Wielu przedsiębiorców uważa, że brak widocznych problemów oznacza brak potrzeby prowadzenia rejestru. To błąd prawny. Rejestr incydentów bezpieczeństwa to udokumentowana historia zdarzeń naruszających ochronę danych lub systemy IT. Prowadzenie rejestru incydentów to bezwzględny obowiązek prawny wynikający z RODO i KSC, a zarazem narzędzie do zarządzania ryzykiem biznesowym. W tym artykule wyjaśniam, czym różni się incydent od zwykłego błędu i jak poprawnie dokumentować zdarzenia, włączając to w szersze procedury bezpieczeństwa informacji.
Co to jest incydent bezpieczeństwa?
Incydent bezpieczeństwa w polskim prawie to pojęcie wielowymiarowe. Musisz rozróżnić incydent w świetle RODO (naruszenie danych osobowych) od incydentu w świetle prawa cyberbezpieczeństwa (Ustawa o KSC i dyrektywa NIS2). Oba typy zdarzeń wymagają odmiennej reakcji prawnej i technicznej.
Przykłady z życia firm
Naruszenie ochrony danych to sytuacja zdefiniowana w art. 4 pkt 12 RODO. Przykładem jest pracownik banku, który wysyła plik Excel z danymi 200 klientów (nazwiska, PESEL, salda) na zły adres e-mail. Innym przykładem z polskiej praktyki jest kradzież laptopa służbowego z niezaszyfrowanym dyskiem, na którym znajdują się medyczne kartoteki pacjentów przychodni. W obu przypadkach mamy do czynienia z utratą poufności danych osobowych.
Incydent cyberbezpieczeństwa to zdarzenie zakłócające działanie systemu informacyjnego (art. 2 pkt 5 Ustawy o KSC). Przykładem jest atak ransomware na firmę produkcyjną, który zablokował linie produkcyjne. Nawet jeśli atak ten nie skompromitował danych osobowych, to jest to incydent dostępności. Kolejny przypadek to skuteczny atak DDoS na stronę urzędu miejskiego, uniemożliwiający obywatelom załatwianie spraw.
Granica między błędem a incydentem
Granica między zwykłym błędem a incydentem opiera się na weryfikacji trzech elementów: poufności, integralności i dostępności chronionych zasobów. Błąd to zdarzenie bez skutków prawnych. Przykład błędu to pracownik wysyłający wewnętrzny regulamin bez danych wrażliwych do współpracownika w tym samym dziale.
Incydent to ta sama sytuacja, w której pracownik dołącza do regulaminu bazę danych z ocenami pracowników (dane wrażliwe z art. 9 RODO) i wysyła ją na zewnętrzny adres. Nawet “mały błąd”, na przykład wysłanie e-maila z danymi jednej osoby na zły adres, spełnia definicję naruszenia z RODO. Takie zdarzenie musi zostać zarejestrowane, choć nie zawsze musi być zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Obowiązek prowadzenia rejestru – kiedy ma zastosowanie?
Obowiązek prowadzenia rejestru incydentów dotyczy każdej organizacji przetwarzającej dane osobowe. Dodatkowo, podmioty kluczowe i ważne muszą prowadzić rejestr zgodnie z przepisami o cyberbezpieczeństwie. Rejestr incydentów musisz prowadzić zawsze, niezależnie od skali zdarzenia.
Wymogi RODO
Podstawą prawną prowadzenia rejestru naruszeń jest art. 33 ust. 5 RODO. Przepis ten nakazuje dokumentować wszelkie naruszenia ochrony danych osobowych, w tym fakty dotyczące naruszenia, jego skutki oraz podjęte działania naprawcze.
Praktyka Prezesa UODO jest w tej kwestii bezwzględna. Prezes UODO w decyzjach (np. o sygnaturze DPN.510.105.2020 czy DPN.510.441.2021) nakłada kary administracyjne za sam brak rejestru naruszeń. Argument organu nadzorczego jest logiczny: brak wpisów w rejestrze oznacza brak wdrożonej procedury identyfikacji naruszeń. Brak rejestru to dla PUODO równoznaczne z naruszeniem art. 32 RODO (zabezpieczenia) i art. 33 ust. 5 RODO. Rejestrujesz każde naruszenie, nawet to, które nie wymaga zgłoszenia do PUODO z powodu zastosowanego szyfrowania.
NIS2 i sektorowe regulacje
Sektorowe regulacje wprowadzają jeszcze rygorystyczniejsze wymogi. Ustawa o Krajowym Systemie Cyberbezpieczeństwa (art. 8 ust. 1 pkt 7) wymaga od operatorów usług kluczowych (OUK) ustalenia i wdrożenia procedur obsługi incydentów.
Z kolei dyrektywa NIS2 (art. 21 ust. 2 lit. d) nakazuje przyjęcie środków zarządzania incydentami cyberbezpieczeństwa. Rejestr incydentów to dla organu nadzorczego (w Polsce: CSIRT NASK lub CSIRT GOV) podstawowy dowód, że podmiot zarządza bezpieczeństwem. Bez rejestru niemożliwe jest dotrzymanie rygorystycznych terminów zgłoszeń z NIS2, które wynoszą 24 godziny dla wstępnego zgłoszenia i 72 godziny dla pełnego zgłoszenia incydentu. W razie nieprawidłowości organ może wymagać reprezentacji prawnej przed sądami administracyjnymi.
Jak prowadzić skuteczny rejestr?
Skuteczny rejestr incydentów to narzędzie operacyjne, a nie tylko archiwum karne. Rejestr incydentów bezpieczeństwa musi pozwalać na szybkie filtrowanie danych i wyciąganie wniosków dla zarządu. Prawidłowo prowadzony rejestr ułatwia również późniejsze przygotowanie firmy do zewnętrznego audytu bezpieczeństwa informacji.
Minimalne dane do zapisania
Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (Art. 29 Working Party) oraz praktyką audytorów, rejestr naruszeń musi zawierać 5 konkretnych elementów:
- Data i godzina: Dokładny czas wystąpienia naruszenia lub moment jego wykrycia przez organizację.
- Fakty dotyczące naruszenia: Rodzaj danych, liczba affected osób oraz kategorie podmiotów, których dotyczy incydent.
- Skutki naruszenia: Rzeczywiste lub potencjalne skutki (np. szkoda majątkowa, utrata zaufania, ryzyko dyskryminacji).
- Działania naprawcze: Kroki podjęte po incydencie (np. wymuszenie zmiany haseł, zablokowanie kart dostępu, zgłoszenie zdarzenia na policję).
- Ocena ryzyka: Analiza tego, czy naruszenie stwarza ryzyko dla praw i wolności osób. Ta ocena decyduje o obowiązku zgłoszenia do PUODO w ciągu 72 godzin.
Narzędzia i szablony
Wybór narzędzia do prowadzenia rejestru zależy od wielkości Twojej organizacji. Dla mikro i małych przedsiębiorstw wystarczy starannie zabezpieczony plik Excel z hasłem. Dostęp do tego pliku Excel powinien mieć wyłącznie Inspektor Ochrony Danych (IOD) i członkowie zarządu. Plik Excel warto wyposażyć w listy rozwijane, aby ułatwić późniejsze raportowanie.
Dla sektora publicznego oraz dużych przedsiębiorstw konieczne są systemy klasy ITSM (np. Jira Service Management, ServiceNow, Freshservice). W tych systemach incydenty bezpieczeństwa mają osobny typ zgłoszenia (tzw. ticket), ścisły system uprawnień (RBAC) i niezmienny audyt trail, czyli historię zmian w rekordzie.
Wskazówka od Cyberpolex: Narzędzie do prowadzenia rejestru musi gwarantować najwyższą poufność. Rejestr incydentów zawiera informacje o lukach w zabezpieczeniach Twojej firmy, dlatego dostęp do rejestru incydentów musi podlegać ścisłej kontroli.
Najczęstsze pytania o rejestr incydentów
Czy muszę zgłaszać do PUODO każdy incydent zapisany w rejestrze?
Nie. Rejestrujesz każde naruszenie, ale zgłaszasz tylko te, które stwarzają ryzyko dla praw i wolności osób fizycznych. Jeśli dane były zaszyfrowane i nie dostały się w niepowołane ręce, wpisujesz zdarzenie do rejestru, ale nie zgłaszasz go do PUODO.
Kto w firmie powinien odpowiadać za prowadzenie rejestru incydentów?
Za merytoryczne prowadzenie rejestru odpowiada Inspektor Ochrony Danych (IOD). W praktyce zgłoszenia do rejestru często inicjują pracownicy działu IT lub księgowości, ale to IOD weryfikuje klasyfikację zdarzenia i ocenia ryzyko.
Czy awaria strony internetowej bez wycieku danych to incydent?
Dla RODO nie, ponieważ nie doszło do naruszenia danych osobowych. Jednak dla Ustawy o KSC i dyrektywy NIS2 taka awaria to incydent cyberbezpieczeństwa (zakłócenie dostępności). Podmioty objęte tymi przepisami muszą wpisać taką awarię do swojego rejestru incydentów.
Jak długo muszę przechowywać rejestr incydentów bezpieczeństwa?
RODO nie określa konkretnego czasu retencji dla samego rejestru. Praktyka wskazuje na przechowywanie rejestru przez minimum 3 do 5 lat. Czas ten pozwala na obronę przed ewentualnymi roszczeniami cywilnoprawnymi osób, których dane dotyczyły.
