La cybersécurité en Pologne – lexologie ® assurance santé entreprise

La responsabilité civile pro

Cette aplomb facultative, sauf pour plusieurs professions, se révèle à l’interieur des faits, indispensable à quasiment toutes les entreprises. Elle couvre exhaustifs les corporels, matériels ainsi qu’à immatériels occasionnés à des troisième (clients et fournisseurs) parmi le chef d’entreprise, ses salariés, ses locaux et pourquoi pas ses apparat par l’exercice de l’activité ainsi qu’à après la livraison d’articles se révélant défaillants. Sont exclus les dommages créés par des articles ou une activité ne répondant pas aux ou aux impératifs de sécurité en vigueur.

Le montant de la prime dépend du chiffre d’affaires, du secteur et de la nature de l’activité de la société, selon les risques encourus. En cas de dommage, l’entreprise doit transmettre à son assureur la réclamation reçue de son client ou fournisseur, auquel il incombe d’apporter la démonstration du préjudice subi. La compagnie négocie en or nom de la societé avec le plaignant pour trouver un ajustement en de légers. Dans le de sinistres lourds, des techniciens compétent évalueront le montant des dommages.

A noter. Pour TPE, les assureurs proposent des montants de indemnité forfaitaires.

7. La responsabilité civile obligatoire à différents secteurs d’activité

Les sociétés du BTP ont l’obligation de souscrire une espoir responsabilité décennale qui couvre les dommages constatés dans les dix ans suivant la livraison des travaux. Cette espoir s’applique lorsque les dommages compromettent la solidité de l’ouvrage (infiltration d’eau dans la toiture, effondrement d’un balcon…) ainsi qu’à entraînent de importantes nocuité (mauvaise étanchéité…).

La participation d’une maîtrise responsabilité civile professionnel est, parmi ailleurs, obligatoire pour plusieurs fonction réglementées a l’intérieur du domaine de la santé (médecins, infirmiers…), du droit (avocats, notaires…) et aussi agents immobiliers, musée de voyages, les experts-comptables… Elle couvre causés à des troisième a l’intérieur du cadre de l’activité (erreurs de prescription, risques opératoires), risques liés à la disparition de fonds transmis dans des particuliers et qui transitent dans eux (agents immobiliers, notaires…) ou des risques rares à plusieurs métier (détérioration de meubles pour les sociétés de déménagement ou calamité pour les exploitants de remontées mécaniques).

Ces diverses fin d’assurance sont certes pas mal utiles. “Mais il faut remettre la garantie à la bonne place a l’intérieur du processus de gérance des risques de l’entreprise” estime Louis-Remy Pinault, apporter opération d’assurances, chez Générali. Une affirmation que la relation entre l’assureur, l’intermédiaire et l’assuré est plus globale.

Le système juridique

Législation

Résumez les principales lois et réglementations qui favorisent la cybersécurité. Avez-vous des lois sur la cybersécurité dans votre juridiction?

La Pologne a mis en œuvre le 2016 6 juillet Adoptant la directive (UE) 2016/1148 du Parlement européen et du Conseil relative à des mesures visant à garantir un niveau commun élevé de sécurité des réseaux et des systèmes d'information dans toute l'Union 5 juillet système national de cybersécurité dans l'ordre juridique polonais. La loi est entrée en vigueur en 2018. 28 août Et il existe un seul texte législatif consacré uniquement à la question de la cybersécurité.

La loi impose certaines obligations aux prestataires de services de base (c'est-à-dire aux entités fournissant des services essentiels au fonctionnement de l'économie et de la société).

2019 22 octobre Résolution du Conseil des ministres no. 125 stratégie de cybersécurité de la République de Pologne pour 2019-2024 a été approuvée. Cette stratégie a remplacé la cybersécurité en 2017-2022. La stratégie comprendra, entre autres, une description des actions qui amélioreront la résilience aux incidents et la sécurité de l'information dans les secteurs public, militaire et privé.

La question de la cybersécurité a également été abordée par le législateur dans le Code pénal polonais, qui traite des types de délits liés à la sécurité numérique et de l'information détaillés au chapitre XXXIII du Code pénal. Les catégories de délits suivantes sont punies:

  • Destruction des données informatiques (article 268 bis du code pénal);
  • Dommages aux données informatiques (article 260 du code pénal);
  • dysfonctionnement d'un système d'information, d'un système TIC ou d'un réseau TIC (article 260 du code pénal);
  • la création de logiciels informatiques adaptés à la criminalité, ainsi que de mots de passe informatiques, codes d'accès et autres qui permettent un accès non autorisé aux informations stockées dans un système d'information, un système TIC ou un réseau TIC (article 269b du code pénal); et
  • fraude informatique commise en affectant le traitement, la collecte ou la transmission automatiques de données informatiques, ou en modifiant, supprimant ou saisissant de nouveaux enregistrements de données informatiques pour gain ou dommage matériel (article 287 du code pénal).

Les décisions prises au chapitre XXXIII du Code pénal sont celles de la convention no. 185 sur la cybercriminalité ainsi que le résultat de la décision-cadre 2005/222 / JAI du Conseil relative aux attaques contre les systèmes d'information.

Certains secteurs de l'économie, tels que le secteur financier, ont également des réglementations spécifiques concernant la sécurité de l'information. Par exemple, le secteur financier est couvert par la directive-cadre de 2004. 26 octobre Règlement du Conseil des ministres sur la création, l'enregistrement, la transmission, le stockage et la protection des documents bancaires dans le stockage électronique des données, qui est une loi dérivée dans le secteur bancaire.

En tant que membre de l'Union européenne, la Pologne est liée par les réglementations de l'UE (par exemple la loi européenne sur la cybersécurité).

En outre, la cybersécurité peut être considérée comme faisant partie d'une réglementation plus large des flux de données, de sorte que les réglementations sur la protection des données personnelles sont complémentaires. Nous sommes en 2018. 10 mai Loi polonaise sur la protection des données personnelles et loi de 2016 27 avril Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46 / CE (règlement général sur la protection des données (RGPD)).

Quels secteurs économiques de votre juridiction sont les plus soumis aux lois et réglementations en matière de cybersécurité?

Les infrastructures de l'énergie, des transports, des banques et des marchés financiers, les infrastructures numériques, les prestataires de services numériques et les secteurs de la santé figurent parmi les secteurs économiques les plus touchés par les lois et réglementations en matière de cybersécurité en Pologne. Dans le même temps, ce sont les secteurs dans lesquels le législateur utilise l'adjectif «substantiel» et qui sont énumérés à l'annexe de la loi sur le système national de cybersécurité.

Selon les auteurs, il est difficile d'évaluer quel secteur de l'économie polonaise a le plus progressé dans la promotion de la cybersécurité et quels secteurs doivent être améliorés, car la réglementation de la cybersécurité en Pologne n'est entrée en vigueur qu'en 2018. Août et le marché n'est pas encore très mature.

Votre juridiction a-t-elle adopté des normes internationales de cybersécurité?

2019 27 juin Entrée en vigueur en 2019 17 avril Règlement du Parlement européen et du Conseil. Elle est connue sous le nom de loi sur la cybersécurité. La Pologne jusqu'en 2021 28 juin Doit adapter sa législation nationale aux nouvelles réglementations. La loi sur la cybersécurité définit pour la première fois les règles de l'UE pour la certification de cybersécurité des produits, des processus et des services. En outre, la loi sur la cybersécurité introduit de nouveaux mandats permanents pour l'Agence de cybersécurité de l'Union européenne (ENISA) et l'Agence pour atteindre ses objectifs. Il s'agit d'un règlement très important qui changera considérablement le modèle de certification existant dominé par les SOG-IS (Senior Official Group Information Security Systems). La Pologne a rejoint le groupe signataire SOG-IS en 2018.

Le ministère polonais des Affaires numériques vise à adapter le droit polonais aux nouvelles réglementations européennes. L'objectif est d'exploiter pleinement les possibilités offertes par le règlement pour la reconnaissance des certificats au niveau européen.

L'un des adoptés 2019-2024. La conversion de normes et standards nouveaux ou existants en recommandations concrètes dans le domaine de la cybersécurité est une condition préalable à une stratégie de cybersécurité qui vise à accroître la résilience des systèmes d'information de l'administration publique et du secteur privé. La stratégie prévoit également la désignation d'un organisme national pour délivrer les certificats européens de cybersécurité et superviser les organismes nationaux mis en place pour évaluer la conformité des produits conformément aux exigences définies dans les systèmes européens de certification de cybersécurité.

Actuellement, la norme internationale contraignante la plus importante en Pologne est l'ISO 27001. L'organisme administratif gouvernemental est le Comité polonais de normalisation, qui est chargé d'assurer la compatibilité du système national de normalisation avec le système européen de normalisation mis en œuvre par la reconnaissance. Norme ISO 27001 dans le système polonais (PN-EN ISO / IEC 27001). Il s'agit d'une norme qui définit les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue du système de gestion de la sécurité des informations d'une organisation. Les exigences de la norme ISO 27001 sont générales et s'appliquent à toutes les organisations, quels que soient leur type, leur taille et leur nature. En Pologne, les organisations et les entreprises privées appliquent et adoptent ISO 27001 sur une base volontaire et ne sont pas requises par la loi applicable.

De plus, des obligations de certification détaillées étaient prévues en 2018. 10 septembre Ordonnance du ministre des affaires numériques sur les conditions organisationnelles et techniques des entités fournissant des services dans le domaine de la cybersécurité, ainsi que la structure organisationnelle interne des prestataires de services minimaux. les services responsables de la cybersécurité, conformément à la loi sur le système national de cybersécurité, et attribués aux entités fournissant des services de cybersécurité. Ces entités doivent (i) disposer et mettre à jour en permanence un système de gestion de la sécurité de l'information qui répond aux exigences du PN-EN ISO / IEC 27001; et (ii) assurer la continuité du service de réponse aux incidents consistant à enregistrer et gérer les incidents de sécurité des systèmes d'information conformément aux exigences de la norme polonaise PN-EN ISO 22301, qui est en application de l'ISO 22301. .

Quelles sont les responsabilités du personnel et des directeurs responsables pour tenir l'organisation suffisamment informée sur la sécurité des réseaux et des données, et comment peuvent-ils être responsables d'une cybersécurité inadéquate?

En règle générale, la responsabilité des actions d'une société incombe aux actionnaires représentant la société ou, dans le cas d'une société de capitaux, au conseil d'administration. La responsabilité des actionnaires et des membres du conseil d'administration s'étend à tous les domaines d'activité de l'entreprise et comprend donc les questions de sécurité de l'information et de cybersécurité.

La loi sur le système national de cybersécurité a chargé les principaux prestataires de services, prestataires de services numériques et entités publiques de désigner une personne chargée de la liaison avec les entités du système national de cybersécurité et d'établir des structures internes responsables de la cybersécurité ou d'établir des arrangements appropriés avec des prestataires externes de cybersécurité. dans le domaine de la sécurité.

Le non-respect des exigences ci-dessus peut entraîner l'imposition de sanctions financières en vertu de la loi sur le système national de cybersécurité. Le défaut de désigner une personne chargée de la liaison avec les entités nationales de cybersécurité pourrait entraîner des amendes allant jusqu'à 15000 zloty, le défaut de désigner des organes internes de cybersécurité ou le non-respect d'un accord de coopération en matière de cybersécurité. menacé d'amendes pouvant aller jusqu'à 100 000 zlotys.

Comment votre juridiction définit-elle la cybersécurité et la cybercriminalité?

La définition de la cybersécurité a été intégrée dans le système juridique polonais en vertu de la loi sur le système national de cybersécurité. Selon cette loi, la cybersécurité fait référence à la résilience des systèmes d'information à des activités qui violent la confidentialité, l'intégrité, la disponibilité et l'authenticité des données ou des services connexes qu'ils offrent.

Cependant, il n'y a pas de définition uniforme de la cybercriminalité dans le système juridique polonais. À cet égard, il est souvent fait référence à des définitions formulées par des acteurs internationaux tels que les Nations Unies, le Conseil de l'Europe, l'Union européenne ou Interpol.

Le Code pénal n'utilise pas le terme << cybercriminalité >> et le législateur utilise des noms descriptifs tels que << fraude informatique >>, << perturbation d'un système d'information, d'un système TIC ou d'un réseau d'information >> et autres pour décrire les délits généralement qualifiés de cybercriminalité.

La cybersécurité et la confidentialité des données peuvent être distinguées en fonction des données personnelles régies par le RGPD et les lignes directrices de 2018. 10 mai Loi sur la protection des données personnelles.

La sécurité des systèmes d'information et l'application de la cybercriminalité en Pologne varient.

Quelles sont les garanties minimales que les organisations doivent mettre en place pour protéger les systèmes de données et de technologie de l'information contre la cyberintimidation?

La loi sur le système national de cybersécurité introduit uniquement des mesures de sécurité générales qui doivent être mises en œuvre par les principaux fournisseurs de services, les fournisseurs de services numériques et les entités publiques pour garantir la sécurité des informations et des systèmes d'information. À cet égard, la loi oblige les entités désignées à mettre en œuvre un système de gestion de la sécurité qui garantit:

  • effectuer une évaluation et une gestion systématiques des risques liés aux événements;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées proportionnées aux risques prévisibles, en tenant compte de l'état actuel de la technique;
  • recueillir des informations sur les cybermenaces et les vulnérabilités du système d'information utilisé;
  • recours à des mesures de prévention et d'atténuation pour limiter l'impact des incidents sur la sécurité du système d'information utilisé; et
  • utilisation de moyens de communication pour communiquer correctement et en toute sécurité au sein du système national de cybersécurité.

Les entités qui sont tenues par la loi de fournir certaines normes de cybersécurité sont libres de choisir des mesures de sécurité spécifiques pour répondre aux objectifs statutaires.

En outre, conformément à l'article 32 du RGPD, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de protection adapté au risque. Ces mesures tiennent compte du progrès technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque que la probabilité et la sévérité des droits et libertés des personnes physiques varient. Cette disposition s'applique uniquement aux données personnelles et non à tout type de données.

Portée et juridiction

Votre juridiction a-t-elle des lois ou des règlements régissant les compensations de propriété intellectuelle?

À ce jour, la Pologne ne dispose pas de règles spécifiques concernant la cybercriminalité dans le domaine de la propriété intellectuelle. Les délits de cybercriminalité contre les droits de propriété intellectuelle devraient être punis dans les mêmes conditions que les autres infractions contre les droits de propriété intellectuelle.

Votre juridiction dispose-t-elle de lois ou de réglementations traitant spécifiquement des cybermenaces dans les infrastructures critiques ou des secteurs spécifiques?

Il existe actuellement deux régimes juridiques en Pologne traitant des questions de cybersécurité dans ces domaines: le RGPD et la loi sur le système national de cybersécurité.

2008 8 décembre Directive 2008/114 / CE du Conseil relative à l'identification et à la désignation des infrastructures critiques européennes et à l'évaluation de la nécessité d'améliorer leur protection; 30 avril Le règlement du Conseil des ministres sur le programme national de protection des infrastructures critiques, adopté sur la base de cette directive, a introduit le concept d '"infrastructures critiques" dans le système juridique polonais.

Une définition de ce concept est donnée dans la version 2007. 26 avril La Loi sur la gestion des crises, qui définit l'infrastructure critique comme ses systèmes et leurs éléments fonctionnels interdépendants, y compris les structures, les installations, les installations et les services qui sont essentiels à la sécurité. l'État et ses citoyens, ainsi qu'un service assurant le fonctionnement efficace de l'administration publique, des institutions et des entreprises.

La loi sur le système national de cybersécurité énumère les secteurs (énergie, transports, infrastructures des marchés bancaires et financiers, soins de santé, distribution et distribution d'eau potable et infrastructures numériques) et les sous-secteurs économiques. imposant ainsi des obligations de sécurité particulières aux opérateurs de ces secteurs.

Cependant, il n'y a pas de réglementation dans le système juridique polonais concernant les sanctions pour la cybercriminalité commises contre ou dirigées contre des infrastructures critiques ou des secteurs clés. Le Code pénal prévoit la répression des délits commis dans l'utilisation de matériel informatique et d'infrastructures informatiques pour tout type d'infrastructure, quels que soient leur type ou leur importance pour l'économie de l'État.

Existe-t-il des lois ou des réglementations en matière de cybersécurité dans votre juridiction qui restreignent spécifiquement l'échange d'informations sur la sécurité des sites Web?

Le législateur polonais n'a pas prévu de sanctions pour les activités de diffusion d'informations sur les cybermenaces.

La loi sur le système national de cybersécurité exige la déclaration des incidents (c'est-à-dire les incidents qui nuisent à la cybersécurité), ainsi que des informations sur l'incident et sa description, à l'unité appropriée de l'équipe de gestion des incidents de cybersécurité. Cette obligation s'applique à tous les principaux prestataires de services, prestataires de services numériques et entités publiques.

La vulnérabilité, les incidents et les cybermenaces, ainsi que les risques d'incident, sont publiés dans un bulletin d'information public après consultation de l'entité déclarante. Ces informations ne doivent pas être divulguées si leur divulgation porterait atteinte à la protection du grand public en matière de sécurité ou d'ordre public ou si elle pourrait nuire à l'enquête, à la détection ou à la poursuite de la cybercriminalité.

Aux termes de l'article 267 du code pénal:

  • L'article 1 prévoit que toute personne qui obtient un accès non autorisé à des informations non autorisées en ouvrant un message scellé, en se connectant à un réseau de télécommunications ou en violant ou contournant la protection de ces informations par des moyens électroniques, magnétiques, informatiques ou autres est passible d'une amende, d'une peine d'emprisonnement ou emprisonnement pouvant aller jusqu'à 2 ans;
  • L'article 2 prévoit que quiconque obtient un accès non autorisé à tout ou partie d'un système informatique est passible de la même peine;
  • L'article 3 prévoit que toute personne qui obtient un accès non autorisé à des informations, installe ou installe une image filaire ou un autre appareil ou logiciel est passible de la même peine;
  • L'article 4 prévoit que quiconque divulgue à une autre personne des informations obtenues de la manière prévue aux articles 1 à 3 est passible de la même peine; et
  • L'article 5 prévoit la poursuite des infractions visées aux paragraphes 1 à 4 à l'initiative de la partie lésée.

Cependant, cette disposition légale s'applique (en ce qui concerne les chapitres 3 et 4) aux discussions auxquelles la personne n'a pas assisté. L'enregistrement d'une conversation privée au cours de laquelle une personne reçoit des informations qui lui sont adressées ne constitue pas une infraction à l'article 267. Le droit civil apparaît différemment. L'article 23 du Code civil dispose que les droits personnels d'une personne sont protégés par la loi. La doctrine autorise l'extension du catalogue des droits individuels et les auteurs estiment que le secret de la conversation appartient à ce répertoire.

Conformément à l'article 23 du Code civil, les intérêts personnels de l'individu, notamment la santé, la liberté, la dignité, la liberté de conscience, le nom ou le surnom, l'image, la confidentialité de la correspondance, l'inviolabilité du domicile et les activités scientifiques, artistiques, inventives et motivantes, prévues dans d'autres dispositions.

Dans les cas prévus par la loi polonaise, la police peut appliquer des contrôles opérationnels consistant en le contenu de la correspondance, y compris par voie électronique.

Il n'y a pas de règles détaillées sur les métadonnées dans la législation polonaise.

Quelles sont les principales sanctions contre la cybercriminalité en vertu des lois de votre juridiction?

Les principaux types de cybercriminalité pouvant être incriminés en vertu du Code pénal sont les suivants:

  • accès non autorisé à l'information ou au système informatique (article 267, paragraphe 2);
  • détruire, endommager, supprimer, modifier ou empêcher l'accès aux données informatiques (article 268);
  • perturbation ou prévention du traitement, de la collecte ou de la transmission automatique des données informatiques (article 268 bis);
  • dysfonctionnement d'un ordinateur ou d'un système d'information (article 269 bis);
  • développement non autorisé (et activités similaires) d'appareils ou de logiciels informatiques adaptés à la cybercriminalité, y compris les délits impliquant des mots de passe, des codes d'accès ou d'autres données similaires (article 269 ter);
  • vol et clôture de logiciels (articles 278, paragraphe 2, et 293); et
  • violation ou contournement des mesures de sécurité pour accéder aux données informatiques d'une autre personne ou à tout ou partie d'un système informatique (article 267).

Comme déjà mentionné, les décisions du législateur polonais dans le Code sont le résultat de la signature par la Pologne de la Convention no. 185 sur la cybercriminalité et la décision-cadre 2005/222 / JAI du Conseil relative aux attaques contre les systèmes d'information.

Comment votre juridiction a-t-elle relevé les défis de sécurité de l'information du cloud computing?

La question du cloud computing et des services cloud doit être abordée dans le contexte des nouvelles normes et normes de cybersécurité qui devraient être développées dans le cadre de la stratégie de cybersécurité 2019-2024.

Actuellement, il n'existe pas de réglementation complète et distincte pour les services cloud en Pologne et aucune information sur les plans visant à adopter des réglementations supplémentaires sur le cloud computing. Pour les services cloud, 2002 18 juillet Dispositions de la loi sur la prestation de services électroniques définissant les obligations du prestataire de services en matière de prestation de services par voie électronique, règles exonérant les prestataires de services de la responsabilité juridique pour la fourniture de services électroniques et les règles sur la protection des données personnelles des personnes physiques utilisant des services électroniques.

La loi sur les services électroniques oblige le prestataire de services à veiller à ce que le système informatique sous son contrôle fournisse gratuitement au destinataire:

  • utiliser le service fourni par des moyens électroniques de manière à empêcher tout accès non autorisé au contenu des communications en tant qu'élément du service, en particulier en utilisant des techniques cryptographiques adaptées aux caractéristiques du service fourni;
  • identification sans ambiguïté des parties au service fourni par voie électronique; et
  • la possibilité de mettre fin à tout moment à l'utilisation des services électroniques.

Les données stockées à l'aide des services cloud sont également soumises à des règles de protection des données personnelles, y compris des obligations concernant la sécurité du traitement des données stockées dans le cloud.

Comment les lois sur la cybersécurité de votre juridiction affectent-elles les organisations étrangères faisant des affaires dans votre juridiction? Les obligations réglementaires sont-elles les mêmes pour les organisations étrangères?

En tant que membre de l'Union européenne, la Pologne est tenue d'appliquer dans sa législation des règles conformes au droit de l'Union. Loi sur le système national de cybersécurité mettant en œuvre 2016 6 juillet Directive (UE) 2016/1148 du Parlement européen et du Conseil relative à des mesures visant à garantir un niveau commun élevé de sécurité des réseaux et des systèmes d'information dans toute l'Union. impose les mêmes droits et obligations aux entités nationales et étrangères de cybersécurité. D'autres lois nationales existantes ne font pas non plus de distinction entre les entités juridiques étrangères et les entités nationales.

Bonne pratique

Une protection accrue

Les autorités recommandent-elles une protection supplémentaire en matière de cybersécurité au-delà des exigences légales?

Stratégies de cybersécurité 2019-2024 Les dispositions soulignent la nécessité d'audits et de tests de sécurité réguliers pour évaluer périodiquement l'efficacité des systèmes de gestion de la sécurité mis en œuvre et l'adéquation des fonctionnalités de sécurité. Cependant, les autorités ne font pas de recommandations pour des mesures d'audit et de test spécifiques, à l'exception de la disposition générale selon laquelle l'un des 2019-2024 Les activités en cours seront la promotion des tests de sécurité à l'aide du modèle de publication de bogues.

Les initiatives visant à proposer des lignes directrices dans le domaine de la cybersécurité sont menées par le Réseau informatique et universitaire de recherche (NASK), dont le rôle est d'éduquer et de vulgariser la cybersécurité et les cybermenaces. NASK développe et met en œuvre des projets sociaux et des formations pour les entreprises et les institutions, avec un accent particulier sur les questions de sécurité des TIC. La NASK participe au programme Safer Internet de la Commission européenne, qui promeut l'utilisation sûre des nouvelles technologies et d'Internet par les enfants et les jeunes. Il publie également activement des lignes directrices et des guides de bonnes pratiques pour éduquer le public sur la sécurité sur Internet.

Comment le gouvernement encourage-t-il les organisations à améliorer leur cybersécurité?

Actuellement, il n'y a aucune initiative gouvernementale en Pologne pour les organisations, les particuliers ou les entrepreneurs en cybersécurité qui va au-delà des réglementations légales existantes.

Le Comité polonais de normalisation, un organisme budgétaire national créé pour effectuer des tâches de certification et de normalisation, organise et mène des activités de formation, de publication, de promotion et d'information dans le domaine de la normalisation et des domaines connexes, y compris la certification ISO 27001.

Les initiatives gouvernementales se concentrent principalement sur les autorités locales et régionales. La stratégie de cybersécurité 2019-2024 Des dispositions sont prises pour la collaboration entre le gouvernement et les ministères locaux afin de renforcer l'expertise dans les processus d'amélioration de la cybersécurité, y compris l'utilisation de techniques de traitement des données sécurisées et modernes dans le cloud computing, ainsi que le développement et l'utilisation d'applications sécurisées. systèmes mobiles.

Identifier et décrire les principales normes et codes de pratique de l'industrie qui promeuvent la cybersécurité. Où peuvent-ils être atteints?

L'une des industries opérant sur le marché polonais avec un code de conduite spécifique pour garantir la sécurité numérique est l'industrie des télécommunications. De nombreux opérateurs mobiles polonais sont devenus des signataires européens de l'utilisation sûre des téléphones portables entre les jeunes adolescents et les enfants.

En particulier, le code de conduite adopté vise à promouvoir une utilisation sûre des services mobiles pour les enfants et les adolescents, à fournir aux parents et aux tuteurs légaux des informations sur la manière dont les enfants et les adolescents peuvent utiliser en toute sécurité les téléphones portables et le contenu pour ces groupes d'âge. . Des informations sur la connexion au système mobile plus sûr pour les adolescents et les enfants en Europe sont disponibles en ligne.

En plus du marché des télécommunications, en réponse à la menace croissante de la cybercriminalité dans le secteur bancaire, 2016 29 novembre Le Conseil de l'Association bancaire polonaise a nommé le Comité de cybersécurité de la ZBP Bank. 2018 10 janvier Le conseil d'administration de ZBP a formé l'équipe de sécurité de la banque ZBP, qui exploite l'unité opérationnelle FinCERT.pl, qui est le centre de cybersécurité bancaire ZBP.

À partir de 2019 1er janvier Le comité fonctionne selon un système composé de: 29 banques en Afrique du Sud, une banque d'État et deux banques coopératives, qui représentent 95,23% de l'actif total des banques et 97,05% des actions de la banque totale. actifs bancaires sous forme de sociétés anonymes et de sociétés ouvertes. Ces informations sont disponibles sur www.zbp.pl/dla-bankow/Cyberbezpieczenstwo.

Les meilleures pratiques et procédures de traitement des violations sont-elles généralement recommandées?

La législation adoptée impose des obligations aux principaux prestataires de services en matière de notification et de traitement des incidents, comme l'obligation d'identifier un incident, d'enregistrer et de classer un incident dans les limites dans lesquelles un incident doit être reconnu comme significatif et de signaler un incident. immédiatement ou au plus tard dans les 24 heures suivant sa détection par le CSIRT selon le cas.

Un rapport d'incident lance un traitement supplémentaire des incidents lorsque l'opérateur est tenu de coopérer avec le CSIRT approprié et de donner accès aux informations nécessaires sur l'incident.

La loi sur le système national de cybersécurité autorise les entités préexistantes impliquées dans la gestion des incidents informatiques et répondant aux incidents informatiques au niveau national (selon la nomenclature adoptée par la directive 2016/1148 – Équipes de gestion des incidents de sécurité informatique). En Pologne, ces entités comprennent la National Computer Emergency Response Team (CSIRT GOV), le Computer Emergency Response System du ministère de la Défense (CSIRT MON) et le National Cyber ​​Security Center, abrégé en NC Cyber ​​(CSIRT NASK).

Leur rôle est de lutter contre les problèmes cyber-intersectoriels et transfrontaliers, de coordonner la gestion des incidents majeurs, critiques et critiques, et de rendre compte des événements, à la fois au sein d'un réseau d'organisations gouvernementales concernées par la cybersécurité et dans le domaine public.

La loi sur le système national de cybersécurité introduit également deux nouvelles entités impliquées dans la coordination de la cybersécurité et la coordination des tâches au niveau gouvernemental, à savoir l'agent de cybersécurité autorisé par le gouvernement et le tribunal de cybersécurité.

En outre, conformément aux exigences du RGPD, la loi sur le système national de cybersécurité fixe des règles pour le traitement des données personnelles dans le cadre du fonctionnement du système national de cybersécurité, y compris le traitement des données sur les incidents.

Partage d'informations

Décrivez les pratiques et procédures d'échange volontaire d'informations sur la cyberintimidation dans votre juridiction. Existe-t-il des incitations légales ou politiques?

Il n'existe actuellement aucune réglementation concernant l'échange volontaire d'informations sur la cybercriminalité. Jusqu'à présent, les services répressifs ont informé le public de l'état de la cybersécurité en Pologne par le biais de rapports annuels.

Comment le gouvernement et le secteur privé travaillent-ils ensemble pour développer des normes et procédures de cybersécurité?

La nécessité pour le secteur public de travailler avec le secteur privé pour garantir la sécurité du cyberespace se reflète en 2019-2024. Les dispositions de la stratégie de cybersécurité comme lors de la précédente période 2017-2022 Dans la stratégie de cybersécurité. Selon le contenu de ce document, le gouvernement doit s'efforcer d'établir un système efficace de partenariats public-privé et de s'engager dans les formes existantes et émergentes de partenariats public-privé européens.

La mesure ci-dessus sera mise en œuvre, entre autres, grâce à un soutien actif du gouvernement à des projets de recherche et développement en matière de cybersécurité, y compris des projets en partenariat avec des entreprises privées et des centres de recherche.

La collaboration avec le secteur privé dans le domaine de la cybersécurité est menée par le NASK National Research Institute, qui, à travers ses installations analytiques et de recherche et développement, mène des recherches et des analyses sur l'utilisation des nouvelles technologies et la mise en œuvre de ces solutions. Veiklos tikslas – sukurti naujus, veiksmingus tinklų ir IRT sistemų saugumo grėsmių identifikavimo, analizės ir reagavimo į juos metodus bei būdus, taip pat jų praktinį naudojimą kuriant novatoriškus NASK produktus, įskaitant tuos, kurie leidžia aptikti ir užkirsti kelią grasinimai. Tuomet NASK sukurti novatoriški sprendimai bus komercializuojami.

Assurances

Ar jūsų jurisdikcijoje yra draudimas dėl kibernetinio saugumo pažeidimų ir ar toks draudimas yra įprastas?

Lenkijos rinkoje vis labiau populiarėja draudimas nuo kibernetinės rizikos (komerciškai žinomas kaip kibernetinis draudimas). The addressees of offers prepared by insurance companies are entrepreneurs operating on the Polish market – collecting, processing or transmitting any data. The scope of insurance normally covers three types of costs incurred in connection with a cyberattack, namely: costs related to data recovery, purchase of software, deletion of malicious software, among others; additional costs, such as legal defence costs, public relations costs and costs of external consultations; and civil liability.

Enforcement

Regulation

Which regulatory authorities are primarily responsible for enforcing cybersecurity rules?

Competence to supervise the application of the provisions of the Act by the obliged entities are allocated to persons at the ministerial level. The competent authorities shall be the:

  • Minister of information technology for the digital infrastructure and digital service providers sector;
  • Minister of National Defence for the healthcare sector, digital infrastructure and the healthcare sector in the area covered by the Ministry of National Defence and digital service providers – entrepreneurs of particular economic and defence importance;
  • Minister of energy for the energy sector;
  • Minister of maritime economy and the Minister of inland navigation for the water transport subsector;
  • Minister of transport for the transport sector, excluding the water transport subsector;
  • Minister of health for the healthcare system;
  • Minister of water management for drinking water supply and distribution sector; and
  • Polish Financial Supervision Authority for the banking sector and financial markets infrastructure.

The competences of these authorities include, among others, monitoring the application of the Act by operators of essential services and digital service providers, conducting inspections of these entities and calling on them to remove the detected vulnerabilities of the systems within a specific time limit.

Describe the authorities’ powers to monitor compliance, conduct investigations and prosecute infringements.

State authorities involved in detecting and prosecuting crimes have the same powers in detecting and prosecuting cybercrimes as in the case of other crimes. These powers include, but are not limited to: carrying out a search of a room or person; seizure of property; seizure and control of correspondence; seizure of documents, including documents containing secrecy, inspection and recording of conversations; and control of e-mail and documents or interviews related to cybersecurity incidents. In addition, the provisions of the Code of Penal Procedure oblige officers, institutions and entities conducting ICT business activities to immediately secure – at the request of the court of prosecutor – information data stored in the information system or on data carriers.

An internal unit is dedicated to detecting and combating crimes committed in cyberspace: the Office for Combating Cybercrime. The tasks of the Office include in particular:

  • supervising, coordinating and supporting activities aimed at combating cybercrime, conducted by province police departments within the scope of operational and exploratory activities, and in cooperation with the Polish Central Bureau of Investigation;
  • conducting operational and exploratory activities;
  • initiating and conducting cooperation with government administration bodies, law enforcement bodies and state institutions;
  • conducting international cooperation;
  • providing a 24-hour service in the scope of coordinating police activities concerning cybercrimes and cyberthreats and combating them as well as conducting cooperation of police organisational units with domestic and foreign bodies and entities;
  • conducting technical consultations; and
  • initiating and supporting research and cooperation with domestic and foreign entities to implement modern solutions in the fight against cybercrime.

What are the most common enforcement issues and how have regulators and the private sector addressed them?

Effective detection and prosecution of cybercrimes can be difficult, often due to the inadequacy of the legal system with regard to rapidly evolving IT tools and services. One of the most serious obstacles is the rapid development of online tools enabling the anonymisation of the network used to commit crimes, and the concealment of identity and location. Another obstacle in combating and effectively prosecuting cybercrime is the differences in national legislation and the cross-border nature of the internet. On the one hand, access to internet services provided by foreign companies not obliged to comply with Polish law is practically unlimited for internet users, and on the other hand, prosecution of crimes committed outside of Poland, of which the targets were natural persons or legal persons with Polish domicile, encounters a legislative barrier, which significantly delays crucial reaction time and, in extreme cases, makes it impossible to prosecute the crime committed. While efforts are being made within the European Union to ensure an efficient exchange of information on cybercrimes and cyberthreats, cooperation with third countries in this area is significantly hampered, if not impossible in some cases.

For this reason, the Polish legislator has placed considerable emphasis on procedures for the smooth reporting and exchange of information within the national structures as well as within the framework of cooperation in the European Union, as reflected in the provisions of the Act on the national cybersecurity system.

What regulatory notification obligations do businesses have following a cybersecurity breach? Must data subjects be notified?

The Act on the national cybersecurity system imposes on the operator of a key service the obligation to report a serious incident (ie, an event that has or may have an adverse impact on cybersecurity and that causes or may cause a serious deterioration in the quality or interruption of the provision of a key service) to the appropriate CSIRT MON, CSIRT NASK or CSIRT GOV immediately, or within 24 hours of its detection at the latest.

The Act on the national cybersecurity system does not introduce the obligation to notify infringement of the data subject. However, the obligation is imposed on any entity that is a controller of personal data pursuant to the GDPR in a situation where the violation of personal data creates a high risk of violation of the rights or freedoms of a natural person.

Penalties

What penalties may be imposed for failure to comply with regulations aimed at preventing cybersecurity breaches?

The Act on the national cybersecurity system provides for financial penalties for violation of obligations imposed on entities obliged to apply it. The amount of the financial penalty depends on the type of violation and ranges from a fine of up to 15,000 zlotys to a fine of up to 150,000 zlotys. This penalty may be imposed either in the form of a single penalty or in the form of the sum of the penalties for each violation.

In the event that, as a result of control carried out by the competent authority in charge of cybersecurity, the operator of essential services or the digital service provider persistently violates the provisions of the Act – causing (i) a direct and major cyberthreat to defence, state security and public order or human life and health; or (ii) a threat of causing serious property damage or serious difficulties in providing essential services – the authority is entitled to impose a fine of up to 1 million zlotys.

The imposition of a financial penalty on an entity failing to comply with statutory obligationsor violating accepted standards of conduct shall be effected by a decision issued by an authority in charge of cybersecurity. The proceeds from the imposed penalties constitute revenue for the state budget.

What penalties may be imposed for failure to comply with the rules on reporting threats and breaches?

Pursuant to the provisions of the Act on the national cybersecurity system, for violation of the obligation to report an incident, the operator of essential services and the digital service provider may be punished with a fine of up to 20,000 zlotys for each violation.

Furthermore, for a breach of the obligation to cooperate in handling a major and a critical incident with the relevant CSIRT GOV, CSIRT MON or CSIRT NASK, including the transmission of all necessary data, the operator of essential services and the digital service provider may be punished with a fine of up to 20,000 zlotys.

How can parties seek private redress for unauthorised cyberactivity or failure to adequately protect systems and data?

The Civil Code is the basis for claiming compensation for damage suffered in connection with committing a cybercrime or failure to maintain an adequate level of security, within the framework of a private action.

To claim compensation, a person who suffered damage owing to a breach of cybersecurity rules shall demonstrate a causal link between the damage suffered and the fact that the IT system administrator failed to maintain an adequate level of security and must document the amount and type of damage suffered.

Threat detection and reporting

Policies and procedures

What policies or procedures must organisations have in place to protect data or information technology systems from cyberthreats?

The legal regulation on cybersecurity in force in Poland does not impose obligations on all participants in economic trading, but only on operators of essential services and digital service providers.

The primary duty of operators of essential services and digital service providers, to protect data against cyberthreats, is to collect information about threats and vulnerabilities of the information system used to provide the service as well as to cooperate with state CSIRT and other authorities responsible for data security. In addition, the operator or provider is obliged to apply measures to prevent and mitigate incidents, such as applying mechanisms to ensure data security, taking care to keep the software up to date, protecting against unauthorised modification and taking immediate action when vulnerabilities or threats are identified. The operator must also designate a person responsible for maintaining contact with the entities of the national cybersecurity system, making available to the user of the service information that enables them to understand and protect themselves against threats. In the event of an incident, the operator shall ensure that the incident is handled and, in the event of a major incident, shall inform the relevant CSIRT without delay and, at the latest, within 24 hours.

To perform its data protection duties, the operator shall set up its own structures responsible for cybersecurity or enter into a contract with an entity providing such services. In accordance with the Regulation, these entities shall apply standardised procedures of ISO 27001 and ISO 22301.

In addition, the protection of personal data is subject to a separate regulation of the GDPR and the Act of 10 May 2018 on the Protection of Personal Data.

Describe any rules requiring organisations to keep records of cyberthreats or attacks.

The legal regulation on cybersecurity in force in Poland does not impose obligations on all participants in economic trading, but only on operators of essential services and digital service providers.

The primary duty of operators of essential services and digital service providers, to protect data against cyberthreats, is to collect information about threats and vulnerabilities of the information system used to provide the service as well as to cooperate with state CSIRT and other authorities responsible for data security. In addition, the operator or provider is obliged to apply measures to prevent and mitigate incidents, such as applying mechanisms to ensure data security, taking care to keep the software up to date, protecting against unauthorised modification and taking immediate action when vulnerabilities or threats are identified. The operator must also designate a person responsible for maintaining contact with the entities of the national cybersecurity system, making available to the user of the service provided information that enables them to understand and protect themselves against threats. In the event of an incident, the operator shall ensure that the incident is handled and, in the event of a major incident, shall inform the relevant CSIRT without delay and, at the latest, within 24 hours.

To perform its data protection duties, the operator shall set up its own structures responsible for cybersecurity or enter into a contract with an entity providing such services. In accordance with the Regulation, these entities shall apply standardised procedures of ISO 27001 and ISO 22301.

The operators of essential services shall keep records of the cybersecurity of the information system used to provide the key service for at least two years from the date of its withdrawal from use or termination of the essential service.

Describe any rules requiring organisations to report cybersecurity breaches to regulatory authorities.

According to Polish regulations, operators of essential services are obliged to prepare and update the documentation concerning the cybersecurity of the information system. Upon withdrawal or termination of the provision of an essential service, the operator shall keep the documentation for at least two years.

With regard to documentation containing personal data processed by the relevant CSIRT in connection with cybersecurity incidents or threats, there is an obligation to delete or anonymise the data within five years of the date on which the incident was handled.

The operator of the essential service and digital service providers are obliged to report the serious incident immediately, but no later than 24 hours after its detection, to the appropriate CSIRT MON, CSIRT NASK or CSIRT GOV. The notification referred to in section 1 item 4 shall be transmitted in electronic form, and in the event that it is not possible to transmit it in electronic form, using other available means of communication.

The report contains:

  • data of the notifying entity, including the business name of the entrepreneur, number in the relevant register, registered office and address;
  • name and surname, telephone number and email address of the person making the notification;
  • name and surname, telephone number and email address of the person authorised to provide explanations concerning the submitted information;
  • a description of the impact of the serious incident on the provision of the key service, including:
    • key services of the reporter affected by the serious incident;
    • the number of key service users affected by the serious incident;
    • the time and duration of the occurrence and detection of the serious incident;
    • the geographical extent of the area affected by the serious incident;
    • the impact of the major incident on the provision of the critical service by other key service providers and digital service providers; and
    • the cause of the serious incident and the manner in which it has occurred and the consequences for the information systems or the key services provided;
  • information enabling the relevant CSIRT MON, CSIRT NASK or CSIRT GOV to determine whether the incident affects two or more member states of the European Union;
  • in the case of an incident that could have affected the provision of the critical service, a description of the causes of the incident, its course of action and the likely impact on the information systems;
  • information on the preventive measures taken;
  • information on corrective actions taken; and
  • other relevant information.

Time frames

What is the timeline for reporting to the authorities?

In accordance with Polish regulations regarding the entities that are obliged to inform the relevant CSIRT about incidents, the reporting shall take place immediately, or within 24 hours at the latest. At the time of reporting, entities obliged to report must provide all information on the incident known at the time of reporting. The legislator has provided for the competent CSIRT to request from the reporting party access to information containing legally protected secrets to the extent necessary to carry out the tasks of the CSIRT in relation to the reported incident. The reporting party itself is obliged to correctly identify information that is a legally protected secret (eg, a business secret).

For other entities to which the provisions on the national cybersecurity system and providers of electronic communications services do not apply, where there has been a breach of personal data protection, the controller shall, without undue delay and as far as possible and within 72 hours of the breach being identified, notify the breach to the supervisory authority, unless the breach is unlikely to result in a risk of infringement of the rights or freedoms of individuals.

Reporting

Describe any rules requiring organisations to report threats or breaches to others in the industry, to customers or to the general public.

Within Polish cybersecurity system regulations, information about incidents, threats or vulnerabilities is published by the appropriate CSIRT in the Public Information Bulletin. The information shall be published if the CSIRT considers that it will contribute to increasing the cybersecurity of the information systems used by citizens and businesses or ensure the secure use of the systems. Published information may not, however, violate the provisions on the protection of confidential information or legally protected secrets and the provisions on personal data protection.

In accordance with the Polish Telecommunications Act, the service provider is obliged to inform users of any particular risk of a breach of network security requiring measures going beyond the technical and organisational measures taken by the service provider as well as of the existing security capabilities and associated costs.

In addition, Polish regulations do not impose an information obligation on entities; however, it is recommended to protect the interests of consumers and to increase the security of information systems in sectors of the economy exposed to data loss and data security.

Update and trends

Update and trends

What are the principal challenges to developing cybersecurity regulations? How can companies help shape a favourable regulatory environment? How do you anticipate cybersecurity laws and policies will change over the next year in your jurisdiction?

According to the provisions of the Cybersecurity Strategy for 2019–2024, the government established five main strategic goals to be achieved by 2024, namely:

  • develop the National Cybersecurity System;
  • increase the resilience of the public administration&#39;s and private sector&#39;s information systems and the capacity to prevent and respond effectively to incidents;
  • strengthen national capacities in cybersecurity technologies;
  • build cybersecurity awareness and societal competence; and
  • build a strong international position for Poland in the area of cybersecurity.

In the next year, we expect a number of actions to be taken by the government to achieve its objectives, including cooperation with private companies, mainly in research and development. This cooperation would constitute a possibility for companies to shape a favourable regulatory environment.

However, we do not envisage a significant change in cybersecurity rules and principles over the next year owing to the fact that the current regulation – the Act of 5 July 2018 on the national cybersecurity system – is still recognised as new and not implemented thoroughly yet.

Law Stated Date

Correct On

Give the date on which the information above is accurate.

The information presented above is accurate as at 6 December 2019.

La cybersécurité en Pologne – lexologie ® assurance santé entreprise
4.9 (98%) 32 votes