Audyt bezpieczeństwa systemu informacyjnego KSC
Audyt bezpieczeństwa systemu informacyjnego KSC. Opracowanie niniejsze ma charakter analizy, która prezentuje tezy z przeprowadzonego wnioskowania, tezy z którymi szanowni autorzy mogą w większej lub mniejszej części, albo nawet w całości się nie zgadzać, czego jestem w pełni świadomy i co akceptuję, jednak kierowany chęcią podzielenia się z Państwem swoimi wątpliwościami zdecydowałem się na niniejszą publikację.
Wielość, czy jedność audytów na gruncie KSC
Czytając Ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa [dalej KSC] nie trudno zauważyć, iż ustawodawca posługuje się pojęciami:
- audyt systemów informacyjnych (art. 2 pkt 4j KSC) definiując pojęcie dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa,
- audyt bezpieczeństwa systemu informacyjnego (art. 15 ust. 1 KSC) nazywając ten rodzaj audytu audytem.
Z uwagi na rolę, jaką pełnią dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, uznać jednak należy, iż audyt systemów informacyjnych, o jakim mowa w definicji dostawcy jest audytem, który merytorycznie co najmniej pokrywał będzie się z zakresem audytu bezpieczeństwa systemu informacyjnego.
Za utożsamieniem obu pojęć przemawiać może także fakt, iż w art. 15 ust. 1 KSC ustawodawca jedynie wskazuje precyzyjnie jaką funkcję pełnić ma audyt systemu informacyjnego, jakie cele ma realizować, ma audytować bezpieczeństwo tego systemu, celem jego zapewnienia w konsekwencji wykonania sprawdzenia audytowego.
Dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa jest osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która świadczy usługi polegające na realizacji lub wsparciu dla realizacji działań związanych z zarządzaniem ryzykiem w cyberbezpieczeństwie, w tym obsługę incydentów, testów bezpieczeństwa, audytów systemów informacyjnych, doradztwo.
Racjonalność ustawodawcy
Tytułem wprowadzenia, zakładam analizując treść tego przepisu, iż ustawodawca jest racjonalny, co oznacza iż wprowadza do ustawy przepisy o odpowiedzialności pieniężnej, określając zgodnie z moim założeniem przesłanki warunkujące ich zastosowanie.
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
Odpowiedzialność finansowa podmiotów
Ze słów wytłuszczonych w przepisie
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
wynika, że ….
- W przepisie mowa jest o karze.
- Kara, o jakiej mowa w przepisie to kara pieniężna.
- Przepis przewiduje, iż karze pieniężnej podlega podmiot kluczowy.
- Przepis przewiduje, iż karze pieniężnej podlega podmiot ważny.
W mojej ocenie, jeśli ustawodawca określił, iż zarówno podmiot kluczowy, jak i podmiot ważny, podlegają karze pieniężnej, o jakiej mowa w przepisie, to zarówno na podmiocie kluczowym, jak i na podmiocie ważnym ciążą obowiązki, których brak realizacji wiążę się z zastosowaniem odpowiedzialności finansowej, o jakiej mowa w przepisie.
Nie sposób bowiem przyjąć, do karze pieniężnej nie tylko podlega podmiot, który nie narusza żadnych ze swoich obowiązków, ale także podmiot, na który nie nałożone zostały obowiązki o jakich mowa w przepisie. Innymi słowy nie sposób przyjmować, iż odpowiedzialności pieniężnej podlega podmiot z racji samego faktu wskazania go w przepisie, co oznaczałoby iż de facto mógłby zostać pociągnięty do odpowiedzialności finansowej, bez związku z naruszeniem jakichkolwiek obowiązków.
Odpowiedzialność podmiotu kluczowego
Ze słów wytłuszczonych w przepisie …
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
wynika, że ….
Podmiotem kluczowym, jaki podlega karze pieniężnej, jest taki podmiot kluczowy, który:
- po pierwsze – ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego, jednak w ogóle nie przeprowadził tego audytu, albo
- po drugie – ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego, który to obowiązek zrealizował, czyli audyt przeprowadził, jednak nie w określonym przepisami terminie.
Innymi słowy podmiot kluczowy, podlega karze pieniężnej, zarówno wtedy kiedy w ogóle nie przeprowadził audytu, jak i wtedy kiedy przeprowadził audyt, jednak nie w terminie określonym w przepisie.
Ze słów wytłuszczonych w przepisie …
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
Zgodnie z art. 15 ust. 1 KSC – podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zwany dalej „audytem”, licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.
wynika, że ….
W przepisie mowa jest o terminie, jaki określony został w art. 15 ust. 1 KSC. Innymi słowy podmiot kluczowy podlega karze, jeśli nie przeprowadza audytu co najmniej raz na 3 lata licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.
Ze słów wytłuszczonych w przepisie …
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
Zgodnie z art. 16 pkt 2) KSC- podmiot: (…) kluczowy zapewnia przeprowadzenie audytu po raz pierwszy w terminie 24 miesięcy – od dnia spełnienia przesłanek uznania za podmiot kluczowy (…)
wynika, że ….
W przepisie mowa jest o terminie, jaki określony został w art. 16 pkt. 2 KSC. Innymi słowy podmiot kluczowy podlega karze, jeśli nie przeprowadza audytu po raz pierwszy w terminie 24 miesięcy – od dnia spełnienia przesłanek uznania za podmiot kluczowy.
Status podmiotu kluczowego podmiot może nabyć albo poprzez spełnienie przesłanek ustawowych warunkujących uznanie go za podmiot kluczowy, albo przez wydanie decyzji o uznaniu go za podmiot kluczowy.
Powstaje zatem pytanie, czy podmiot względem którego wydana została decyzja o uznaniu go za podmiot kluczowy, podlega karze pieniężnej, o jakiej mowa w art. 73 ust.1 pkt 11 KSC, skoro nie jest on podmiotem, jaki spełnia przesłanki uznania go za podmiot kluczowy, albowiem tylko wtedy mogła zostać wydana decyzja o uznaniu go za podmiot kluczowy, czego konsekwencją jest brak możliwości zastosowania względem niego art. 16 pkt 2 KSC?
W przypadku wydania decyzji o uznaniu za podmiot kluczowy, w trybie art. 7l ust. 1 KSC, to przepis art. 7l ust. 7 pkt 2) KSC wskazuje termin na zapewnienie przeprowadzenia po raz pierwszy audytu, o którym mowa w art. 15 ust. 1 KSC, uznając iż jest to inny termin, aniżeli ten o jakim mowa w art. 16 pkt 2 KSC. Uznają bowiem, iż jest to termin 24 miesięcy – od dnia doręczenia tej decyzji o uznaniu za podmiot kluczowy.
Uznając takie rozumowanie za prawidłowe, dochodzimy do wniosku, iż podmiot uznany decyzją za podmiot kluczowy, ma prawem określony obowiązek i termin na przeprowadzenie audytu, o którym mowa w art. 15 ust. 1 KSC, jednak nie podlega odpowiedzialności z art. 73 ust. 1 pkt 11) KSC w tej części przepisu, jaka określa, iż karze podlega podmiot kluczowy, jaki nie przeprowadza audytu w terminie o jakim mowa w art. 16 pkt. 2 KSC, albowiem to nie ten przepis, określa termin realizacji audytu dla podmiotu uznanego za kluczowy w drodze decyzji, a czyni to art. 7l ust. 7 pkt 2) KSC
W przypadku wydania decyzji o uznaniu za podmiot kluczowy, w trybie art. 7m ust. 1 KSC, przepis art. 7m ust. 6 pkt 2) KSC wskazują termin na zapewnienie przeprowadzenia po raz pierwszy audytu, o którym mowa w art. 15 ust. 1 KSC, uznając iż jest to inny termin, aniżeli ten o jakim mowa w art. 16 pkt 2 KSC. Uznają bowiem, iż jest to termin 24 miesięcy – od dnia doręczenia tej decyzji o uznaniu za podmiot kluczowy.
Uznając takie rozumowanie za prawidłowe, dochodzimy do wniosku, iż podmiot uznany decyzją za podmiot kluczowy, ma prawem określony obowiązek i termin na przeprowadzenie audytu, o którym mowa w art. 15 ust. 1 KSC, jednak nie podlega odpowiedzialności z art. 73 ust. 1 pkt 11) KSC w tej części przepisu, jaka określa, iż karze podlega podmiot kluczowy, jaki nie przeprowadza audytu w terminie o jakim mowa w art. 16 pkt. 2 KSC, albowiem to nie ten przepis, określa termin realizacji audytu dla podmiotu uznanego za kluczowy w drodze decyzji, a czyni to art. 7m ust. 6 pkt 2) KSC
Odpowiedzialność podmiotu ważnego
Ze słów wytłuszczonych w przepisie
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
wynika, że ….
Podmiotem ważnym, jaki podlega karze pieniężnej, jest taki podmiot ważny, który:
- po pierwsze – ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego, jednak w ogóle nie przeprowadził tego audytu, albo
- po drugie – ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego, który to obowiązek zrealizował, czyli audyt przeprowadził, jednak nie w określonym przepisami terminie.
Innymi słowy podmiot ważny, podlega karze pieniężnej, zarówno wtedy kiedy w ogóle nie przeprowadził audytu, jak i wtedy kiedy przeprowadził audyt, jednak nie w terminie określonym w przepisie.
Ze słów wytłuszczonych w przepisie …
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
Zgodnie z art. 15 ust. 1 KSC – podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zwany dalej „audytem”, licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.
wynika, że ….
W przepisie mowa jest o terminie, jaki określony został w art. 15 ust. 1 KSC. Innymi słowy podmiot ważny podlega karze, jeśli nie przeprowadza audytu co najmniej raz na 3 lata licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.
Racjonalność ustawodawcy nakazuje przyjąć – skoro podmiot ważny wskazany został w przepisie, jako ten podmiot, który podlega karze pieniężnej, a karze pieniężnej podlega tylko ten podmiot, który nie przeprowadza audyty w terminie o jakim mowa w art. 15 ust. 1 lub art. 16 pkt 2 – zatem ustawodawca uznaje, iż podmiot ważny jest podmiotem, który ma obowiązek przeprowadzenia audytu, audytu bezpieczeństwa systemu informacyjnego, w określonych przepisami prawa sytuacjach, w terminach o jakim mowa w art. 15 ust. 1 lub art. 16 pkt 2. W przeciwnym razie zapis omawianego przepisu byłby bezprzedmiotowy, albowiem zakładałby podleganie każe pieniężnej przez podmiot ważny, jako przez podmiot, na który nie zostały nałożone obowiązki przeprowadzenia audytu bezpieczeństwa systemu informacyjnego.
Ze słów wytłuszczonych w przepisie …
Zgodnie z art. 73 ust. 1 pkt 11) KSC – karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który: (… ) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2 KSC
Zgodnie z art. 16 pkt 2) KSC- podmiot: (…) kluczowy zapewnia przeprowadzenie audytu po raz pierwszy w terminie 24 miesięcy – od dnia spełnienia przesłanek uznania za podmiot (…) ważny.
wynika, że ….
W przepisie mowa jest o terminie, jaki określony został w art. 16 pkt. 2 KSC. Innymi słowy podmiot ważny podlega karze, jeśli nie przeprowadza audytu po raz pierwszy w terminie 24 miesięcy – od dnia spełnienia przesłanek uznania za podmiot ważny.
Status podmiotu ważnego podmiot może nabyć albo poprzez spełnienie przesłanek ustawowych warunkujących uznanie go za podmiot ważny, albo przez wydanie decyzji o uznaniu go za podmiot ważny.
Powstaje zatem pytanie, czy podmiot względem którego wydana została decyzja o uznaniu go za podmiot ważny, podlega karze pieniężnej, o jakiej mowa w art. 73 ust.1 pkt 11 KSC, skoro nie jest on podmiotem, jaki spełnia przesłanki uznania go za podmiot ważny, albowiem tylko wtedy mogła zostać wydana decyzja o uznaniu go za podmiot ważny, czego konsekwencją jest brak możliwości zastosowania względem niego art. 16 pkt 2 KSC?
W przypadku wydania decyzji o uznaniu za podmiot ważny, w trybie art. 7l ust. 1 KSC, to przepisy w art. 7l ust. 7 pkt 2) KSC wskazuje termin na zapewnienie przeprowadzenia po raz pierwszy audytu, o którym mowa w art. 15 ust. 1 KSC, uznając iż jest to inny termin, aniżeli ten o jakim mowa w art. 16 pkt 2 KSC. Uznają bowiem, iż jest to termin 24 miesięcy – od dnia doręczenia tej decyzji o uznaniu za podmiot ważny.
Uznając takie rozumowanie za prawidłowe, dochodzimy do wniosku, iż podmiot uznany decyzją za podmiot ważny, ma prawem określony obowiązek i termin na przeprowadzenie audytu, o którym mowa w art. 15 ust. 1 KSC, jednak nie podlega od odpowiedzialności z art. 73 ust. 1 pkt 11) KSC w tej części przepisu, jaka określa, iż karze podlega podmiot ważny, jaki nie przeprowadza audytu w terminie o jakim mowa w art. 16 pkt. 2 KSC, albowiem to nie ten przepis, określa termin realizacji audytu dla podmiotu uznanego za ważny w drodze decyzji, a czyni to art. 7l ust. 7 pkt 2) KSC
Odpowiedzialność kierownika podmiotu kluczowego oraz ważnego
Dokumentacja RODO/ RCPD / DPIA / Ocena Ryzyka
