1. KSCu nie jest nowym RODO
Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje swym zasięgiem dość precyzyjnie określony krąg podmiotów. Są to przede wszystkim tzw. operatorzy usług kluczowych, wyznaczonych na podstawie decyzji właściwego ministra oraz dostawcy usług cyfrowych, świadczący m.in. usługi chmurowe, usługi dla przeglądarek internetowych czy internetowych platform handlowych. Jest to znacząca różnica w stosunku do RODO, które wprowadziło jednolity standard dla wszystkich podmiotów, przetwarzających dane osobowe w związku z działalnością w UE. Wykonywanie obowiązków określonych w KSCu może więc, choć nie musi, wiązać się z przetwarzaniem danych osobowych. Jeśli tak się stanie, podmiot zobowiązany musi zapewnić zgodność swojego działania nie tylko z przepisami w zakresie cyberbezpieczeństwa, ale również z RODO i właściwymi przepisami krajowymi w obszarze danych osobowych. Będzie to miało szczególne znaczenie w przypadku nakładania się na siebie regulacji dotyczących naruszeń bezpieczeństwa, dotykających danych osobowych i mogących powodować wysokie ryzyka dla osób fizycznych, których te dane dotyczą.
Czytaj także: Krajowy system cyberbezpieczeństwa ma ułatwić walkę z przestępczością w internecie
2. Podejście oparte na ryzyku jest kluczem do KSCu
KSCu wprowadza konieczność prowadzenia analizy zagrożeń i podatności systemów informatycznych przez podmioty objęte działaniem ustawy. Muszą one również dostosować wdrażane przez siebie rozwiązania, zarówno techniczne, jak i organizacyjne, w sposób i w zakresie adekwatnym do zidentyfikowanych ryzyk (tzw. risk-based approach). W razie potrzeby na uczestniku Krajowego Systemu Bezpieczeństwa będzie ciążyć obowiązek wykazania, że przyjęte rozwiązania są odpowiednie i proporcjonalne dla stwierdzonych okoliczności. W praktyce oznacza to konieczność bardzo elastycznego podejścia do ustanowionych przepisów – podmioty objęte działaniem ustawy powinny posiadać zdolność sprawnego reagowania na zmieniające się uwarunkowania, a jednocześnie być w stanie uzasadnić i wykazać prawidłowość prowadzonych przez siebie działań. Część podmiotów, których dotyczy ustawa, może być już teraz dobrze przygotowana do wymagań KSCu, np. sektor finansowy lub energetyczny. Dla innych z kolei, np. niektórych dostawców usług cyfrowych, sprostanie wymogom KSCu może okazać się nie lada wyzwaniem i wymagać będzie częściowej zmiany kultury organizacyjnej. Filozofia skoncentrowania działań organizacji na ocenie i analizie ryzyka stanowi także trzon RODO. Z tego względu doświadczenia nabyte w procesie wdrożenia rozporządzenia mogą być również przydatne w procesie implementacji wymogów KSCu w zobowiązanych do tego organizacjach.
3. Zgłaszanie incydentów w terminie 24 godzin
KSCu przewiduje obowiązek zgłaszania incydentów właściwym organom, jednak różnicuje te obowiązki w zależności od rodzaju podmiotu i typu stwierdzonego incydentu. Jest to kolejny wymóg , który – choć na pierwszy rzut oka, przywodzi na myśl RODO – w rzeczywistości może stanowić kolejne, nowe i niełatwe wyzwanie dla podmiotów zobowiązanych do stosowania ustawy.
Jako incydent, zgodnie z art. 2 pkt 5 ustawy, zostało zdefiniowane każde zdarzenie, które ma lub może wpływać niekorzystnie na cyberbezpieczeństwo. Pojemna definicja obarcza zasadniczą odpowiedzialnością podmiot zobowiązany do stosowania ustawy. Zgodnie z zasadą risk-based approach będzie on zobowiązany nie tylko samodzielnie stwierdzić, czy ma do czynienia z incydentem, ale także zakwalifikować go do jednego z czterech rodzajów i podjąć stosowne działania. Definicje poszczególnych typów incydentów są skonstruowane w sposób, który może okazać się stosunkowo mało czytelny, co może komplikować proces wdrażania KSCu w codziennym stosowaniu.