Serwis korzysta z plików cookies w celu realizacji usług zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce. Dowiedz się więcej Rozumiem
W UE trwają prace nad zwiększeniem bezpieczeństwa w sieci
Biuro Warszawa
Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa
tel. +48 22 652 26 18 

warsaw@dlklegal.com


Biuro Kraków
ul. Królowej Jadwigi 237
30-218 Kraków
tel. +48 12 410 07 47 

cracow@dlklegal.com

Od kilku dni w sieci pojawiają się informacje o internetowym ataku, którego ofiarą padł jeden z polskich banków. Jak podają media, haker miał wykraść z głównego serwera banku dane osobowe klientów, ich hasła, a nawet środki zgromadzone na rachunkach. Czy użytkownicy bankowości mobilnej powinni czuć się zagrożeni?

Problemy związane z cyberprzestępczością zostały dostrzeżone nawet na szczeblu unijnym. Obecnie w Parlamencie i Radzie UE trwają prace nad zwiększeniem poziomu bezpieczeństwa użytkowników, którzy korzystają z usług świadczonych przez Internet. Jakie są najważniejsze zmiany?

Po wejściu w życie przepisów dyrektywy NIS (dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii – ang. network and information security) podmioty z branży finansowej obejmie obowiązek zgłaszania do właściwych organów wszelkich incydentów mających niekorzystny wpływ na bezpieczeństwo świadczonych usług. Poniżej przepis w ostatnim proponowanym brzmieniu na dzień 9 marca 2015 r.

Art. 14
2a. Market operators shall notify the incidents referred to in paragraphs 1 and 2 to the competent authority or the single point of contact in the Member State where the core service is affected. Where core services in more than one Member State are affected, the single point of contact which has received the notification shall, based on the information provided by the market operator, alert the other single points of contact concerned. The market operator shall be informed, as soon as possible, which other single points of contact have been informed of the incident, as well as of any undertaken steps, results and any other information with relevance to the incident.
 
Obowiązek notyfikacji incydentów zawiera również projekt rozporządzenia w sprawie ochrony danych osobowych (General Data Protection Regulation) oraz projekt dyrektywy w sprawie usług płatniczych (PSD II). Co istotne, w każdym z tych aktów prawnych przewiduje się zgłaszanie naruszeń do zupełnie innych organów.
 
Ponadto, zgodnie z Rekomendacją D, banki powinny wdrożyć procedury zarządzania incydentami bezpieczeństwa systemów IT. Powinny one uwzględniać zasady komunikacji, obejmujące pracowników banku oraz insourcerów, a w przypadku istotnego narażenia na skutki danego incydentu – również klientów, kontrahentów i inne osoby. Bank powinien dysponować mechanizmami (adekwatnymi do poziomu istotności incydentu), umożliwiającymi odpowiednio szybkie powiadomienie narażonych podmiotów, w celu podjęcia działań zmierzających do ograniczenia skutków zdarzenia.
Procedury wewnętrzne banku, zgodnie z rekomendacją D, powinny obejmować również m.in. zasady gromadzenia i zabezpieczania dowodów związanych z incydentami, które będą mogły zostać wykorzystane w ewentualnych postępowaniach sądowych (w szczególności minimalizujące ryzyko utraty takich dowodów lub ich odrzucenia ze względu na niewłaściwe zabezpieczenie danych), a także zasady dotyczące podejmowania działań naprawczych i zapobiegawczych, obejmujące w szczególności przypisanie osób odpowiedzialnych za realizację tych działań oraz monitorowanie stanu ich realizacji.
KNF oczekuje także, że banki będą prowadzić rejestr incydentów.

------
Zespół Prawa Rynków Finansowych posiada doświadczenie w zakresie wdrażania rekomendacji KNF, a także w kwestiach związanych z zarządzaniem incydentami bezpieczeństwa w instytucjach finansowych. Zachęcamy do kontaktu z dLK.