Prawne aspekty cyberbezpieczeństwa

W związku z cyfryzacją i elektronizacją, coraz więcej czynności i zadań realizowanych jest przez internet. Jednocześnie wzrasta świadomość zarówno przedsiębiorców, jak i konsumentów, w obszarze cyberbezpieczeństwa, do czego przyczynia się z pewnością tworzenie unijnych i krajowych ram prawnych w tym zakresie.

Wciąż brak jest jednak jednej, kompleksowej regulacji w obszarze cyberbezpieczeństwa. Zapewnienie compliance wymaga obecnie wzięcia pod uwagę m.in. przepisów ustawy o krajowym systemie cyberbezpieczeństwa i rozporządzeń wydanych na jej podstawie, prawa telekomunikacyjnego (a po implementacji europejskiego kodeksu łączności elektronicznej – prawa komunikacji elektronicznej), RODO, jak również norm oraz wytycznych i rekomendacji wydawanych przez ENISA, KNF lub innych regulatorów.

Cel szkolenia

Praktycznym celem szkolenia jest nakreślenie ram prawnych i obowiązków wynikających z przedstawionych regulacji dla podmiotów zobowiązanych, w tym operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów administracji publicznej. Warsztat skupi się również na kwestiach regulacji tych zagadnień w umowach z dostawcami IT – nakreślone zostaną kluczowe postanowienia, które powinny zostać wprowadzone do umów, a także konsekwencje ich braku, zwłaszcza w obszarze odpowiedzialności i rozwiązywania umów. Ostatni blok zagadnień dotyczyć będzie odpowiedzialności karnej, administracyjnej i cywilnej w obszarze cyberbezpieczeństwa.

Uczestnicy szkolenia uzyskają odpowiedź m.in. na następujące pytania:

• Jakie przepisy oraz soft law regulują zagadnienia z zakresu cyberbezpieczeństwa?
• Kto podlega ustawie o krajowym systemie cyberbezpieczeństwa oraz jakie obowiązki ona nakłada?
• Czy dostawcy usług chmurowych muszą raportować incydenty?
• Jak uregulować w umowie IT (np. wdrożenie, serwis) kwestie cyberbezpieczeństwa?
• Kto i na jakich zasadach ponosi odpowiedzialność za naruszenie cyberbezpieczeństwa?

Szkolenie realizowane przy współpracy z:

Centrum Promocji Informatyki (CPI)

Firma edukacyjna działająca na rynku od 1992 r. Realizuje szkolenia, warsztaty, konferencje specjalistyczne z zakresu: prawa, finansów, informatyki i biznesu stosując nowoczesne metody szkoleniowe. Organizowane szkolenia to gwarancja wysokiej jakości i profesjonalizmu będącego wynikiem ponad 30-letniego doświadczenia.

Współadministratorami danych osobowych są Wydawnictwo C.H.Beck Sp. z o.o. i Centrum Promocji Informatyki Sp. z o.o. Dane przetwarzamy dla realizacji umowy, powiązanych obowiązków prawnych i organizacji szkolenia. Przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.

I. Ramy prawne w obszarze cyberbezpieczeństwa.

1. Regulacje unijne, w tym:

1. • dyrektywa NIS,
   • RODO,
   • Akt o cyberbezpieczeństwie,
   • europejski kodeks łączności elektronicznej.
2. Regulacje krajowe, w tym:
   • ustawa o krajowym systemie cyberbezpieczeństwa,
   • prawo telekomunikacyjne,
   • projekt prawa komunikacji elektronicznej.
3. Soft law, wytyczne i normy.

II. Obowiązki podmiotów krajowego systemu cyberbezpieczeństwa.

1. Operatorzy usług kluczowych:
   • tryb wyznaczenia,
   • w jakich sektorach mogą działać operatorzy usług kluczowych?
   • obowiązki na osi czasu – kiedy należy je wdrożyć,
   • wewnętrzne struktury vs. outsourcing funkcji cyberbezpieczeństwa.
2. Dostawcy usług cyfrowych: 
   • kogo można uznać za dostawców usług cyfrowych,
   • ograniczony charakter obowiązków,
   • obowiązki w zakresie incydentów.
3. Podmioty publiczne.
4. Inne podmioty krajowego systemu cyberbezpieczeństwa (CSIRTy, organy właściwe ds. cyberbezpieczeństwa).

III. Zamawianie usług cyberbezpieczeństwa.

1. Weryfikacja i wybór dostawcy usługi – na co zwrócić uwagę?
2. Postępowanie w sprawie wyboru dostawcy:
   • prowadzone w oparciu o regulacje wewnętrzne,
   • postępowanie w trybie PZP.
3. Tryby zamawiania usług i dostaw z zakresu cyberbezpieczeństwa w ramach PZP:
   • instrumenty dostępne w ramach zamówień klasycznych/sektorowych,
   • zamówienia z dziedziny obronności i bezpieczeństwa,
   • wyłączenie PZP z uwagi na istotny interes bezpieczeństwa państwa.
4. Certyfikacja usług i produktów w zakresie cyberbezpieczeństwa – Akt o cyberbezpieczeństwie.

IV. Cyberbezpieczeństwo w umowach.

1. Rodzaje umów w zakresie cyberbezpieczeństwa: 
   • NDA,
   • umowy outsourcingu,
   • umowy na pentesty,
   • umowy IT: wdrożenia, serwis, licencje ze wsparciem technicznym.
2. Jakie kwestie warto wziąć pod uwagę na różnym etapie współpracy z dostawcą:
   • przygotowanie i negocjacje umowy,
   • realizacja umowy.
3. Zasady odpowiedzialności wynikające z przepisów i możliwość ich modyfikacji w umowie.
4. Inne istotne obszary umowy: 
   • przedmiot umowy (dzieło vs usługi),
   • personel i podwykonawcy,
   • raportowanie i komunikacja,
   • wsparcie w realizacji obowiązków nałożonych ustawą o KSC.

V. Odpowiedzialność za naruszenie cyberbezpieczeństwa

1. Rodzaje odpowiedzialności za naruszenie cyberbezpieczeństwa:

1. • odpowiedzialność administracyjna,
   • odpowiedzialność karna,
   • odpowiedzialność pracownicza,
   • odpowiedzialność cywilna.
2. Krajowy system cyberbezpieczeństwa:
   • uprawnienia organu właściwego ds. cyberbezpieczeństwa,
   • nadzór i kontrola,
   • wysokość i podstawy do nałożenia kar,
   • na kogo może zostać nałożona kara?
3. Inne podstawy odpowiedzialności administracyjnej – RODO i regulacje sektorowe.
4. Odpowiedzialność karna: 
   • przestępstwa przeciwko ochronie informacji,
   • tryb ścigania i aspekty dowodowe.
5. Odpowiedzialność pracownicza: 
   • sposób regulacji odpowiedzialności w umowie i regulacjach wewnętrznych,
   • zakres odpowiedzialności i tryb jej egzekwowania.
6. Odpowiedzialność cywilna: 
   • za co odpowiada dostawca IT?
   • roszczenia odszkodowawcze i kary umowne,
   • znaczenie norm i przepisów branżowych,
   • case studies – wyłączenie odpowiedzialności,
   • cyberpolisy.