Opracowanie i wdrażanie procedur Krajowego Systemu Cyberbezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową. W skład KSC wchodzą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki.
W ustawie mowa jest o:
– Operatorach Usług Kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale;
– Dostawcach Usług Kluczowych (DUC), czyli m.in. internetowych platformach handlowych;
– Organach Właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury;
– Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa;
– sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.
Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.
Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.
Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.
Obowiązki operatorów usług kluczowych
Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:
– Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;
– Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;
– Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.
Za niewykonanie przez OUK obowiązków wynikających z ustawy, przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).
Ustawa o Krajowym Systemie Cyberbezpieczeństwa