RODO a NIS – wiele podobieństw, ale inne szacowanie ryzyka

W ostatnich miesiącach w Unii Europejskiej odbyła się dyskusja na temat wdrażania wymogów RODO, czyli unijnego rozporządzenia o ochronie danych osobowych (nr 2016/679 z 27 kwietnia 2016 r.; Dz.Urz. UE z 2016 r. L 119, s. 1). Stosunkowo niewiele mówi się jednak o kwestiach implementacji NIS – dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE (Dz.Urz. UE z 2016 r. L 194, s. 1), która nałożyła obowiązek zbudowania w poszczególnych państwach wspólnoty krajowych systemów skutecznie zwalczających oraz minimalizujących ryzyko ataków hakerskich i innych incydentów naruszających bezpieczeństwo informatyczne. W Polsce jej przepisy implementowała ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560, dalej: u.k.s.c.). Tymczasem materia obu regulacji się krzyżuje, a punktem styku jest kwestia bezpieczeństwa informacji. Zakresem zastosowania u.k.s.c. objęte zostały podmioty publiczne, w tym jednostki samorządu terytorialnego oraz ich związki.

Obszar wymogów

RODO (wdrażane w Polsce m.in. ustawą z 10 maja 2018 r. o ochronie danych osobowych, Dz.U. poz. 1000 ze zm.) dotyczy ochrony danych osobowych nie tylko w aspekcie bezpieczeństwa. Obszar kluczowych kryteriów (uszczegóławianych w konkretnych przepisach) obejmuje:

• zgodność z prawem, rzetelność i przejrzystość,
• ograniczenie celu,
• minimalizację danych,
• prawidłowość,
• ograniczenie przechowywania,
• integralność i poufność,
• rozliczalność.

Tradycyjne, np. wskazane w normie ISO 27001, atrybuty bezpieczeństwa informacji, czyli poufność i integralność (obok dostępności), ujęte są jako jedna z generalnych zasad RODO. Chodzi ogólnie o to, aby dane osobowe nie zostały przejęte, utracone lub zmienione przez podmiot nieuprawniony. Istotne jest przy tym bezpieczeństwo danych osobowych przetwarzanych tradycyjnie (w zbiorach, np. papierowe teczki pracowników), a także w sposób całkowicie lub częściowo zautomatyzowany (np. systemy IT). Co istotne, RODO nie chroni wszystkich informacji, a wyłącznie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (a nie np. dane statystyczne).

Inaczej jest przy u.k.s.c., dotyczącej systemu cyberbezpieczeństwa. Nie wskazuje ona kategorii chronionych informacji. Chodzi o ochronę danych, których bezpieczeństwo istotne jest z punktu widzenia „usług kluczowych”, „usług cyfrowych” lub „zadań publicznych”.

Specyficzna metoda regulacji

Zarówno na gruncie RODO, jak i u.k.s.c. wprowadzono wymóg analizy ryzyka jako elementu zarządzania bezpieczeństwem informacji. Jest to mechanizm typowy dla obu regulacji. Prawodawca określa ramowo wymogi wdrożenia odpowiednich zabezpieczeń, np. przed atakami hakerskimi, i przerzuca na określone podmioty (np. w RODO na administratorów danych) ciężar odpowiedzialności za ocenę, jakie konkretnie środki będą odpowiednie w danym sytuacji. Wskazana ocena musi być oparta na kryteriach, które dana regulacja uważa za istotne. W tym kontekście ważne jest, że w obu aktach prawnych zastosowano inne – lub co najmniej częściowo inne – kryteria.

W przypadku RODO kluczowe znaczenie ma ryzyko dla praw lub wolności. Zgodnie z motywem 75 RODO ryzyko to, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych, które prowadzi do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. W szczególności chodzi o przetwarzanie informacji skutkujące:

• dyskryminacją,
• kradzieżą lub oszustwem dotyczącym tożsamości,
• stratą finansową,
• naruszeniem dobrego imienia,
• naruszeniem poufności danych osobowych chronionych tajemnicą zawodową,
• nieuprawnionym odwróceniem pseudonimizacji,
• wszelką inną znaczną szkodą gospodarczą lub społeczną.

W przypadku RODO analiza ryzyka ma na celu zidentyfikowanie i wyeliminowanie, przez wdrożenie odpowiednich zabezpieczeń, źródeł (tj. zagrożeń) potencjalnej szkody dla osób fizycznych. Może chodzić o uszczerbek majątkowy lub niemajątkowy (np. depresję wywołana ujawnieniem danych). Natomiast w przypadku u.k.s.c. chodzi – ujmując tę kwestię bardzo ogólnie – o eliminowanie potencjalnych przyczyn incydentów, które mogą:

• skutkować znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi (incydent krytyczny);
• skutkować poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej (incydent poważny);
• istotnie wpływać na świadczenie usługi cyfrowej (incydent istotny);
• wpływać na realizację zadania publicznego (incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego).

Zarówno w RODO, jak i w u.k.s.c. analiza ryzyka dotyczy etapu:

1) wdrożenia systemu bezpieczeństwa (jakie mechanizmy należy wdrożyć, aby wyeliminować źródła ryzyka?),

2) zarządzania systemem bezpieczeństwa informacji (czy wdrożone mechanizmy są odpowiednie?),

3) obsługi incydentów (jak reagować na zdarzenia stanowiące naruszenie wymogów bezpieczeństwa?).

W konsekwencji wykorzystanie – wdrożonych pod kątem RODO – procedur dotyczących analizy ryzyka w ramach u.k.s.c. musi być poprzedzone wnikliwą analizą dotyczącą zastosowanych kryteriów oceny. W przypadku RODO zawsze na końcu chodzi o ryzyko dla praw lub wolności osób fizycznych.

JST może być operatorem usługi kluczowej

Co istotne, zgodnie z u.k.s.c. w stosunku do podmiotu publicznego, w tym jednostki samorządu terytorialnego, też może zostać wydana decyzja o uznaniu za operatora usługi kluczowej. Jeżeli taka decyzja zostanie wydana, będzie ona musiała wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (tak jak każdy operator usługi kluczowej).

Przykładem może być tutaj transport drogowy, wyszczególniony w załączniku nr 1 do u.k.s.c. Wskazano w nim organy, o których mowa w art. 19 ust. 2, 5 i 5a ustawy z 21 marca 1985 r. o drogach publicznych (t.j. Dz.U. z 2018 r. poz. 12 ze zm.), a więc m.in. zarządców dróg, którymi są w odniesieniu do dróg: gminnych ‒ wójt (burmistrz, prezydent miasta), powiatowych – zarząd powiatu, wojewódzkich – zarząd województwa. Jeśli zostanie w stosunku do nich wydana wskazana wyżej decyzja, to staną się operatorami usługi kluczowej, co będzie wiązało się z określonymi obowiązkami. W przypadku ich niewypełnienia grożą kary, stosownie do art. 75 u.k.s.c.

Wdrożenie zabezpieczeń

Zgodnie z RODO obejmuje to środki technicznie (np. programy antywirusowe) lub organizacyjne (procedury, np. plan ciągłości działania). To, jakie zabezpieczenia są odpowiednie, powinno wynikać z analizy ryzyka dla praw lub wolności. Administrator powinien więc:

• zidentyfikować podatności w systemie ochrony danych osobowych (np. luki systemów IT);
• oszacować, jakie jest prawdopodobieństwo, że określone zagrożenie (np. naruszenie poufności – kradzież danych osobowych) wykorzysta tę podatność;
• oszacować wagę zagrożenia (jakie będą konsekwencje ewentualnego zmaterializowania się zagrożenia, np. kradzież tożsamości, utrata środków pieniężnych, naruszenie dóbr osobistych z powodu ujawnienia danych wrażliwych);
• zestawiając wagę i prawdopodobieństwo określić poziom ryzyka (np. wysokie ryzyko), a następnie wdrożyć mechanizmy adekwatne do tego poziomu.

RODO nie przesądza, jakie środki bezpieczeństwa (techniczne/organizacyjne) powinny być wdrożone na określonym poziomie ryzyka. Co więcej, wyraźnie wskazuje, że zastosowanie odpowiednich polityk (dokumentów/procedur) jest wymagane tylko wtedy, gdy będzie to proporcjonalne w odniesieniu do czynności przetwarzania (art. 24 ust. 2 RODO). Takie przyporządkowanie środków bezpieczeństwa (poziom ryzyka – zabezpieczenia) zawiera np. przewodnik po bezpieczeństwie przetwarzania danych osobowych Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Wskazano w nim m.in., że w przypadku zidentyfikowania wysokiego poziomu ryzyka należy przyjąć, iż plan szkoleniowy ze zdefiniowanymi celami powinien być przygotowany i wykonany corocznie, a w ramach uwierzytelniania w systemach IT należy wykorzystać dwustopniową weryfikację tożsamości.

RODO wyłącznie przykładowo wskazuje na preferowane, ale nie obligatoryjne środki bezpieczeństwa. Są to:

• pseudonimizacja i szyfrowanie danych osobowych;
• zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Co istotne, brak w RODO sztywnego wymogu regularnych audytów systemu bezpieczeństwa danych osobowych. Jest to jednak przykładowy element zarządzania bezpieczeństwem danych osobowych.

Konieczność określonego postępowania

Nieco inaczej funkcjonuje u.k.s.c. Przede wszystkim określa znacznie bardziej szczegółowo, jakie mechanizmy bezpieczeństwa powinien wdrożyć operator usługi kluczowej oraz dostawca usługi cyfrowej. W odróżnieniu od RODO wyraźnie przesądza o obowiązku wdrożenia określonych (wskazanych w ustawie) procedur składających się na system bezpieczeństwa informacji. Konkretyzacja działań będzie następować w odniesieniu do poziomu ryzyka, a zakres obowiązków zależy od poszczególnych kategorii podmiotów. Najszerszy przypisany został operatorowi usługi kluczowej. Co ciekawe i dziwne zarazem, w przypadku podmiotów z sektora publicznego, nieuznanych za operatorów usług kluczowych, brak wyraźnych obowiązków w zakresie wdrożenia zabezpieczeń. Wskazane podmioty mają szczegółowo określone obowiązki dopiero na etapie incydentów. Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem zapewniający m.in. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie nim, wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. W zakresie środków organizacyjnych istotne są w szczególności następujące obowiązki operatora usługi kluczowej:

• wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
• powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyber bezpieczeństwa.

Zastosowanie w ramach wdrożenia u.k.s.c. procedur przyjętych pod kątem wdrożenia RODO wymaga wnikliwej analizy zastosowanych w nich kryteriów oceny ryzyka. Można ogólnie powiedzieć, że w zakresie cyber bezpieczeństwa u.k.s.c. określa dalej idące wymogi niż RODO, ale posługuje się (częściowo) innymi kryteriami. W u.k.s.c. przewidziano także – względem operatorów usług kluczowych – skonkretyzowany obowiązek audytowy.

Incydenty

Zarówno RODO, jak i u.k.s.c. zawierają regulację dotyczącą obsługi incydentów. Co istotne, o ile w u.k.s.c. obowiązek wdrożenia określonych zabezpieczeń spoczywa przede wszystkim na operatorach usługi kluczowej (w ograniczonym zakresie dostawcach usług cyfrowych), o tyle w przypadku obsługi incydentów wszystkie kategorie podmiotów odpowiedzialnych, w tym podmioty publiczne, zostały obarczone zbliżonymi wymogami.

Osoby wyznaczone do kontaktu

Zgodnie z RODO w przypadku sektora publicznego – a więc także jednostek samorządu terytorialnego – powołanie osoby odpowiedzialnej „za ład w zakresie danych osobowych” będzie co do zasady obowiązkowe. Podobne wymogi – dotyczące wyznaczenia osób odpowiedzialnych za cyberbezpieczeństwo – spoczywają na podmiotach publicznych. Podmioty te (m.in. JST), realizując zadania publiczne, zależne od systemu informacyjnego, są zobowiązane do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Jak wskazuje motyw 31 preambuły do NIS, właściwym organom i pojedynczym punktom kontaktowym należy zapewnić wystarczające zasoby techniczne, finansowe i ludzkie, aby mogły skutecznie i efektywnie wykonywać powierzone im zadania i osiągnąć w ten sposób cele dyrektywy. Podobnie jest w RODO, zgodnie z art. 38 ust. 2 tego rozporządzenia inspektorowi danych osobowych (IOD) należy zapewnić zasoby niezbędne do wykonania zadań. JST może przy tym wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne. Należy zadać pytanie, czy wskazane osoby wyznaczone przez JST do kontaktu w ramach krajowego systemu cyberbezpieczeństwa mogą być jednocześnie IOD? Nie jest to zasadniczo wykluczone, niemniej jednak IOD należy zapewnić niezależność (wymogi RODO). Zgodnie z opinią EROD (wcześniej Grupa Robocza art. 29) IOD nie może zajmować stanowiska np. dyrektora IT w danej jednostce. Z podjęciem takiej decyzji należy być więc ostrożnym.

agp

Krąg podmiotów odpowiedzialnych

Tabela 1. Ocena rangi zdarzenia

Tabela 2. Procedury postępowania w razie incydentu