Atak hakerski od strony prawnej - jak reagować i o czym pamiętać

Liczba ataków cyfrowych na polskie firmy stale wzrasta. Tylko w 2024 roku CERT Polska odnotował rekordowy wzrost aktywności cyberprzestępców. Zaobserwowano ponad 600 tysięcy zgłoszeń i aż 29% ataków więcej niż rok wcześniej¹. Straty wizerunkowe i finansowe mogą być w tym przypadku ogromne. W jaki sposób przedsiębiorcy mogą się przygotować, aby je zminimalizować i co robić, kiedy już dojdzie do ataku online?

Obowiązki przedsiębiorców związane z cyberbezpieczeństwem

Obowiązki ciążące na firmach, które mają związek z bezpieczeństwem w sieci, można podzielić na dwie kategorie. Pierwsza z nich dotyczy wdrożenia odpowiednich mechanizmów ochronnych i dokumentacji, a także współpracy z organami nadzoru. Takie działania mają na celu zapewnienie compliance od strony formalnej i możliwości wykazania, że przedsiębiorca był należycie przygotowany do ataku hakerskiego. Druga kategoria działań dotyczy aktywności po wystąpieniu incydentu, niezależnie od tego, czy faktycznie w firmie istniała odpowiednia ochrona.

Regulacje dotyczące cyberbezpieczeństwa są dosyć mocno rozbudowane i rozproszone. W gąszczu przepisów łatwo przeoczyć obowiązujące normy, dlatego warto regularnie zlecać audyty IT zewnętrznej firmie, zarówno informatycznej, jak i kancelarii prawnej. Przyjrzyjmy się najważniejszym regulacjom prawnym z punktu widzenia cyberbezpieczeństwa

Potrzebujesz porady prawnika?

Każda sytuacja jest inna.
Opisz swoją sprawę, a podpowiem, jakie kroki warto podjąć w Twoim przypadku.

Wyślij zapytanie

Rozporządzenie RODO

Akt prawny RODO² w art. 24 nakłada na administratorów danych obowiązek wdrożenia technicznych i organizacyjnych środków, które mają zapewnić zgodność z prawem przetwarzania danych osobowych. Stopień złożoności tych środków powinien być adekwatny do skali i specyfiki prowadzonej działalności gospodarczej. Jednoosobowy biznes nie potrzebuje aż tak zaawansowanych technologii, jak duży e-commerce działający na obszarze kilku krajów. Niemniej jednak administrator danych osobowych w razie szkody spowodowanej incydentem nie może bronić się twierdzeniem, że nie dysponuje budżetem na zabezpieczenia. Do przykładowych rozwiązań warto zaliczyć np.:

• systemy kontroli dostępu do danych osobowych,
• szyfrowanie danych i ich psedonomizacja,
• szyfrowanie wieloskładnikowe,
• biometryczna kontrola dostępu do pomieszczeń,
• regularne szkolenia pracowników z zakresu obowiązków w zakresie ochrony danych osobowych.

Dodatkowo trzeba pamiętać o konieczności opracowania indywidualnej dokumentacji, która obejmuje m.in. politykę ochrony danych osobowych, procedurę nadawania upoważnień, ewidencję incydentów, czy opis środków bezpieczeństwa. Ogromne znaczenie mają też rejestr czynności przetwarzania i ocena skutków dla ochrony danych osobowych. Każdy z tych dokumentów ma swoje miejsce w systemie ochrony danych osobowych i żadnego z nich przedsiębiorca nie powinien pomijać.

Potrzebujesz pomocy we wdrożeniu RODO? Zobacz, jak działamy: https://rpms.pl/obsluga-prawna-rodo/

Incydent w kontekście RODO

W świetle przepisów RODO duże znaczenie ma właściwa obsługa incydentu stosownie do przepisów art. 33 i 34 RODO. Administrator powinien we właściwym terminie zgłosić naruszenie organowi nadzoru (najlepiej do 72 godzin), a także podjąć starania mające na celu usunięcie skutków naruszenia. Może też pojawić się potrzeba zawiadomienia osób, których dane osobowe zostały naruszone.

Jak zachować się w przypadku naruszenia przepisów RODO?

W przypadku incydentu na gruncie RODO kluczowe znaczenie ma zawiadomienie organu nadzoru o naruszeniu, a także zabezpieczenie dowodów, które przydadzą się na etapie postępowania wyjaśniającego. W szczególności należy zwrócić uwagę na takie zasoby jak:

• logi serwera,
• monitoring,
• informacje o anomaliach systemowych z oprogramowania IPS/IDS lub z działu IT,

Pamiętaj, żeby nie kasować w pośpiechu podejrzanych danych, nie restartować systemów i nie przywracać backupów bez konsultacji ze specjalistami. W ten sposób łatwo o usunięcie dowodów potwierdzających wywiązanie się z zasady rozliczalności przez administratora. Niezwłocznie skontaktuj się z działem IT oraz kancelarią prawną, która zajmuje się wdrożeniem RODO i monitorowaniem compliance w tym zakresie.

W jaki sposób pomagamy naszym klientom na gruncie RODO?

Naszym zadaniem jako kancelarii prawnej jest opracowanie tzw. Legal Response Plan. To strategia działania, której zadaniem jest ograniczenie ryzyka naruszeń na gruncie RODO, zapewnienie compliance z obowiązującymi przepisami oraz wsparcie administratora w realizacji spoczywających na nim obowiązków:

• wdrażamy RODO w organizacji i monitorujemy prawidłowość procesów w tym zakresie,
• weryfikujemy zgodność z prawem przetwarzania danych osobowych (zabezpieczenia informatyczne, kontrola dostępu, upoważnienia, umowy powierzenia przetwarzania danych osobowych),
• szkolimy pracowników korzystających z infrastruktury IT  – jak się zachować, aby nie utrudniać postępowania wyjaśniającego,
• zapewniamy komunikację z organem nadzoru,
• opracowujemy komunikaty przeznaczone dla osób, których dane mogły zostać naruszone wskutek incydentu,
• pomagamy zebrać dowody na potrzeby postępowania przed Prezesem UODO.

Pamiętaj, że naruszenie integralności danych osobowych może prowadzić do odpowiedzialności cywilnej. Reprezentujemy klientów także przed sądami powszechnymi.

Obowiązki przedsiębiorców na gruncie NIS2

Kolejnym poziomem bezpieczeństwa są zasady określone przez dyrektywę NIS2³. O ile RODO dotyczy wszystkich administratorów, NIS2 nakłada obowiązki wyłącznie na wybrane firmy z obszarów uznanych za kluczowe i ważne. Jest to np. energetyka, transport, bankowość, infrastruktura rynków finansowych, czy infrastruktura cyfrowa. O przynależności do danej grupy decyduje nie tylko branża, ale też skala prowadzonej działalności. NIS2 zasadniczo dotyczy średnie i duże przedsiębiorstwa, ale część mniejszych firm również będzie musiała tę dyrektywę stosować (jeśli świadczy usługi krytyczne). Do najważniejszych obowiązków należy zaliczyć:

• prowadzenie regularnych audytów bezpieczeństwa cybernetycznego,
• informowanie właściwych organów nadzoru o incydencie w terminie 24 godzin, 72 godzin albo jednego miesiąca w zależności od wagi naruszenia
• wyznaczenie punktu kontaktowego do spraw cyberbezpieczeństwa.

Unijny ustawodawca nakazuje też wdrożyć zabezpieczenia techniczne i organizacyjne proporcjonalne do potrzeb danej firmy. W szczególności mogą to być: zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników. Niezbędne jest organizowanie szkoleń dla pracowników oraz szerzenie wiedzy na temat cyber zagrożeń, phishingu lub technik inżynierii społecznej. NIS2 przewiduje też testy penetracyjne, czyli symulowane ataki mające na celu identyfikację i analizę luk bezpieczeństwa w systemie informatycznym. Sankcje za naruszenie NIS obejmują przede wszystkim sankcje finansowe do 10 milionów euro albo 2% globalnego rocznego obrotu. Mogą też pojawić się kary dodatkowe w postaci np. cofnięcie zezwolenia na prowadzenie działalności regulowanej, czy kara pieniężna dla członków organu zarządzającego.

Łączymy ekspertyzę prawną, finansową i IT. Zobacz, jak prowadzimy projekty FinTech: https://rpms.pl/fintech-technologia-finansowa/

W jaki sposób wdrażamy NIS2 w przedsiębiorstwach?

Kluczem do prawidłowego wdrożenia NIS2 jest rozpoznanie ram regulacyjnych, czyli ustalenie, czy dany podmiot jest przedmiotowo lub podmiotowo objęty przepisami dyrektywy. Prawidłowa implementacja NIS2 w organizacji to złożony proces, który można podzielić na kilka etapów. Zobacz, jak działamy:

• Krok pierwszy – ustalamy, czy przedsiębiorca kwalifikuje się jako podmiot kluczowy (essential) czy ważny (important),
• Krok drugi – przeprowadzamy analizę GAP, czyli ustalenie stanu wyjściowego technologii oraz brakujących rozwiązań, które należy wdrożyć zgodnie z regulacją,
• Krok trzeci – stworzenie analizy ryzyka na potrzeby NIS2,
• Krok czwarty – dostosowanie procesów do wymagań NIS2 (np. w zakresie raportowania incydentów) oraz opracowanie niezbędnych polityk, o których mowa w art. 21 aktu prawnego – m.in. ciągłość działania, bezpieczeństwo łańcucha dostaw, zarządzanie ryzykiem IT, kryptografia, bezpieczeństwo zasobów ludzkich,
• Krok piąty – stworzenie niezbędnej dokumentacji oraz wytycznych w zakresie technologii niezbędnej do wdrożenia.

Możesz liczyć na naszą pomoc również w zakresie regularnych szkoleń pracowników oraz obsługi incydentów z uwzględnieniem powiadomienia wstępnego (tzw. Early Warning) do właściwego organu CSIRT.

Bezpieczeństwo cyfrowe według PSD2

Dyrektywa PSD2⁴ ma na celu stworzenie jednolitego i bezpiecznego środowiska cyfrowego dla bezgotówkowych usług płatniczych. Wprowadza ona takie elementy, jak silne uwierzytelnianie użytkownika (Strong Customer Authentication, SCA), a także ogranicza odpowiedzialność konsumentów za nieautoryzowane płatności. Regulacje PSD2 wyeliminowały również dodatkowe opłaty za usługi finansowe (Surcharge) oraz znacząco usprawniły procedurę reklamacyjną.

Podstawowym obowiązkiem na gruncie PSD2 jest opracowanie procedury uwierzytelniania SCA, a także udostępnienie interfejsu Open API, który pozwoli łączyć się z infrastrukturą przedsiębiorcy zewnętrznym podmiotom za pomocą swojego oprogramowania w celu realizacji tzw. otwartej bankowości (Open Banking). W kontekście incydentów na gruncie cyberbezpieczeństwa PSD2 obliguje podmioty do raportowania naruszeń do regulatora, którym w Polsce jest KNF.

Zapewnienie zgodności usług płatniczych z unijnymi przepisami RTS (Regulacyjne Standardy Techniczne) niesie ze sobą duże wyzwania szczególnie dla mniejszych firm, które dysponują ograniczonymi zasobami. Przed rozpoczęciem świadczenia usług upewnij się, że zadbałeś o właściwą obsługę technologiczną takich rozwiązań jak:

• silne uwierzytelnianie klienta (SCA),
• protokoły komunikacji TPP spełniające wymagania stawiane przez RTS (m.in. uwierzytelnianie połączenia na podstawie wyraźnej zgody użytkownika, integralność i poufność przez cały czas trwania procesu),
• przetestowanie protokołu TPP pod względem zgodności ze specyfikacją techniczną,
• zapewnienie strategii i planu działania w zakresie środków awaryjnych,
• ochrona indywidualnych danych uwierzytelniających użytkownika.

Pomożemy Ci wdrożyć reguły RTS w instytucji płatniczej. Przeanalizujemy zgodność procesów i dokumentacji z wymaganiami KNF, EBA oraz standardami RTS. Wspieramy raportowanie incydentów do KNF oraz formułowanie powiadomień do użytkowników, dla których incydent może mieć negatywne konsekwencje.

eIDAS

Rozporządzenie eIDAS2⁵ ustanawia ramy prawne dla weryfikacji tożsamości cyfrowej poprzez wprowadzenie podpisów elektronicznych. Unijny ustawodawca wymaga korzystania z certyfikowanych systemów identyfikacji, a także zarządzania cyklem życia certyfikatów przez ich dostawców. W przypadku naruszenia regulacji eIDAS pojawia się ryzyko kary finansowej w wysokości do 5 milionów euro.

Zapewnienie compliance z eIDAS to przede wszystkim wprowadzenie zabezpieczeń cyfrowych, które minimalizują ryzyko dostępu do systemu przez osoby nieuprawnione.

Chcesz zabezpieczyć obszar IT swojego biznesu? Poznaj nasze doświadczenie w tym sektorze: https://rpms.pl/it-nowe-technologie/

Kompleksowe doradztwo przy cyberzagrożeniach – sprawdź, co możemy dla Ciebie zrobić

Pomagamy naszym klientom w kompleksowym wdrożeniu regulacji prawnych dotyczących cyberbezpieczeństwa i audytujemy organizacje na płaszczyźnie IT compliance. Nasi specjaliści przeprowadzą audyt Twojego biznesu oraz zaprojektują i przeprowadzą wdrożenie zarówno krajowych, jak i wspólnotowych regulacji. Pomożemy inkorporować w biznesowy model organizacji przepisy:

• RODO,
• NIS2,
• PSD2,
• eIDAS,
• DORA.

Zadbamy o Twoje bezpieczeństwo, abyś mógł rozwijać swój biznes zgodnie z prawem.

¹https://www.gov.pl/web/baza-wiedzy/analiza-bezpieczenstwa-polskiego-internetu-w-2024-roku [dostęp: 27.11.2025 r.]

²https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=celex:32016R0679

³https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555

⁴https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02015L2366-20250117

⁵https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX:32024R1183