banki, nie są niczym nowym na polskim rynku. Już teraz operatorzy telefoniczni mają obowiązek informowania GIODO i klientów o wyciekach danych. Unijne regulacje mają zapewnić spójność i równość administratorów danych w tym zakresie – mówi Katarzyna Rutkowska-Bartoszek, inspektor ochrony danych osobowych w Citi Handlowym.