Nowe obowiązki dostawców usług cyfrowych

28 sierpnia 2018 r. wejdzie w życie ustawa o krajowym systemie cyberbezpieczeństwa.

Ustawa obejmuje (poza m.in. jednostkami administracji, instytutami badawczymi, NBP i BGK) operatorów usług kluczowych, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz dostawców usług cyfrowych.

Ustawy nie stosuje się do przedsiębiorców telekomunikacyjnych oraz dostawców usług zaufania.

Dostawca usług cyfrowych

Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadcząca usługę cyfrową.

Wyłączeni są mikroprzedsiębiorcy i mali przedsiębiorcy (sprawdź definicję: Mikro, mały, średni i duży przedsiębiorca).

Usługi cyfrowe

Ustawa wyróżnia trzy rodzaje usług cyfrowych:

1. internetowa platforma handlowa:
usługa umożliwiająca konsumentom lub przedsiębiorcom zawieranie umów drogą elektroniczną z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który korzysta z usług świadczonych przez internetową platformę handlową;

2. usługa przetwarzania w chmurze:
usługa umożliwia dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników;

3. wyszukiwarka internetowa:
usługa, która umożliwia użytkownikom wyszukiwanie wszystkich stron internetowych lub stron internetowych wdanym języku za pomocą zapytania przez podanie słowa kluczowego, wyrażenia lub innego elementu, przedstawiającą w wyniku odnośniki, odnoszące się do informacji związanych z zapytaniem.

Obowiązki dostawcy usług cyfrowych

Dostawca usług cyfrowych zobowiązany jest podjąć właściwe i proporcjonalne środki techniczne i organizacyjne zapewniające cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniające bezpieczeństwo systemów informacyjnych i obiektów, postępowanie w przypadku obsługi incydentu, zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej, monitorowanie, audyt, testowanie oraz najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi.

Dostawca usług cyfrowych zobligowany jest także do wykrywania, rejestrowania, analizowania oraz klasyfikowania incydentów, umożliwienia (w niezbędnym zakresie) dostępu do informacji dla właściwego organu oraz zgłaszania incydentów.

Podstawa prawna: ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018, poz. 1560).