Krajowy System Cyberbezpieczeństwa – obowiązki dla operatorów usług kluczowych

Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza szereg obowiązków dla operatorów usług kluczowych m.in. z sektora energetycznego i bankowego, ale również ochrony zdrowia i zaopatrzenia w wodę pitną. Operatorzy są odpowiedzialni w szczególności za zapewnienie odpowiedniego poziomu bezpieczeństwa systemów informatycznych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

Identyfikacja operatorów usług kluczowych

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2018 r., poz. 1560, dalej jako „Ustawa”) wprowadza do porządku prawnego nową kategorię podmiotów tj. operatorów usług kluczowych, którzy wchodzą w skład krajowego systemu cyberbezpieczeństwa. Aby dany podmiot został uznany za operatora usługi kluczowej musi: prowadzić działalność w sektorze wymienionym na liście stanowiącej załącznik do Ustawy, posiadać jednostkę organizacyjną na terenie Polski oraz musi zostać wobec niego wydana przez organ właściwy ds. cyberbezpieczeństwa decyzja o uznaniu za operatora usługi kluczowej.

Obowiązki operatorów usług kluczowych

Głównym obowiązkiem operatorów usług kluczowych jest wdrożenie systemu zarządzania bezpieczeństwem w systemie informatycznym wykorzystywanym do świadczeniu usługi kluczowej. System ten ma zapewniać w szczególności prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, zarządzanie incydentami, stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informatycznego oraz wdrożenie odpowiednich środków technicznych oraz organizacyjnych uwzględniających m.in. objęcie systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym.

Ustawa zawiera również zamknięty katalog obowiązków o charakterze organizacyjnym, które muszą realizować operatorzy usług kluczowych. Operator usługi kluczowej powinien m.in. wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Trzecią główną grupą obowiązków są obowiązki związane ze zgłaszaniem i obsługą incydentów. Operatorzy będą zobowiązani do identyfikacji incydentu, jego rejestracji i klasyfikacji jego istotności oraz współdziałania podczas obsługi incydentów z właściwym CSIRT (tj. Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Dodatkowo, operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej.

Termin na wdrożenie zmian

Operator usługi kluczowej będzie zobowiązany do realizacji poszczególnych obowiązków wskazanych w Ustawie w terminie 3 miesięcy (np. zarządzanie incydentami), 6 miesięcy (np. wdrożenie odpowiednich środków technicznych i organizacyjnych) lub roku (przeprowadzenie audytu bezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej) od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.

Możliwe sankcje

Za naruszenie poszczególnych obowiązków przewidziano kary pieniężne w wysokości od 1 tys. zł do 200 tys. zł. Dodatkowo, jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej uporczywie narusza przepisy Ustawy, powodując: bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych, nakłada karę w wysokości do 1 mln zł.

Share This: