Operatorzy usług kluczowych – na co powinni się przygotować?
Zgodnie z ustawa o krajowym systemie cyberbezpieczeństwa Operatorami usług kluczowych, są podmioty świadczące usługi, które są istotne dla utrzymania krytycznej działalności społecznej lub gospodarczej. Odpowiedzialnym, za sporządzenie spisu oraz wykazu Operatorów będzie minister właściwy ds. informatyzacji.
Wpisane do rejestru (OUK) podmioty muszą zagwarantować bezpieczeństwo w zakresie świadczenia swoich usług. W terminie do 3 miesięcy, liczonych od momentu otrzymania decyzji administracyjnej uznającej podmiot za OUK, Operatorzy muszą zbudować odpowiednio przygotowane struktury wewnętrzne, które zapewnią cyberbezpieczeństwo lub nawiązać w tym zakresie współpracę z podmiotem zewnętrznym. Natomiast w terminie do 6 miesięcy, Operatorzy muszą zapewnić optymalne zabezpieczenia dla procesu świadczenia swoich usług. Oprócz zabezpieczeń, OUK są również zobligowani do wdrożenia odpowiedniej dokumentacji w obszarze bezpieczeństwa informacji oraz cyberbezpieczeństwa.
Do niezbędnej dokumentacji, z punktu widzenia Operatora, możemy zaliczyć:
- Dokumentację dotyczącą systemu zarządzania bezpieczeństwem informacji wytworzoną zgodnie z wymaganiami normy PN-EN ISO/IEC 27001;
- Dokumentację ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:
- charakterystyki usługi kluczowej oraz infrastruktury,
- szacowania ryzyka dla obiektów infrastruktury,
- oceny aktualnego stanu ochrony infrastruktury,
- opisu zabezpieczeń technicznych obiektów infrastruktury,
- zasad organizacji i wykonywania ochrony fizycznej infrastruktury,
- Dokumentację systemu zarządzania ciągłością działania usługi kluczowej wytworzoną zgodnie z wymaganiami normy PN-EN ISO 22301;
- Dokumentację techniczną systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
- Dokumentację wynikającą ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze.
W celu zagwarantowania optymalnego poziomu cyberbezpieczeństwa, OUK powinien posiadać System zarządzania bezpieczeństwa informacji. Kolejnymi ważnymi czynnikami wpływającymi na poziom cyberbezpieczeństwa usługi Operatora, jest zapewnienie planów ciągłości działania oraz wdrożenie systemu związanego z procesem szacowania ryzyka oraz wystąpienia określonych incydentów bezpieczeństwa.
Głównym założeniem procesu szacowania ryzyka jest identyfikacja i wskazanie aktywów, które są najbardziej zagrożone w organizacji. Dzięki procesowi szacowania ryzyka, organizacja jest świadoma tego, które aktywa należy zabezpieczyć w pierwszej kolejności oraz jakie zabezpieczenia będą optymalne.
Ustawa o krajowym systemie cyberbezpieczeństwa obejmuje Państwa organizację? Jeśli tak, zachęcamy do kontaktu z naszym zespołem >>tutaj, który profesjonalnie i bezpiecznie może wskazać kolejne kroki oraz wdrożyć wytyczne ustawy. Zobacz co możemy zaoferować w ramach usługi Cyber-Security >>tutaj.