Czy prawo nadąża za cyberprzestępczością i odpowiednio wspiera firmy?

W najnowszym artykule przedstawiamy regulacje związane z cyberprzestępczością i ochroną infrastruktury krytycznej. Podamy również przykład jak cyberprzestępczość paraliżuje biznes.

Gwałtowna globalizacja i cyfryzacja naszego życia to coś, co stało się naszą codziennością. Jednak wraz ze wzrostem liczby usług, które załatwiamy cyfrowo, lawinowo rozwija się także cyberprzestępczość i cyberterroryzm. Ofiarami cyberataków są nie tylko zwykli obywatele. Coraz częściej dotyka to przedsiębiorstwa, które w wyniku ataków nie mogą świadczyć swoich usług. Szczególnie dotkliwe stają się coraz częstsze ataki na infrastrukturę krytyczną. Liczba takich incydentów w Polsce gwałtownie wzrosła, zwłaszcza po agresji Rosji w Ukrainie. Pomoc udzielona przez Polskę Ukrainie spotkała się w odpowiedzi ze zmasowanym atakiem rosyjskich hakerów. Pod koniec grudnia 2024 r. krakowski system transportu miejskiego został na kilkanaście dni sparaliżowany w wyniku ataku hackerskiego przypisywanego Rosjanom – mieszkańcy nie mogli dokonywać zakupu biletów okresowych na komunikację miejską. Cyberataki są także niezwykle kosztowne, tylko w 2020 r. roczne straty dla światowej gospodarki z tytułu cyberprzestępczości wyniosły 5,5 biliona euro.

Infrastruktura krytyczna pod lupą: co należy chronić przed cyberprzestępczością?

Zgodnie z ustawą o zarządzaniu kryzysowym, infrastruktura krytyczna to systemy oraz powiązane z nimi funkcjonalnie obiekty, w tym:

• obiekty budowlane,
• urządzenia,
• instalacje,
• usługi najważniejsze dla bezpieczeństwa państwa i jego obywateli.

Służą one także zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorstw. Do infrastruktury krytycznej zaliczają się m.in. obiekty energetyczne, telekomunikacyjne, wodociągowe, ochrony zdrowia, transportowe, zapewniające ciągłość działania administracji publicznej. Są to więc systemy najważniejsze dla sprawnego funkcjonowania państwa, dostarczające obywatelom podstawowe i niezbędne usługi.

Prawo w sieci chaosu: czy legislacja nadąża za cyberprzestępczością?

Systemy te ze względu na ich znaczenie muszą być szczególnie chronione na drodze przepisów prawa. Państwo zaś ma stworzyć skuteczne procedury przeciwdziałania zakłóceniom oraz mechanizmy szybkiego reagowania w przypadku naruszeń. W praktyce jednak rządy państw i organizacje międzynarodowe nie nadążają z dostosowywaniem ustawodawstw do tempa rozwoju metod działania cyberprzestępców. Cyfryzacja postępuje zbyt dynamicznie, przez co nowo uchwalona ustawa, wprowadzająca mechanizmy walki z cyberprzestępczością, po kilku miesiącach może już być przestarzała. W konsekwencji, w ostatnich latach obserwujemy prawdziwe „tsunami” legislacyjne – szczególnie na poziomie unijnym. Co kilka miesięcy publikowane są nowe rozporządzenia i dyrektywy, które podejmują próbę uregulowania kolejnych aspektów naszego coraz bardziej cyfrowego życia.

Unijna konwencja o cyberprzestępczości

Pierwszą próbę unormowania wirtualnej przestrzeni w Europie podjęła Rada Europy 23 listopada 2001 roku – w Budapeszcie przyjęto konwencję o cyberprzestępczości. Miała ona ma na celu zapobieganie i zwalczanie cyberprzestępczości transgranicznej. Jednocześnie chroniła prawnie uzasadnionych interesów państw sygnatariuszy w stosowaniu i rozwoju technologii informatycznych. Prace nad Konwencją rozpoczęto w przekonaniu o konieczności prowadzenia wspólnej, ponadnarodowej polityki kryminalnej w obszarze sieci teleinformatycznych, a także w obliczu rosnącej świadomości rządów, iż cyberprzestępczość stanowi zagrożenie nie tylko dla jednostek, ale także dla całej infrastruktury publicznej. Dotyczy to kluczowych sektorów, takich jak bankowość, ruch lotniczy, telefonia, systemy dostaw energii elektrycznej, ochrona zdrowia czy edukacja. W ramach Konwencji po raz pierwszy zaproponowano definicje nowych typów przestępstw informatycznych, które stopniowo wprowadzano do ustawodawstw państw sygnatariuszy.

Kolejnym aktem unijnym, który kompleksowo reguluje kwestie europejskiego cyberbezpieczeństwa była dyrektywa NIS 1, przyjęta 6 lipca 2016 r. Nałożyła ona na państwa członkowskie szereg obowiązków. Zobligowała je do powołania konkretnych instytucji oraz do wdrożenia mechanizmów międzynarodowej współpracy w zakresie ochrony cyberprzestrzeni.

W ramach implementacji dyrektywy NIS w Polsce 1, w dniu 5 lipca 2018 r. przyjęto ustawę o krajowym systemie cyberbezpieczeństwa. Był to pierwszy w Polsce akt prawny, który koncentruje wyłącznie na obszarze cyberbezpieczeństwa i tworzy zespoły szybkiego reagowania na incydenty związane z bezpieczeństwem komputerowym, takie jak CSIRT.

Co zmieniła dyrektywa NIS 1?

Ustawa ta wprowadziła zmiany w szeregu innych, już obowiązujących aktów prawnych, w tym do ustaw:

• o zarządzaniu kryzysowym;
• o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;
• o działach administracji rządowej; o systemie oświaty;
• Prawa telekomunikacyjnego;
• Prawa zamówień publicznych.

Ponadto wprowadziła ustawową definicję cyberbezpieczeństwa – jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. Zdefiniowano również „operatora usług kluczowych” –czyli podmiot posiadający jednostkę organizacyjną na terytorium Polski, świadczący usługę kluczową zależną od systemów informacyjnych, której zakłócenie miałoby istotny wpływ na jej świadczenie. W efekcie wielu operatorów usług kluczowych jednocześnie spełnia kryteria podmiotu infrastruktury krytycznej. Ustawa nałożyła na operatorów usług kluczowych liczne obowiązki, m.in.: opracowanie mechanizmów szacowania ryzyka związanego z cyberbezpieczeństwem, wdrożenia skutecznych zabezpieczeń przed cyberatakami, raportowanie każdego poważniejszego incydentu do wyznaczonej ustawowo instytucji oraz wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo w danej instytucji. Tym samym ustawa ta stworzyła podwaliny ogólnokrajowego systemu szybkiego reagowania i minimalizowania skutków incydentów cyfrowych.

W ustawie o krajowym systemie cyberbezpieczeństwa szczególną wagę przywiązano do oceny i zarządzania ryzykiem. W obliczu coraz nowszych cyberzagrożeń regularne analizy ryzyka cybernetycznego pozwalają nie tylko identyfikować potencjalne zagrożenia, ale także opracowywać plany zarządzania ryzykiem. Plany te określają środki zapobiegawcze, wykrywające, reagujące i naprawcze. Obejmują m.in. politykę cyberbezpieczeństwa opartą na zasadach Zero Trust, a także konkretne wymagania dotyczące bezpieczeństwa, kontroli dostępów oraz zarządzania hasłami przez pracowników.

Nowe wyzwania? Nowe rozwiązania! NIS II w obliczu cyberbezpieczeństwa

Kolejny rozdział w europejskim cyberbezpieczeństwie otworzyła dyrektywa NIS 2, uchwalona 14 grudnia 2022 roku. Stanowiła odpowiedź na rosnące zagrożenia związane z cyberterroryzmem i cyberatakami. Przenoszenie coraz większej części działalności przedsiębiorstw do środowiska chmurowego, automatyzacja i komputeryzacja procesów wewnętrznych w firmach wymagały skuteczniejszych mechanizmów ochrony, których rozwiązania wypracowane w ramach dyrektywy NIS 1 już nie zapewniały.

NIS 2 to nie tylko zmiana nazwy, to przede wszystkim rozszerzenie zakresu regulacji. Nowe przepisy nałożyły obowiązki związane z zapewnieniem cyberbezpieczeństwa na kolejne sektory – od dostawców usług cyfrowych, przez administrację publiczną, aż po średnie i duże firmy w infrastrukturze krytycznej. Wraz z wejściem NIS2 podmioty zobowiązane nie mogą już się powoływać na niewiedzę odnośnie wymagań dotyczących cyberbezpieczeństwa, ponieważ nowe przepisy jasno określają ich obowiązki w zakresie zarządzania ryzykiem, raportowania incydentów oraz wdrażania odpowiednich środków ochrony.

W Polsce dyrektywa NIS 2 zostanie wdrożona poprzez nowelizację ustawy o cyberbezpieczeństwie. Choć termin implementacji dyrektywy NIS 2 upłynął w październiku 2024 r, to prace nad nowelizacją przez cały czas trwają. Ostatnia, czwarta wersja projektu nowelizacji została ogłoszona przez Ministerstwo Cyfryzacji 6 grudnia 2024 r. Nowe przepisy nałożą dodatkowe obowiązki na operatorów kluczowych usług, m.in. energetykę, bankowość, infrastrukturę cyfrową czy przemysł. Natomiast Krajowe Centrum Cyberbezpieczeństwa uzyska nowe uprawnienia kontrolne, regulacyjne czy dotyczące współpracy. Planowane są również mechanizmy usprawniające reakcję na cyberzagrożenia. Jak gwałtownie uda się je wdrożyć i jak skutecznie Polska zareaguje na niebezpieczeństwa? Czas pokaże.

Cyberprzestępczość paraliżuje biznes generując straty finansowe, niszcząc reputację i zakłócając operacje. W naszej kancelarii Chałas i Wspólnicy pomożemy Ci zarówno wdrożyć procedury cyberbezpieczeństwa zgodnie z NIS2, zarządzać incydentami i reprezentować Cię w sporach prawnych.

Skontaktuj się z nami, aby chronić swój biznes przed cyberzagrożeniem.

Marta Macuga, Adwokat w Kancelarii Prawnej Chałas i Wspólnicy

Potrzebujesz profesjonalnej porady prawnej? Skontaktuj się z nami-chętnie pomożemy.

Sprawdź inne wpisy na blogu