Nowelizacja ustawy o KSC wdrażająca dyrektywę NIS 2 budzi liczne pytania wśród IOD i ADO. Prezentujemy 15 praktycznych Q&A, jakie pojawiły się podczas szkolenia od statusu podmiotów (szkoły, urzędy, spółki), przez odpowiedzialność kierowników i konflikty interesów, po obowiązki w łańcuchu dostaw. Krótka odpowiedź + podstawa prawna – idealne do wdrożenia w Twojej organizacji.
Poniżej przedstawiamy odpowiedzi dokładnie w żądanej formule: dokładny cytat pytania krótka odpowiedź, podstawa prawna lub stanowisko Ministerstwa. Podstawy: ustawa o KSC (po nowelizacji NIS2) oraz oficjalnego dokumentu „Q&A – Nowelizacja ustawy o KSC” (Ministerstwo Cyfryzacji, cyber.gov.pl).
1. „Czy osoba zgłoszona do systemu cyberbezpieczeństwa będzie pełniła tylko funkcję kontaktową czy też będzie osobiście ponosiła odpowiedzialność, a jeśli tak to w jakim zakresie?”
Odpowiedź:
Osoba zgłoszona do KSC pełni wyłącznie funkcję kontaktową. Odpowiedzialność administracyjną na gruncie ustawy ponosi kierownik podmiotu, a nie osoba kontaktowa.
Podstawa:
2. „Proszę o Pani stanowisko w sprawie występowania konfliktu interesów w następującej sytuacji: IOD jako osoba odpowiedzialna za kontrolę zarządczą w jednostce oraz na gruncie IOD jako osoba odpowiedzialna za opracowywanie całości dokumentacji (zarówno ochrony danych jak też SZBI)”
Odpowiedź:
Tak, w takiej konfiguracji występuje konflikt interesów. IOD nie może jednocześnie projektować i wdrażać systemu, który następnie ma kontrolować.
Podstawa:
3. „Jeżeli reprezentuję podmiot prywatny spółkę dużą, która świadczy usługi nie z branży IT tylko np. budowlane, outsourcing usług dla podmiotów ważnych lub kluczowych to z automatu spółka powinna przyjąć status podmiotu ważnego?”
Odpowiedź:
Nie. Sam fakt bycia dużym przedsiębiorstwem lub świadczenia usług na rzecz podmiotów kluczowych nie oznacza automatycznego uzyskania statusu podmiotu ważnego.
Podstawa:
4. „Jeżeli dostawcą systemów informatycznych używanych w przedszkolu jest organ prowadzący (gmina)… to jak ma wypełnić obowiązki dotyczące zabezpieczenia łańcucha dostaw?”
Odpowiedź:
Przedszkole realizuje obowiązki w zakresie uproszczonym, a ciężar zabezpieczenia łańcucha dostaw systemów IT spoczywa na gminie jako właścicielu i administratorze tych systemów.
Podstawa:
5. „Jak w świetle KSC należy kwalifikować sądy powszechne – czy powinny być uznane za podmioty kluczowe lub ważne?”
Odpowiedź:
Ustawa nie przesądza wprost statusu sądów powszechnych; obowiązki powinny ciążyć na podmiocie faktycznie decydującym o systemach IT.
Podstawa:
6. „Podmiot prywatny (Spółka), 20 pracowników … czy mamy jakieś obowiązki jako podmiot współpracujący w zakresie KSC?”
Odpowiedź:
Nie, o ile spółka nie prowadzi działalności wskazanej w załącznikach do ustawy KSC. Nie jest ani podmiotem kluczowym, ani ważnym.
Podstawa:
7. „W jakim zakresie to kalendarium obowiązuje szkoły publiczne? Jak rozumieć ‘uruchomienie możliwości samorejestracji w wykazie’?”
Odpowiedź:
Szkoły publiczne są wpisywane do wykazu z urzędu i nie dokonują samorejestracji; realizują obowiązki w reżimie uproszczonym.
Podstawa:
8. „Kogo Pani rozumie pod pojęciem kierownika jednostki?”
Odpowiedź:
Kierownikiem jednostki jest członek zarządu lub inny organ zarządzający w rozumieniu ustawy; nie jest nim dyrektor IT ani operacyjny, jeżeli nie wchodzą w skład tego organu.
Podstawa:
9. „Audyt zewnętrzny w szkole wykazał brak Polityki Bezpieczeństwa Informacji – czy jest wzór takiego dokumentu?”
Odpowiedź:
Nie istnieje urzędowy wzór Polityki Bezpieczeństwa Informacji. Dokument musi być dostosowany do skali i charakteru jednostki.
Podstawa:
10. „Czy duże przedsiębiorstwo z automatu jest podmiotem ważnym?”
Odpowiedź:
Nie. Duże przedsiębiorstwo podlega KSC tylko wtedy, gdy prowadzi działalność wskazaną w załącznikach do ustawy.
Podstawa:
11. „Środowiskowy Dom Pomocy Społecznej, czy jest podmiotem ważnym?”
Odpowiedź:
Tak. Jako samorządowa jednostka budżetowa jest podmiotem ważnym w rozumieniu ustawy KSC.
Podstawa:
12. „Powiatowy urząd pracy to jednostka podlegająca pod urząd miasta – czy tym samym jest podmiotem ważnym?”
Odpowiedź:
Tak. Powiatowy urząd pracy jest samorządową jednostką organizacyjną i podmiotem ważnym niezależnie od struktury podległości administracyjnej.
Podstawa:
13. „Czy podmioty publiczne wskazane w załączniku nr 2 do ustawy – np. Centrum Kultury – można traktować jako podmiot ważny?”
Odpowiedź:
Tak. Samorządowa instytucja kultury realizująca zadania publiczne z użyciem systemów IT jest podmiotem ważnym.
Podstawa:
14. „Czy Spółka Mieszkaniowa Sp. z o.o. powołana przez gminę (…) jest podmiotem ważnym?”
Odpowiedź:
Tak, jeżeli wykonuje zadania użyteczności publicznej z wykorzystaniem systemów informatycznych.
Podstawa:
15. „Czy obowiązki wynikające z decyzji o przeznaczeniu składników majątku prywatnej Spółki do świadczeń rzeczowych na rzecz obrony (…) stanowią trwałe włączenie Spółki w KSC?”
Odpowiedź:
Nie. Obowiązki o charakterze warunkowym i nadzwyczajnym nie stanowią trwałego, systemowego włączenia do KSC.
Podstawa:
Katarzyna Brodnicka
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl