By zapobiec incydentom bezpieczeństwa konieczne jest zastosowanie odpowiednich środków technicznych. Niemniej jednak chcąc zarządzać incydentami można natrafić na problem w zakresie identyfikacji oraz właściwego postrzegania obowiązujących przepisów oraz powiadomień organów regulacyjnych.
Warto jest dokonać porównania trzech głównych norm regulacyjnych UE pod kątem obowiązków zgłaszania incydentów. Należą do nich: ogólne rozporządzenie UE o ochronie danych, druga dyrektywa w sprawie usług płatniczych oraz dyrektywa w sprawie bezpieczeństwa sieci i informacji.
Naruszenia ochrony danych osobowych a RODO
Wytyczne w zakresie sposobu oceny ryzyka skutkującego powiadomieniem o naruszeniu danych osobowych zostały dostarczone przez Grupę Roboczą art. 29, która z kolei zastąpiona została Europejską Radą Ochrony Danych.
Zgodnie z raportem DLA Piper z 2020 r. od wejścia w życie RODO zgłoszono ponad 160 tysięcy powiadomień dotyczących naruszenia danych. Suma kar wyniosła zaś 114 milionów euro. Dane te obrazują istotność zarządzania naruszeniami danych.
Inne przepisy w zakresie incydentów bezpieczeństwa
RODO nie stanowi jedynego aktu prawnego UE regulującego kwestie wymogów w zakresie zarządzania incydentami. Wprowadzono trzy akty normatywne dotyczące naruszeń ochrony danych wraz z oznaczeniem praw i obowiązków.
Druga dyrektywa w sprawie usług płatniczych
Regulacja zobowiązuje dostawców usług płatniczych do wdrożenia adekwatnych środków bezpieczeństwa oraz zarządzania incydentami. W przypadku poważnego incydentu konieczne jest powiadomienie stosownego organu. Działanie powinno nastąpić bez zbędnej zwłoki.
Dyrektywa w sprawie bezpieczeństwa sieci i informacji
Dyrektywa reguluje poziom bezpieczeństwa sieci dla niektórych kategorii podmiotów. Należą do nich m.in. operatorzy usług podstawowych, bankowość, rynki finansowe. Tego typu organizacje są zobligowane do wdrożenia odpowiednich oraz proporcjonalnych środków technicznych i organizacyjnych, a także do zarządzania incydentami bezpieczeństwa. Są również zobowiązane zgłaszać do właściwego organu te incydenty, które mają znaczący wpływ. Zgłoszenie takie musi odbyć się bez zbędnej zwłoki.
Źródło: https://iapp.org/news/a/comparing-eu-regulatory-norms-with-incident-reporting-obligations/