Warto pamiętać, że bezpieczeństwo teleinformatyczne w Polsce podlega różnym przepisom i regulacjom, zarówno krajowym, jak i europejskim.
Wśród nich można wymienić następujące akty prawne, które wpływają na pracę firm:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - rozporządzenie RODO (Ogólne rozporządzenie o ochronie danych osobowych) wprowadza wymagania dotyczące ochrony danych osobowych. Każda firma powinna dbać o bezpieczne przetwarzanie danych osobowych i posiadać odpowiednie zabezpieczenia, by uniknąć naruszeń ich ochrony.
- Ustawę o Ochronie Informacji Niejawnych (Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych) - organizacje przetwarzające informacje niejawne, muszą dostosować swoje procedury do wymagań ustawy. Informacje niejawne to te, które mogą zaszkodzić interesom kraju, jeśli zostaną ujawnione.
- Ustawę o Ochronie Baz Danych (Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych) - ta ustawa nakłada obowiązek ochrony baz danych na firmy, które je posiadają.
- Ustawę o Cyberbezpieczeństwie (Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa) - ustawa określa zasady i wymagania dotyczące zapewnienia cyberbezpieczeństwa w instytucjach publicznych oraz u operatorów usług istotnych dla bezpieczeństwa państwa. Firmy działające w tych sektorach muszą dostosować swoje procedury do przepisów tej ustawy.
- Ustawę o Powszechnym Dostępie do Internetu (Ustawa z dnia 7 czerwca 2017 r. o dostępie do informacji publicznej) - ustawa reguluje dostęp do informacji publicznej w internecie.
Dalsza część artykułu pod materiałem wideo
Cyberincydenty. Firmy muszą przestrzegać tych przepisów
Polskie przedsiębiorstwa muszą również respektować przepisy dotyczące cyberincydentów. W praktyce oznacza to konieczność zgłaszania incydentów związanych z naruszeniem bezpieczeństwa teleinformatycznego zgodnie z przepisami Narodowego Centrum Cyberbezpieczeństwa. Warto również wspomnieć o normie ISO 27001 (lub ISO/IEC 27001), czyli międzynarodowej normie standaryzującej systemy zarządzania bezpieczeństwem informacji (SZBI). W Polsce istnieje wiele firm, które zdecydowały się na jej wdrożenie pomimo tego, że nie jest to polskie prawo. Takie podmioty powinny stosować się zasad określonych w tej normie.
W Polsce monitorowaniem i egzekwowaniem przepisów dotyczących bezpieczeństwa teleinformatycznego zajmują się Agencja Bezpieczeństwa Wewnętrznego (ABW) i Narodowe Centrum Cyberbezpieczeństwa (NCC). Wiedza na temat ich działania oraz zakresu praw i obowiązków może być przydatna, gdy konieczne okaże się nawiązanie z nimi współpracy po wystąpieniu incydentów zagrażających bezpieczeństwu teleinformatycznemu.
Firmy działające na polskim rynku powinny na bieżąco monitorować zmiany w przepisach i dostosowywać swoje procedury oraz zabezpieczenia do obowiązujących wymagań prawnych.