Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Cyberbezpieczeństwo to nie tylko technologia – to skomplikowana układanka prawna i organizacyjna. Jak zapewnić skuteczną ochronę informacji w świecie, gdzie dane stały się bardzo cennym zasobem, a cyberataki codziennością? Nasz artykuł rzuca światło na złożony krajobraz regulacji – od prawa UE po polskie przepisy i branżowe standardy. Poznaj kluczowe akty prawne i wytyczne, które kształtują współczesne podejście do bezpieczeństwa informacji, i dowiedz się, jak stworzyć system ochrony dopasowany do potrzeb Twojej organizacji.
Bezpieczeństwo informacji – mapa aktów prawnych i wytycznych
W dobie cyfrowej transformacji i rosnących zagrożeń w cyberprzestrzeni, bezpieczeństwo informacji stało się kluczowym aspektem funkcjonowania każdej organizacji, zarówno w sektorze publicznym, jak i prywatnym. Wdrożenie odpowiednich procedur i mechanizmów ochrony danych wymaga nie tylko wiedzy technicznej, ale przede wszystkim dogłębnego zrozumienia złożonego krajobrazu prawnego regulującego tę materię.
Analizując poszczególne regulacje, należy mieć na uwadze ich hierarchię oraz wzajemne powiązania. Prawo unijne, w tym rozporządzenia bezpośrednio stosowane we wszystkich państwach członkowskich oraz dyrektywy wymagające implementacji do prawa krajowego, stanowi fundament systemu ochrony informacji. Na tym gruncie budowane są krajowe akty prawne, które doprecyzowują i uzupełniają regulacje unijne w kontekście specyfiki polskiego systemu prawnego.
Oprócz aktów stricte prawnych istotną rolę w kształtowaniu standardów bezpieczeństwa informacji odgrywają również wytyczne organów nadzorczych, kodeksy postępowania oraz normy. Choć nie mają one charakteru powszechnie obowiązującego prawa, to ich przestrzeganie jest często kluczowe dla zapewnienia zgodności z wymogami prawnymi i branżowymi.
Sprawdź również: Normy ISO dotyczące bezpieczeństwa informacji
Czym jest bezpieczeństwo informacji?
Bezpieczeństwo informacji/system zarządzania bezpieczeństwa informacji (Information Security Management System, ISMS) to zorganizowany zbiór polityk, procedur, technicznych i fizycznych środków zapewniających ochronę informacji przed nieautoryzowanym dostępem, użyciem, ujawnieniem, zakłóceniem, modyfikacją lub zniszczeniem. System ten obejmuje zarządzanie ryzykiem i koncentruje się na ochronie integralności, poufności oraz dostępności danych.
Kwestie bezpieczeństwa informacji najbardziej kompleksowo zostały opisane w normach ISO rodziny ISO/IEC 27000, które stanowią międzynarodowe standardy dotyczące zarządzania bezpieczeństwem informacji, opracowane przez Międzynarodową Organizację Normalizacyjną (ISO) oraz Międzynarodową Komisję Elektrotechniczną (IEC). Obejmują one szeroki zakres tematów, od ogólnych wytycznych dotyczących zarządzania bezpieczeństwem informacji po bardziej specjalistyczne aspekty takie jak bezpieczeństwo chmury czy ochrona prywatności.
Lista najważniejszych aktów prawnych dot. bezpieczeństwa informacji
W zależności od tego czy prowadzisz firmę publiczną czy też prywatną lub z udziałem Skarbu Państwa, produkcyjną, czy też firmę działającą wyłącznie online, czy też przedsiębiorstwo działające zarówno online’owo jak i stacjonarnie oraz czy jesteś dostawcą usług kluczowych, zastosowanie mogą mieć inne akty prawne. Poniżej przedstawiam listę ogólną bez rozróżnienia na poszczególne typy przedsiębiorców. Może okazać się, że pomimo braku spełniania przesłanek do zastosowania danych przepisów prawa, w ramach dobrej praktyki rynkowej dobrze byłoby je wdrożyć (przynajmniej częściowo) albo chociaż je znać.
Akty prawne na poziomie Unii Europejskiej:
- rozporządzenie w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (akt w sprawie zarządzania danymi);
- rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej;
- rozporządzenie w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (akt w sprawie sztucznej inteligencji);
- dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dyrektywa NIS 2);
- rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych);
- rozporządzenie w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (akt o cyberbezpieczeństwie).
Akty prawne na poziomie prawa krajowego:
- kodeks cywilny;
- ustawa o krajowym systemie cyberbezpieczeństwa;
- ustawa o ochronie danych osobowych;
- ustawa o ochronie informacji niejawnych.
Akty prawne wykonawcze na poziomie prawa krajowego:
- rozporządzenie Rady Ministrów w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
- rozporządzenie Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych;
- rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny;
- rozporządzenie Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa;
- rozporządzenie z dnia w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Lista innych dokumentów niż akty prawne dot. bezpieczeństwa informacji
Poza ww. aktami prawnymi oraz innymi przepisami branżowymi warto zapoznać się i wziąć pod uwagę podczas przygotowywania i wdrażania procedur związanych z bezpieczeństwem informacji poniższe dokumenty i wytyczne:
- Strategia Cyberbezpieczeństwa RP na lata 2021-2025;
- Standardy Kategoryzacji Bezpieczeństwa;
- Minimalne wymagania bezpieczeństwa informacji i systemów informatycznych podmiotów publicznych;
- Zabezpieczenia i ochrona prywatności systemów informatycznych oraz organizacji;
- Zarządzanie ryzykiem bezpieczeństwa informacji;
- Podręcznik postępowania z incydentami naruszenia bezpieczeństwa komputerowego;
- Słownik kluczowych pojęć z zakresu cyberbezpieczeństwa;
- Kodeksy postępowania przyjęte przez zagraniczne Urzędy ds. Ochrony Danych Osobowych;
- Wytyczne Grupy Roboczej art. 29;
- Normy ISO.
Podsumowanie
Bezpieczeństwo informacji w dzisiejszym cyfrowym świecie stanowi fundamentalny aspekt funkcjonowania każdej organizacji. Niniejszy artykuł przedstawił kompleksową mapę aktów prawnych i wytycznych, które tworzą ramy dla skutecznej ochrony danych i informacji.
Omówiliśmy hierarchię regulacji, począwszy od prawa Unii Europejskiej, poprzez krajowe akty prawne, aż po normy i wytyczne branżowe. Wskazaliśmy kluczowe dokumenty, takie jak RODO, dyrektywa NIS 2, czy ustawa o krajowym systemie cyberbezpieczeństwa, które kształtują współczesne podejście do bezpieczeństwa informacji.
Podkreśliliśmy znaczenie nie tylko samych aktów prawnych, ale również wytycznych, standardów i dobrych praktyk, które uzupełniają formalne regulacje. Szczególną uwagę zwróciliśmy na dokumenty takie jak Strategia Cyberbezpieczeństwa RP czy normy ISO, które dostarczają praktycznych wskazówek dla organizacji.
Kluczowym wnioskiem z naszej analizy jest konieczność indywidualnego podejścia każdej organizacji do kwestii bezpieczeństwa informacji. Chociaż przedstawione ramy prawne i wytyczne stanowią solidną podstawę, to skuteczna ochrona danych wymaga dostosowania procedur do specyfiki działalności i unikalnych wyzwań stojących przed danym podmiotem.
Mamy nadzieję, że niniejszy artykuł stanowi wartościowy punkt wyjścia dla organizacji w procesie budowania i doskonalenia systemów bezpieczeństwa informacji, pomagając nawigować w złożonym krajobrazie prawnym i technologicznym współczesnego świata cyfrowego.