Obowiązki wynikające z KSC i ich wpływ na procedury ochrony danych osobowych

Bezpieczeństwo informacji (w tym danych osobowych)

KSC co do zasady nie wpływa bezpośrednio na treść obowiązków wynikających z RODO, jak również nie rodzi obowiązku tworzenia w tym zakresie uzupełniającej dokumentacji. KSC jest bowiem ustawą skupiającą się na technicznych aspektach ochrony informacji jako takiej.

Na podstawie art. 8 KSC operatorzy usług kluczowych są zobowiązani do wprowadzenia w ramach przedsiębiorstwa systemu zarządzania bezpieczeństwem w systemie informacyjnym. W praktyce może to oznaczać wdrożenie standardu „System Zarządzania Bezpieczeństwem Informacji” zgodnego z normą ISO/IEC 27001. Jest to obecnie jeden z najbardziej popularnych standardów służących do zabezpieczenia ochrony danych w przedsiębiorstwie.

Jak wynika z art. 8 KSC, ww. system zarządzania powinien uwzględniać:

  • prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu (zdarzenia, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – przyp. autora) oraz zarządzanie tym ryzykiem, co jest jednym z kluczowych elementów wdrożenia normy ISO/IEC 27001; w tym zakresie zasadne byłoby również dokonanie implementacji normy ISO 22301, która określa zasady zarządzania ciągłością działania usług w celu minimalizacji wpływu incydentów na działanie przedsiębiorstwa;
  • wdrożenie odpowiednich i proporcjonalnych do zminimalizowania wystąpienia ryzyka środków technicznych (np. kryptografia, profilowanie, oprogramowania antywirusowe, aktualizacje oprogramowania itp.) oraz organizacyjnych (np. kontrola dostępu do pomieszczeń, zarządzanie uprawnieniami dostępu, monitoring, regulaminy instalowania „zewnętrznego” oprogramowania);
  • przeciwdziałanie potencjalnym niebezpieczeństwom i reagowanie na powstałe naruszenia integralności systemu (sporządzanie kopii zapasowych celem przywrócenia ciągłości działania systemów, sporządzenie planów awaryjnych na wypadek zaistnienia incydentu, systematyczne aktualizacje oprogramowania, prowadzenie dzienników zdarzeń, ustalenie wewnętrznych procedur odnośnie zgłaszania incydentów, stosowanie zabezpieczeń w zależności od stopnia poufności informacji);
  • utrzymywanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa, np. dla celów zgłoszenia odpowiednim jednostkom zaistnienia incydentu;
  • prowadzenie dokumentacji z zakresu cyberbezpieczeństwa systemu informacyjnego służącego do świadczenia usługi kluczowej/cyfrowej.

Zgodnie z art. 17 ust. 2 KSC dostawcy usług cyfrowych są natomiast zobowiązani do podejmowania właściwych i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne. I choć nie spoczywa na nich obowiązek wdrożenia ww. systemu zarządzania bezpieczeństwem w systemie informacyjnym, to w celu realizacji zobowiązań nałożonych na mocy KSC oraz RODO (obie regulacje są oparte na zasadzie risk-based approach, czyli podejściu, w którym kluczowe jest bieżące szacowanie i analiza ryzyka), dobrą praktyką będzie wdrożenie w przedsiębiorstwie tak normy ISO/IEC 27001, jak i ISO 22301. Wniosek ten potwierdza brzmienie art. 17 ust. 2 i 3 KSC, zgodnie z którym dostawcy usług cyfrowych powinni wdrożyć m.in.: środki bezpieczeństwa systemów oraz obiektów, ustalić zasady postępowania dotyczącego obsługi incydentu, zarządzać ciągłością działania dostawcy, zapobiegać i minimalizować wpływ incydentów na świadczenie usługi cyfrowej.

Warto podkreślić, że wdrożenie w przedsiębiorstwie systemu zarządzania bezpieczeństwem w zgodzie z ww. normami ISO realizowałoby także cele wskazane w RODO, mianowicie:

  • art. 32 RODO, tj. zapewnienie bezpieczeństwa danych osobowych poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych,
  • art. 33 ust. 5 RODO, tj. dokumentowanie naruszeń danych osobowych, w tym okoliczności, skutków oraz podjętych działań zaradczych,
  • art. 35 RODO, tj. obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla danych osobowych w związku z rodzajem przetwarzania, który rodzi wysokie ryzyko naruszenia praw i wolności osoby fizycznej.

Wdrożenie wewnętrznych struktur organizacyjnych lub umowa z podmiotem świadczącym usługi w zakresie cyberbezpieczeństwa

Zgodnie z zapisami art. 14 ust. 1 KSC operatorzy usług kluczowych są dodatkowo zobowiązani do powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo bądź też do zawarcia umowy z podmiotem trzecim, który świadczy usługi w zakresie cyberbezpieczeństwa. Obowiązek ten jest ograniczony terminem trzymiesięcznym, liczonym od dnia doręczenia danemu podmiotowi decyzji o uznaniu go za operatora usługi kluczowej.

Wewnętrzne struktury organizacyjne lub podmiot zewnętrzny mają odpowiadać za obsługę cyberbezpieczeństwa w ramach przedsiębiorstwa. Możliwe jest więc, że w ramach tak świadczonych usług wsparcia technicznego będą przetwarzane dane osobowe osób fizycznych, w szczególności pracowników.

Osoby zatrudnione w wewnętrznych strukturach organizacyjnych powinny więc posiadać stosowne upoważnienia do przetwarzania danych osobowych z uwzględnieniem kategorii tych danych, które będą przetwarzane w ramach kompetencji właściwych dla danego stanowiska.

Z kolei w ramach umów w przedmiocie świadczenia usług z zakresu cyberbezpieczeństwa zawieranych z podmiotem zewnętrznym należałoby zawrzeć dodatkową umowę powierzenia przetwarzania danych osobowych (stanowiącą np. integralny załącznik do umowy głównej).

W przypadku zaś negocjowania przez operatora kluczowego postanowień „głównej” umowy o świadczenie usług cyberbezpieczeństwa, zawieranej z wyspecjalizowanym podmiotem zewnętrznym, należałoby zadbać o następujące postanowienia dotyczące:

  • oświadczeń podmiotu zewnętrznego dotyczących warunków organizacyjnych umożliwiających bezpieczną realizację umowy (jak np. wdrożenie w ramach włas­nej działalności ISO/IEC 27001, ISO 22301, stosowanie odpowiednich zabezpieczeń fizycznych);
  • określenia zobowiązań podmiotu zewnętrznego w zakresie:
  1. analizy ryzyka wystąpienia incydentów naruszających bezpieczeństwo działania systemu informatycznego,
  2. kontroli dostępu, w tym zarządzania systemem uwierzytelnień oraz nadawania odpowiednich uprawnień dostępowych w obrębie systemu konkretnym osobom (np. pracownikom), monitorowania działań użytkowników, które mogą rodzić ryzyko naruszenia integralności i bezpieczeństwa systemu,
  3. zapewnienia ciągłości działania systemu poprzez bieżące rejestrowanie naruszeń i natychmiastowe im przeciwdziałanie,
  4. zgłaszania incydentów odpowiednim jednostkom organizacyjnym, jak też obsługi i zarządzania incydentami (we współpracy z jednostkami organizacyjnymi),
  5. zabezpieczenia śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania;
  • zasad komunikowania się z operatorem kluczowym, zwłaszcza w zakresie wystąpienia i obsługi incydentów, wyznaczenia stosownych przedstawicieli do kontaktu;
  • zobowiązań do zachowania informacji poufnych w tajemnicy, w tym danych osobowych, jak i tajemnicy przedsiębiorstwa;
  • zasad nabywania praw własności intelektualnej (autor­skich lub wynikających z ustawy Prawo własności przemysłowej), w razie np. stworzenia w związku z rea­lizacją zawieranej umowy dedykowanego oprogramowania bądź nawet stworzenia odpowiedniej w tym zakresie dokumentacji;
  • zasad odpowiedzialności, w tym kar umownych;
  • zasad zakończenia trwania umowy, przy czym należy określić je w ten sposób, aby umożliwić realizację zasady ciągłości działania i bezpieczeństwa systemu.

Konieczność przeprowadzenia audytów

Na podstawie art. 15 KSC operatorzy kluczowi będą również zobowiązani do przeprowadzania audytu bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata. W tym zakresie operatorzy kluczowi powinni również rozważyć zawarcie dodatkowych umów powierzenia przetwarzania danych osobowych z podmiotami uprawnionymi do przeprowadzenia takiego audytu (podobnie jak w przypadku ww. umów z podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa).

Zgłaszanie incydentów

Ponadto każdy podmiot obowiązany na gruncie KSC (operatorzy usług kluczowych i dostawcy cyfrowi) winien dokonywać zgłoszeń wystąpienia incydentów do właściwego dla niego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym (CIRST) – „istotnych” w przypadku dostawców usług cyfrowych, „poważnych” w przypadku operatorów kluczowych. Zgłoszenia mogą być dokonywane za pomocą
formularzy, które udostępnia każdy CSIRT na swojej stronie internetowej, nie później niż w ciągu 24 godzin po wykryciu ww. incydentu. Formularze te są dostępne pod linkami:

  • CSIRT GOV: //csirt.gov.pl/cer/zglaszanie-incydentu/16,Zglaszanie-incydentu.html,
  • CSIRT MON: //csirt-mon.wp.mil.pl/pl/5.html,
  • CSIRT NASK: //incydent.cert.pl/.

Powyższy obowiązek często może się łączyć z koniecznoś­cią jednoczesnego zgłoszenia faktu naruszenia danych osobowych Prezesowi UODO, co również może być dokonane za pomocą formularza dostępnego na stronie internetowej urzędu: //uodo.gov.pl/pl/134/233 (np. gdy naruszyciel wszedł w posiadanie danych osobowych osób fizycznych korzystających z usługi). Tego rodzaju obowiązek wynika bowiem z art. 33 RODO.

Czynności przetwarzania w ramach systemu zarządzania bezpieczeństwem informacji

Z kolei w ramach funkcjonowania w przedsiębiorstwie operatorów kluczowych systemu zarządzania bezpieczeństwem systemu informacyjnego (bądź stosowania przez dostawców cyfrowych środków technicznych i organizacyjnych proporcjonalnych do ryzyka) można zidentyfikować przykładowe czynności przetwarzania danych osobowych:

  • stosowanie monitoringu wizyjnego, kontrolowanie dostępu do konkretnych pomieszczeń, ochrona obiektu przedsiębiorcy;
  • ewidencjonowanie haseł, prowadzenie rejestrów użytkowników systemu i ich uprawnień;
  • współpraca z firmami zewnętrznymi w zakresie przeglądu, konserwacji i naprawy sprzętu informatycznego;
  • współpraca z podmiotami w zakresie audytu bezpieczeństwa systemu informacyjnego (w przypadku operatorów kluczowych);
  • współpraca z podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa (w przypadku operatorów kluczowych);
  • obsługa zgłoszeń wystąpienia incydentów i zarządzanie nimi (współpraca z zespołami CIRST może wymagać podejmowania czynności przetwarzania danych osobowych, np. w celu zlokalizowania przyczyny wystąpienia incydentu, który był spowodowany jednostkowym działaniem użytkownika bądź w celu badania skali naruszeń; w tym kontekście warto zaznaczyć, że zespoły CIRST są z mocy KSC uprawnione do przetwarzania danych osobowych, które operator kluczowy lub dostawca usług cyfrowych przetwarza w swoim przedsiębiorstwie).

Wszystkie ww. czynności przetwarzania powinny być zamieszczone przez operatora kluczowego bądź dostawcę usług cyfrowych w rejestrze prowadzonym zgodnie z art. 30 RODO (rejestrze czynności przetwarzania danych osobowych).