Cyberbezpieczeństwo

Tempo rozwoju, stopień skomplikowania technologii IT i ich szerokie zastosowanie wiążą się z kwestią zapewnienia cyberbezpieczeństwa. Niedopatrzenia w tej dziedzinie niosą realne ryzyko negatywnych skutków, o czym coraz częściej przekonują się poszczególne firmy, instytucje czy wręcz rządy.

Zapewniamy pełne wsparcie prawne ukierunkowane na ograniczenie ryzyk związanych z cyberbezpieczeństwem. Negocjujemy umowy, pomagamy wprowadzać procedury wewnętrzne, przeprowadzamy szkolenia.

W czym pomagamy

Regulacje w zakresie cyberbezpieczeństwa nałożyły liczne obowiązki na wiele podmiotów: operatorów usług kluczowych (podmioty z sektora energetyki, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, dostawcy i dystrybutorzy wody pitnej lub zaopatrzenia w infrastrukturę cyfrową) i dostawców usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe).

Obowiązki operatorów usług kluczowych

Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej;
Wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
Zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa;
Opracowanie, stosowanie i aktualizację dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
Obsługę incydentów, zgłaszanie incydentów poważnych i współdziałanie przy obsłudze incydentu poważnego i incydentu krytycznego;
Powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa; zapewnienie przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
Statusie danego podmiotu jako operatora usługi kluczowej przesądza decyzja wydana przez organ właściwy do spraw cyberbezpieczeństwa.

Obowiązki dostawców usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe)

Podjęcia środków technicznych i organizacyjnych określonych w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej;
Obowiązek obsługi incydentów.

Audyt + Rekomendacje + Dokumentacja

Analiza, weryfikacja, opracowanie procedur wewnętrznych z zakresu cyberbezpieczeństwa (Polityki Bezpieczeństwa, Plany BRP);
Audyt wewnętrzny i weryfikacja spójności nowej dokumentacji z zakresu cyberbezpieczeństwa z funkcjonującymi wewnętrznymi procedurami zarządzania bezpieczeństwem u operatora usług kluczowych oraz dostawcy usług cyfrowych.

Relacje z organami nadzoru

Opracowanie schematu/procedury postępowania na wypadek kontroli organu do spraw cyberbezpieczeństwa;
Reprezentacja w postępowaniach przed organem do spraw cyberbezpieczeństwa, w szczególności w zakresie postępowań sankcyjnych lub administracyjnych.

Ochrona danych osobowych

Doradztwo prawne dla podmiotów objętych krajowym systemem cyberbezpieczeństwa pod kątem zasad udostępniania informacji właściwym organom i przetwarzania danych osobowych;
Opiniowanie wewnętrznej dokumentacji z zakresu cyberbezpieczeństwa z zakresu obowiązku obsługi i zgłaszania incydentów pod kątem spójności z zasadami ochrony danych osobowych.

Doradztwo prawne w relacjach z dostawcami IT

Analiza zgodności kontraktów zawieranych z dostawcami usług informatycznych w obszarze współpracy z dostawcami usług informatycznych;
Doradztwo w zakresie wdrożenia rozwiązań zarządzania bezpieczeństwem w systemie informatycznym;
Negocjacje warunków z ubezpieczycielami i analiza dokumentacji ubezpieczeniowej na potrzeby zawarcia umowy ubezpieczenia od cyberataków.

Monitoring prawno-regulacyjny (cyber security compliance)

Analiza otoczenia prawnego i jego zmian w obszarze cyberbezpieczeństwa, w tym prac legislacyjnych (cyber security compliance).

Szkolenia i warsztaty

Prowadzenie dedykowanych szkoleń z zakresu obowiązków operatorów usług kluczowych i dostawców usług cyfrowych, w tym pod kątem zgodności ich wykonywania z zasadami ochrony danych osobowych.