Cybersec Update #3: Czy i co CSIRT powinien wiedzieć o informacjach poufnych?
Zgłaszanie incydentów cyberbezpieczeństwa to jedno z najczęściej omawianych zagadnień w kontekście nowelizacji UKSC i dyrektywy NIS2. Terminowość nie jest tu niczym nowym – od czasu RODO jesteśmy przyzwyczajeni do raportowania incydentów w określonych ramach czasowych. Nowe regulacje w zakresie cyberbezpieczeństwa wprowadzą w tym obszarze trójstopniowy system zgłaszania: wczesne ostrzeżenie (24h), zgłoszenie incydentu (72h) oraz sprawozdania okresowe i końcowe. Ale co z informacjami prawnie chronionymi, które mogą być kluczowe dla obsługi incydentu przez CSIRT, a jednocześnie stanowią tajemnicę przedsiębiorstwa? Gdzie przebiega granica między obowiązkiem współpracy a ochroną poufności biznesowej?
Nowy obowiązek zgłaszania incydentów
Nowelizacja UKSC i dyrektywa NIS2 nakładają na podmioty kluczowe i ważne obowiązek raportowania w trzech etapach. Wczesne ostrzeżenie musi zostać złożone w ciągu 24 godzin od wykrycia incydentu, pełne zgłoszenie incydentu w ciągu 72 godzin, a następnie należy składać sprawozdania okresowe i końcowe dotyczące obsługi incydentu.
Do terminowości zgłaszania naruszeń powinniśmy być już przyzwyczajeni, przynajmniej od czasów RODO. Jednak nowelizacja wprowadza dodatkowy wymiar – kwestię dzielenia się informacjami prawnie chronionymi z właściwym CSIRT
Jak chronić informacje poufne przy zgłoszeniu do CSIRT
Z jednej strony szczegółowe informacje o incydencie pozwalają CSIRT na skuteczne działanie przy obsłudze podatności i koordynację odpowiedzi na zagrożenia. Z drugiej strony mogą one zawierać dane stanowiące tajemnicę przedsiębiorstwa lub inne prawnie chronione informacje, których ujawnienie może zaszkodzić interesom organizacji.
Co na ten temat mówi nowelizacja UKSC? Podmiot kluczowy lub podmiot ważny powinien oznaczyć we wczesnym ostrzeżeniu informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa. Jest to kluczowy mechanizm ochronny, który pozwala na zachowanie równowagi między bezpieczeństwem a ochroną interesów biznesowych.
Uprawnienia CSIRT i ograniczenia w wykorzystaniu danych
Właściwy CSIRT może zwrócić się do podmiotu zgłaszającego o uzupełnienie przekazanych informacji, w tym również w zakresie danych poufnych. Musi jednak zrobić to wyłącznie w zakresie niezbędnym do realizacji swoich ustawowych zadań.
Co istotne, na CSIRT nałożony został zakaz wykorzystania takich informacji do innych celów niż te, które wynikają z jego ustawowych kompetencji. To dodatkowe zabezpieczenie, które ma chronić podmioty zgłaszające przed nieuprawnionym rozpowszechnianiem ich poufnych danych.
Kiedy informacja stanowi tajemnicę przedsiębiorstwa
O tym, czy dane informacje stanowią tajemnicę przedsiębiorstwa, powinno decydować spełnienie warunków określonych w ustawie o zwalczaniu nieuczciwej konkurencji (UZNK). Kluczowe znaczenie mają działania podjęte przez samego przedsiębiorcę w celu utrzymania tych informacji w poufności.
Jakie to działania? To zależy od konkretnych okoliczności każdego przypadku. Na pewno będą to zarówno środki techniczno-organizacyjne (jak kontrola dostępu, szyfrowanie, monitoring), jak również typowo prawne rozwiązania (klauzule poufności w umowach, regulaminy, polityki bezpieczeństwa) służące ochronie tych informacji.
Przygotowanie zanim przyjdzie incydent
Decyzja o wprowadzaniu środków ochrony informacji poufnych powinna zapaść dużo wcześniej niż etap zgłoszenia incydentu do CSIRT. Być może nigdy nie przyjdzie nam zgłaszać incydentu do CSIRT, ale wystąpić do sądu w sprawie działań naruszających uczciwą konkurencję przez kontrahenta lub byłego pracownika – to już bardziej prawdopodobny scenariusz.
Dlatego właściwe oznaczenie i ochrona tajemnicy przedsiębiorstwa to nie tylko kwestia compliance z nowymi regulacjami NIS2/KSC2, ale szersza strategia ochrony wartości biznesowych organizacji. Warto zadbać o te aspekty już dziś, zanim zajdzie pilna potrzeba ich zastosowania.
