Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Podobne dokumenty
Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

(Akty ustawodawcze) DYREKTYWY

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Projekt załącznika do ustawy z dnia. (poz..) SEKTORY I PODSEKTORY DO CELÓW IDENTYFIKACJI OPERATORÓW USŁUG KLUCZOWYCH

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

***I PROJEKT SPRAWOZDANIA

z dnia. o krajowym systemie cyberbezpieczeństwa

PL Zjednoczona w różnorodności PL A8-0206/618

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Uzasadnienie I. Potrzeba i cel regulacji

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

PL Zjednoczona w różnorodności PL A8-0204/175. Poprawka 175 Karima Delli w imieniu Komisji Transportu i Turystyki

Dziennik Urzędowy Unii Europejskiej

PL Zjednoczona w różnorodności PL A8-0245/166. Poprawka 166 Jean-Marie Cavada w imieniu grupy ALDE

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

PL Zjednoczona w różnorodności PL A8-0206/324

(Tekst mający znaczenie dla EOG)

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

(Tekst mający znaczenie dla EOG)

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY I EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

(Akty ustawodawcze) ROZPORZĄDZENIA

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

PL Zjednoczona w różnorodności PL A8-0205/339

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

ZAŁĄCZNIK. Realizacja strategii jednolitego rynku cyfrowego

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Asseco dla Zdrowia r.

ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

Dziennik Urzędowy Unii Europejskiej L 277/23

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

Andrzej Ruciński XX FORUM TELEINFORMATYKI

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

ROZPORZĄDZENIE KOMISJI (UE) NR

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

PL Zjednoczona w różnorodności PL A8-0175/58. Poprawka. Bas Eickhout w imieniu grupy Verts/ALE

Cyberbezpieczeństwo modny slogan czy realny problem dla energetyki?

PL Zjednoczona w różnorodności PL A8-0206/428

(Tekst mający znaczenie dla EOG)

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

ZALECENIA. ZALECENIE KOMISJI (UE) 2019/534 z dnia 26 marca 2019 r. Cyberbezpieczeństwo sieci 5G

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny

Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

Promotor: dr inż. Krzysztof Różanowski

Kontrola dostępu do informacji w administracji publicznej

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY

Warszawa, dnia 21 listopada 2018 r. Poz ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 31 października 2018 r.

PARLAMENT EUROPEJSKI

EUROPEJSKI BANK CENTRALNY

przyjęta 12 marca 2019 r. Tekst przyjęty 1

RADA UNII EUROPEJSKIEJ. Bruksela, 12 lutego 2013 r. (13.02) (OR. en) 6342/13. Międzyinstytucjonalny numer referencyjny: 2013/0027 (COD)

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Chmura Krajowa milowy krok w cyfryzacji polskiej gospodarki

Demokracja elektroniczna (e-demokracja) to rządy demokratyczne z wykorzystaniem elektronicznych technologii komunikacyjnych.

PRELEGENT Przemek Frańczak Członek SIODO

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE)

ROZPORZĄDZENIE RADY (EURATOM, WE) NR 2185/96. z dnia 11 listopada 1996 r.

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO. na podstawie art. 294 ust. 6 Traktatu o funkcjonowaniu Unii Europejskiej. dotyczący

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Rada Unii Europejskiej Bruksela, 17 maja 2016 r. (OR. en)

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

PROJEKT SPRAWOZDANIA

12169/16 nj/md/mk 1 DGG3A

Delegacje otrzymują w załączniku konkluzje Rady na wyżej wymieniony temat przyjęte przez Radę ds. Rolnictwa i Rybołówstwa w dniu 18 czerwca 2019 r.

uwzględniając wniosek Komisji przedstawiony Parlamentowi i Radzie (COM(2013)0048),

DECYZJA WYKONAWCZA KOMISJI (UE) / z dnia r.

PARLAMENT EUROPEJSKI Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Prelegent : Krzysztof Struk Stanowisko: Analityk

przyjęta 4 grudnia 2018 r. Tekst przyjęty

ODPOWIEDZIALNOŚĆ CYWILNA PERSONELU KONTRAKTOWEGO A OCHRONA ŹRÓDŁA INFORMACJI NA PODSTAWIE ROZPORZĄDZENIA (UE) NR 376/2014

DECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne

Rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny

Identyfikacja i identyfikowalność artykułów spożywczych. Bronisze, r.

Komunikat KNF w sprawie cloud computing

Transkrypt:

Polsko-Amerykańskie Centrum Zarządzania Polish-American Management Center dr Joanna Kulesza Katedra prawa międzynarodowego i stosunków międzynarodowych WPiA UŁ Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa? Seminarium: W drodze do menedżerskiej doskonałości 19 maja 2017 2 PAM Center 2017 1

3 4 PAM Center 2017 2

5 6 PAM Center 2017 3

7 8 PAM Center 2017 4

Dyrektywa NIS 9 NIS Directive 10 PAM Center 2017 5

(1) Sieci oraz systemy i usługi informatyczne pełnią ważną rolę w społeczeństwie. Ich niezawodność i bezpieczeństwo mają zasadnicze znaczenie dla działalności gospodarczej i społecznej, w szczególności dla funkcjonowania rynku wewnętrznego. (2) Skala, częstotliwość oraz wpływ incydentów w zakresie bezpieczeństwa stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Systemy te mogą się również stać obiektem umyślnych szkodliwych działań, mających na celu uszkodzenie lub przerwanie ich działania. Tego typu incydenty mogą utrudniać prowadzenie działalności gospodarczej, powodować znaczne straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty w gospodarce Unii. (3) Sieci i systemy informatyczne, a przede wszystkim internet, odgrywają istotną rolę w ułatwianiu transgranicznego przepływu towarów, usług i osób. Ze względu na ponadnarodowy charakter tych systemów, ich znaczne zakłócenia niezależnie od tego, czy umyślne czy nieumyślne, oraz niezależnie od tego, gdzie występują mogą mieć wpływ zarówno na poszczególne państwa członkowskie, jak i na całą na Unię. Bezpieczeństwo sieci i systemów informatycznych ma zatem zasadnicze znaczenie dla sprawnego funkcjonowania rynku wewnętrznego. (62) Incydenty mogą być wynikiem przestępstw, w odniesieniu do których zapobieganie, prowadzenie postępowania przygotowawczego i ściganie jest wspierane przez koordynację i współpracę między operatorami usług kluczowych, dostawcami usług cyfrowych, właściwymi organami i organami ścigania. W razie podejrzenia, że incydent ma związek z poważnymi przestępstwami w rozumieniu prawa Unii lub prawa krajowego, państwa członkowskie powinny zachęcać operatorów usług kluczowych i dostawców usług cyfrowych, aby zgłaszali odpowiednim organom ścigania incydenty noszące znamiona poważnego przestępstwa. (63) W wielu przypadkach istnieje niebezpieczeństwo naruszenia danych osobowych w wyniku incydentów. W tym kontekście właściwe organy oraz organy ochrony danych powinny ze sobą współpracować oraz wymieniać się informacjami dotyczącymi wszystkich istotnych kwestii w celu rozwiązywania problemów związanych z wszelkimi przypadkami naruszeń danych osobowych w wyniku incydentów. PAM Center 2017 6

(7) W celu uwzględnienia wszystkich istotnych incydentów i ryzyk niniejsza dyrektywa powinna mieć zastosowanie zarówno do operatorów usług kluczowych, jak i dostawców usług cyfrowych. ( ) (20) W procesie identyfikowania operatorów usług kluczowych państwa członkowskie powinny dokonywać oceny ( ) tego, które usługi muszą być uznane za kluczowe dla utrzymania krytycznej działalności społecznej i gospodarczej, oraz tego, czy podmioty zaliczone do sektorów i podsektorów, o których mowa w niniejszej dyrektywie, oraz świadczące te usługi, spełniają kryteria identyfikacji operatorów. (44) Odpowiedzialność za zapewnienie bezpieczeństwa sieci i systemów informatycznych w dużym stopniu spoczywa na operatorach usług kluczowych i dostawcach usług cyfrowych. Za pomocą odpowiednich wymogów regulacyjnych i dobrowolnych praktyk branżowych należy wspierać i rozwijać kulturę zarządzania ryzykiem, obejmującą przeprowadzanie ocen ryzyka i wdrażanie środków bezpieczeństwa odpowiednich dla danego ryzyka. ( ) (50) Mimo iż producenci sprzętu i twórcy oprogramowania nie są operatorami usług kluczowych ani dostawcami usług cyfrowych, ich produkty zwiększają bezpieczeństwo sieci i systemów informatycznych. Odgrywają oni zatem ważną rolę w umożliwianiu operatorom usług kluczowych i dostawcom usług cyfrowych zabezpieczenia ich sieci i systemów informatycznych. PAM Center 2017 7

(43) Ze względu na globalny charakter problemów związanych z bezpieczeństwem sieci i systemów informatycznych istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm bezpieczeństwa i wymiany informacji oraz w celu propagowania wspólnego całościowego podejścia do kwestii bezpieczeństwa. (52) Operatorzy usług kluczowych i dostawcy usług cyfrowych powinni zapewniać bezpieczeństwo sieci i systemów informatycznych, których używają. Dotyczy to przede wszystkim prywatnych sieci i systemów informatycznych, które są zarządzane przez własny personel informatyczny lub dla których zapewnienie bezpieczeństwa zlecono na zewnątrz. ( ) (53) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na operatorów usług kluczowych i dostawców usług cyfrowych, wymogi powinny być proporcjonalne do ryzyka związanego z daną siecią oraz danym systemem informatycznym oraz powinny uwzględniać najnowszy stan wiedzy na temat takich środków. ( ) Art. 4. 4) operator usług kluczowych oznacza podmiot publiczny lub prywatny, należący do jednego z rodzajów, o których mowa w załączniku II, spełniający kryteria określone w art. 5 ust. 2; 5) usługa cyfrowa oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 (1), która należy do jednego z rodzajów wymienionych w załączniku III; 6) dostawca usług cyfrowych oznacza każdą osobę prawną, która świadczy usługi cyfrowe; PAM Center 2017 8

ZAŁĄCZNIK II RODZAJE PODMIOTÓW DO CELÓW ART. 4 PKT 4 1. Energetyka a) Energia elektryczna b) Ropa naftowa c) Gaz 2. Transport a) Transport lotniczy b) Transport kolejowy c) Transport wodny d) Transport drogowy 3. Bankowość - instytucje kredytowe zgodnie z definicją w art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013(13) 4. Infrastruktura rynków finansowych operatorzy systemu obrotu zgodnie z definicją w art. 4 pkt 24 dyrektywy Parlamentu Europejskiego i Rady 2014/65/UE(14) kontrahenci centralni zgodnie z definicją w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 648/2012(15) 5. Służba zdrowia 6. Zaopatrzenie w wodę pitną i jej dystrybucja 7. Infrastruktura cyfrowa: IXP; dostawcy usług DNS; rejestry nazw TLD 17 (9) Niektóre sektory gospodarki są już regulowane lub mogą być w przyszłości regulowane sektorowymi aktami prawnymi Unii, które zawierają przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych. W każdym przypadku gdy wspomniane akty prawne Unii zawierają przepisy nakładające wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych lub zgłoszeń incydentów, przepisy te należy stosować, o ile zawierają wymogi, które są co najmniej równoważne pod względem skutku obowiązkom zawartym w niniejszej dyrektywie. PAM Center 2017 9

ZAŁĄCZNIK III RODZAJE USŁUG CYFROWYCH DO CELÓW ART. 4 PKT 5 1. Internetowa platforma handlowa. 2. Wyszukiwarka internetowa. 3. Usługa przetwarzania w chmurze. 17) internetowa platforma handlowa oznacza usługę cyfrową, która umożliwia konsumentom lub przedsiębiorcom zdefiniowanym odpowiednio w art. 4 ust. 1 lit. a) i lit. b) dyrektywy Parlamentu Europejskiego i Rady 2013/11/UE (1) zawieranie online umów dotyczących sprzedaży lub usług z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który używa usług komputerowych świadczonych przez internetową platformę handlową; PAM Center 2017 10

18) wyszukiwarka internetowa oznacza usługę cyfrową, która umożliwia użytkownikom wyszukiwanie co do zasady wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania na jakikolwiek temat przez podanie słowa kluczowego, wyrażenia lub innej wartości wejściowej; w wyniku przedstawia ona odnośniki, pod którymi można znaleźć informacje związane z zadanym zapytaniem; 19) usługa przetwarzania w chmurze oznacza usługę cyfrową umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania. wyzwania: zakres pojęcia infrastruktura krytyczna? obowiązki przedsiębiorców? zobowiązania finansowe państwa? wymiana informacji (tajemnice handlowe, państwowe, informacje poufne)? PAM Center 2017 11

Artykuł 21 Sankcje Państwa członkowskie ustanawiają przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych na podstawie niniejszej dyrektywy i podejmują wszystkie niezbędne środki w celu zapewnienia ich wykonania. Przewidziane sankcje muszą być skuteczne, proporcjonalne i odstraszające. Państwa członkowskie powiadamiają Komisję o tych przepisach i środkach do dnia 9 maja 2018 r., a także powiadamiają ją niezwłocznie o wszelkich późniejszych zmianach, które ich dotyczą PAM Center 2017 12

Polsko-Amerykańskie Centrum Zarządzania Polish-American Management Center Problem z Internetem PAM Center 2017 13

27 warstwy Internetu Polsko-Amerykańskie Centrum Zarządzania 2017 28 J. Kurbalija, Introduction to Internet Governance PAM Center 2017 14

Warstwy Internetu warstwa fizyczna warstwa logiczna warstwa treści Kto reguluje warstwy? warstwa fizyczna dostawcy usług (np. Orange S.A.) warstwa logiczna organizacje techniczne (np. ICANN) warstwa treści rządy krajowe/społeczności PAM Center 2017 15

Polsko-Amerykańskie Centrum Zarządzania 2017 J. Kurbalija, Introduction to Internet Governance 31 Polsko-Amerykańskie Centrum Zarządzania 2017 32 Pieter Bruegel the Elder@WikiCmmons PAM Center 2017 16

Podsumowanie standard należytej staranności w cyberprzestrzeni? umowa międzynarodowa dotycząca zasad cyberprewencji? zasady prawnej odpowiedzialności operatorów / dostawców? konieczność współpracy międzynarodowej wielopodmiotowe zarządzanie Internetem 33 Dziękuję za uwagę PAM Center 2017 17

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres