Jak ważne jest cyberbezpieczeństwo firm?

Dane ENISA nie pozostawiają złudzeń. 54% wszystkich cyberataków uderza w sektory kluczowe dla Polski i Unii Europejskiej. Prawie 40% zarejestrowanych incydentów w ubiegłym roku dotknęło instytucji administracji publicznej, 7,5% – sektora transportu, 5% – infrastruktury cyfrową. Według CERT Polska najczęściej zgłaszanym incydentem w 2024 r. był phishing; odnotowano 40 120 takich incydentów. Często są wycelowane w organizacje, które nie zarządzają rygorystycznie bezpieczeństwem łańcucha dostaw IT.

Paradoks polega na tym, że nawet ci, którzy deklarują dbałość o cyberbezpieczeństwo, rzadko weryfikują pochodzenie używanego oprogramowania. Różnice pokoleniowe są przy tym wyraźne: kraj pochodzenia jako kryterium wyboru wskazuje zaledwie 18% osób między 18. a 27. rokiem życia, podczas gdy wśród seniorów powyżej 60. roku życia odsetek ten wynosi 27% – wciąż nie jest to nawet jedna trzecia.

Wybór narzędzia cyfrowego to dziś decyzja prawna, nie tylko techniczna. Organizacje objęte dyrektywą NIS2 są zobowiązane do zarządzania ryzykiem w łańcuchu dostaw ICT, co oznacza m.in. ocenę dostawców pod kątem jurysdykcji, w której operują. Dostawca z siedzibą poza UE to nie dyskwalifikacja, ale realne, dodatkowe ryzyko, które trzeba umieć udokumentować i uzasadnić wobec organów nadzorczych.

Polecamy: Wideoszkolenie: ESG compliance – jak wdrożyć w Twojej firmie?
Chiny szykują się do wojny z USA. Na oceanach dzieje się coś zdumiewającego
Chiny szykują się do wojny z USA. Na oceanach dzieje się coś zdumiewającego

Zobacz również

Czy serwery w Europie wystarczają?

Wiele organizacji zakłada, że skoro platforma ma serwery w Europie, dane pozostają bezpiecznie w UE. W świetle obowiązującego prawa to zbyt duże uproszczenie.

Ważne

Z perspektywy RODO i NIS2 liczy się nie tylko lokalizacja infrastruktury, ale przede wszystkim to, jakiemu prawu podlega dostawca.

Firma z siedzibą w USA – nawet przechowująca dane w europejskim centrum danych – może podlegać CLOUD Act, który zobowiązuje ją do udostępnienia danych organom amerykańskim niezależnie od miejsca ich fizycznego przechowywania.

Samo podpisanie Standardowych Klauzul Umownych (SCC) nie eliminuje tego ryzyka automatycznie. Każda organizacja musi samodzielnie ocenić, czy klauzule są skuteczne w konkretnym przypadku – a gdy dostawca podlega CLOUD Act, a nie ma technicznych możliwości zablokowania dostępu do danych, transfer może być po prostu nielegalny.

Praktyczne konsekwencje są trojakie. Organizacja musi na bieżąco śledzić zmiany prawne w obcym kraju – co dla większości działów compliance jest realnym wyzwaniem operacyjnym. Dostawca spoza UE może zostać zakwalifikowany jako podmiot wysokiego ryzyka (HRV), ponieważ kraj pochodzenia jest jednym z kryteriów oceny w procedurach NIS2. Wreszcie wykazanie zgodności przed UODO, KNF, NFZ lub innymi organami nadzorczymi jest po prostu trudniejsze, gdy dostawca działa w innej jurysdykcji.

Kogo obejmuje dyrektywa NIS 2 i dlaczego łańcuch dostaw ma znaczenie?

Dyrektywa NIS2 nakłada obowiązki na podmioty z 18 sektorów uznanych za kluczowe lub ważne: ochronę zdrowia, administrację publiczną, energetykę, transport, sektor bankowy, infrastrukturę cyfrową i inne. Przepisy mogą objąć więc chociażby szpital powiatowy, uczelnię wyższą, urząd miejski czy firmę zatrudniającą ponad 50 osób, działającą w jednym z wymienionych sektorów.

Co ważne: regulacje nie dotyczą wyłącznie samych organizacji. Obejmują cały łańcuch dostaw ICT – w tym dostawców platform komunikacyjnych, które przetwarzają dane rejestracyjne uczestników, treści czatów, nagrania, wyniki ankiet czy dane o aktywności. Np. platforma webinarowa pełniąca istotną rolę w procesach organizacji powinna być traktowana jako krytyczny dostawca ICT i poddana formalnej ocenie pod kątem ryzyka.

Umowa z dostawcą platformy webinarowej powinna zawierać znacznie więcej niż standardowe warunki usługi". Powinny znaleźć się w niej klauzule dotyczące ciągłości działania, zgłaszania incydentów w ustalonych terminach, prawa do audytu, wymogów wobec podwykonawców i standardów zabezpieczeń. To wymagania, które można i należy egzekwować umownie.

Kontrola pieca gazowego - cennik 2026. Ile kosztuje przegląd i jak często trzeba go robić? Czy przegląd pieca gazowego jest obowiązkowy?
Kontrola pieca gazowego - cennik 2026. Ile kosztuje przegląd i jak często trzeba go robić? Czy przegląd pieca gazowego jest obowiązkowy?

Zobacz również

Dlaczego warto wybierać europejskie narzędzia cyfrowe?

Organizacje, które wybierają dostawcę działającego wyłącznie w ramach prawa UE, zyskują kilka konkretnych korzyści. Nie muszą analizować ryzyka transferów do państw trzecich – dane pozostają w UE, a ryzyko jest wyeliminowane strukturalnie. Audyty są prostsze, bo dostawca działa w ramach tych samych regulacji. Zmiana przepisów w USA – czy to CLOUD Act, FISA, czy przyszłe regulacje – nie ma wpływu na poziom ochrony danych. Prostsze jest również wykazanie zgodności przed krajowym organem nadzorczym, ponieważ nie wymaga tłumaczenia złożonych relacji jurysdykcyjnych.

Warto wybierać rozwiązania, które:

  • posiadają serwery w Europejskim Obszarze Gospodarczym,
  • mogą przedstawić certyfikat ISO/IEC 27001:2022 potwierdzony zewnętrznym audytem,
  • oferują umowę powierzenia danych zgodną z art. 28 RODO oraz przejrzyste procedury reagowania na incydenty,
  • jako przedsiębiorca komunikacji elektronicznej podlegają nadzorowi UKE.

Podmiot kluczowy lub ważny, który wybiera takie rozwiązanie, może wpisać platformę do rejestru dostawców ICT z gotową dokumentacją – bez przeprowadzania złożonych analiz prawnych dotyczących ryzyk jurysdykcyjnych poza granicami Unii.

Adam Detmer, radca prawny ClickMeeting, polskiej platformy do webinarów i szkoleń online