Na świecie co godzinę dochodzi do 971 cyberataków – wynika z danych Check Point. Skala zagrożenia rośnie lawinowo – do 2021 r. straty finansowe wynikające z działalności cyberprzestępców wzrosną nawet do 6 bilionów USD. Hakerzy nie omijają także Polski – indeks zagrożeń dla naszego kraju wzrósł w 2018 roku z 38,4 do 52,5, co oznacza spadek na 13. miejsce w rankingu europejskiego bezpieczeństwa. Receptą na to może okazać się nowa ustawa w zakresie cyberbezpieczeństwa. Na zdjęciu Monika Osóbka, Cyber Practice Leader w Colonnade Insurance.

W 2016 r. atak poprzez domowe kamery internetowe sparaliżował działanie takich gigantów jak Spotify, Netflix, Reddit, czy Twitter. Niecały rok później, miał miejsce największy dotychczasowy atak hakerski – wirus WannaCry zainfekował ponad 300 tys. komputerów w 150 krajach świata. Ofiarami ataku stały się banki, fabryki, firmy telekomunikacyjne, lotniska, a nawet szpitale. Te wydarzenia pokazały, że instytucje rządowe, publiczne, a także firmy często nie mają odpowiednich narzędzi do ochrony przed cyberatakami. Teraz ma się to zmienić – unijna dyrektywa NIS (Network and Information Security) zakłada zwiększenie bezpieczeństwa informatycznego na obszarze Unii Europejskiej.

Nowe standardy

Do polskiego prawa unijną dyrektywę implementuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSCu), której przepisy weszły w życie 28 sierpnia. Nowe standardy w zakresie cyberbezpieczeństwa obejmą zarówno dostawców usług cyfrowych, jak i operatorów usług kluczowych, a więc sektory takie jak energetyka, infrastruktura cyfrowa, zaopatrzenie w wodę pitną, bankowość, ochrona zdrowia, transport.

Nowe przepisy wprowadzają, m.in. obowiązek zgłaszania incydentów właściwym organom w ciągu 24 godzin, a także wielowymiarową odpowiedzialność w tym zakresie. Zgłaszający musi samodzielnie ocenić, czy dane zdarzenie można uznać za ustawowy “incydent”, następnie zakwalifikować je do jednego z czterech rodzajów i na tej podstawie podjąć stosowne działania.

Kary finansowe

Za szereg ewentualnych naruszeń mogą zostać nałożone kary finansowe. Za najpoważniejsze można zapłacić karę w wysokości nawet 200 tys. zł. Z reguły jednak wysokość sankcji waha się od 15 do 50 tysięcy zł. Przy tym, w przypadku uporczywych naruszeń ustawy, właściwy organ może nałożyć karę w wysokości nawet do miliona złotych.

Co więcej, odpowiedzialność finansową za niespełnienie obowiązków ustawowych mogą ponieść także członkowie kadry zarządzającej. Taka kara jest jednak ograniczona do wysokości 200% miesięcznego wynagrodzenia i ma zastosowanie tylko w przypadku naruszenia kilku konkretnie wskazanych przepisów. Tak przed karami jak i w ogóle przed skutkami naruszeń bezpieczeństwa danych firmy mogą chronić się z pomocą ubezpieczenia.

Ubezpieczenie ryzyk cybernetycznych chroni przedsiębiorstwo i ogranicza szkody w przypadku roszczeń odszkodowawczych związanych z utratą lub ujawnieniem danych. Zapewnia również pokrycie kosztów zaangażowania ekspertów ds. informatyki śledczej, odzyskiwania danych, prawników oraz konsultantów PR – specjalistów, którzy doradzą i opracują odpowiedni plan działania w sytuacji kryzysowej. Polisa CYBER GUARD pokrywa także kary finansowe, które mogą zostać nałożone na firmy w wyniku naruszenia nowo obowiązujących przepisów – wyjaśnia Monika Osóbka, Cyber Practice Leader w Colonnade Insurance S.A.

Odpowiedzią na wyzwania, jakie przed firmami stawia nowa ustawa mogą być właśnie ubezpieczenia, które pozwalają ograniczyć dotkliwe i daleko sięgające skutki naruszenia bezpieczeństwa danych.

Podobieństwa z RODO

Prawnicy dostrzegają pewne podobieństwa KSCu i RODO – obie ustawy wymagają, aby działania organizacji zostały oparte na ocenie i analizie ryzyka. To dobra wiadomość – można ograniczyć koszty wdrażania nowych przepisów przyjmując wspólne metody analizy ryzyka bezpieczeństwa (KSCu) oraz prywatności (RODO), a także wykorzystać te same procedury wewnętrzne w procesach raportowania incydentów.

Mimo możliwości połączenia niektórych działań wymaganych w ramach KSCu i RODO, spełnienie nowym wymogów w zakresie bezpieczeństwa będzie dla firm ogromnym wyzwaniem. Już przepisy wynikające z RODO sprawiły wielu z nich trudności – nawet połowa polskich przedsiębiorców nie poradziła sobie z pełnym wdrożeniem przepisów wynikających z RODO – analizują eksperci z firmy doradczej PwC.

Z przepisami w zakresie cyberbezpieczeństwa może być jeszcze trudniej. Poziom zaawansowania systemów cyberbezpieczeństwa w sektorach objętych ustawą jest bardzo różny. Sektor finansowy, telekomunikacyjny, czy podmioty świadczące usługi cyfrowe mają w tym zakresie większe doświadczenie niż sektory ochrony zdrowia, transportu czy zaopatrzenia w wodę pitną. Dla tych ostatnich nowe obowiązki mogą stać się naprawdę ogromnym wyzwaniem.

Colonnade Insurance S.A. oferuje szereg specjalistycznych produktów non-life, w tym ubezpieczenia majątkowe dla firm oraz NNW dla klientów indywidualnych. W regionie Europy Środkowo-Wschodniej firma prowadzi działalność za pośrednictwem oddziałów w Polsce, Czechach, Rumunii, Bułgarii, na Słowacji, Węgrzech oraz spółki zależnej na Ukrainie. Colonnade Insurance S.A. należy do kanadyjskiej grupy Fairfax Financial Holdings Ltd.