Ustawa o krajowym systemie cyberbezpieczeństwa
Dnia 28.08.2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z założeniami Ustawy w skład krajowego systemu cyberbezpieczeństwa wchodzić mają m.in.. dostawcy usług kluczowych (w skrócie DUC) oraz podmioty uznane za operatorów usług kluczowych.
Dostawcami usług cyfrowych (DUC), zgodnie z art. 17, będą podmioty, które specjalizują się w zakresie świadczenia usług internetowych platform handlowych, wyszukiwarek internetowych, jak również przetwarzania danych w chmurze. Każdy wskazany DUC będzie musiał podjąć odpowiednie środki techniczne oraz organizacyjne w celu uniknięcia sytuacji, w której ryzyko może się zmaterializować. Konieczne zatem jest wdrożenie procedury zarządzania ryzykiem, adekwatnej do sytuacji, na jakie są narażone systemy wykorzystywane do świadczenia usług cyfrowych. Środki, które zapewnią bezpieczeństwo odpowiednie do ryzyka to m.in.: opracowanie procedury systemów informacyjnych i obiektów, opracowanie planu postępowania w przypadku wystąpienia incydentu, zarządzanie ciągłością działania, a także ciągłe monitorowanie i regularne audyty/testy systemu.
Najbliższe terminy szkoleń
Kolejnymi podmiotami, które zostały objęte ustawą to tzw. operatorzy usług kluczowych. Zgodnie z definicją wskazaną w ustawie (art. 5), operatorem usług kluczowych jest podmiot, który świadczy usługi istotne dla utrzymania krytycznej działalności społecznej lub gospodarczej. Organem odpowiedzialnym za sporządzenie spisu oraz wykazu Operatorów jest Minister właściwy ds. informatyzacji.
Kryteria wskazujące operatorów usług kluczowych uwzględnione w Ustawie są następujące:
- Podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej;
- Świadczenie tej usługi zależy od sieci i systemów informatycznych;
- Incydent miałby istotny skutek zakłócający dla świadczenia usługi przez tego operatora;
- Podmiot posiada jednostkę organizacyjną na terenie Polski;
- Wydanie decyzji przez organ właściwy ds. cyberbezpieczeństwa.
Zgodnie z ustawą, takie podmioty są zobligowane do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym, który jest wykorzystywany do świadczenia danej usługi kluczowej. Operatorzy są zatem zmuszeni m.in. do prowadzenia systematycznej oceny ryzyka dotyczącej wystąpienia incydentu oraz zarządzanie tym ryzykiem, wdrożenia odpowiednich zabezpieczeń adekwatnych do wyników analizy ryzyka, a także zbierania informacji o zagrożeniach cyberbezpieczeństwa.
Wytyczne, do których nawiązuje tekst ustawy jest tożsamy z dwoma obowiązującymi i ściśle współpracującymi normami – tj. PN-EN ISO/IEC 27001:2017 oraz PN-EN ISO 22301. W związku z tym, że bezpieczeństwo informacji jest integralną częścią procesów organizacyjnych i procedur we wszystkich ich funkcjach i kwestiach, oznacza to przede wszystkim, że czynności wdrażające powinny być ukierunkowane na Bezpieczeństwo informacji jako podstawowy czynnik brany pod uwagę przy projektowaniu procesów i procedur, zespołów informacyjnych i systemów przetwarzania oraz systemów zabezpieczeń.
Poniżej przedstawiamy definicje wybranych Operatorów usług kluczowych z uwzględnieniem podziału na poszczególne sektory:
ENERGETYKA W ZAKRESIE:
- Przedsiębiorstwa posiadające koncesję na obrót energią elektryczną;
- Przedsiębiorstwa będące wyznaczonymi przez Prezesa Urzędu Regulacji Energetyki operatorami systemu przesyłowego elektroenergetycznego;
- Przedsiębiorstwa będące wyznaczonymi przez Prezesa Urzędu Regulacji Energetyki operatorami systemu dystrybucyjnego elektroenergetycznego;
- Przedsiębiorstwa energetyczne posiadające koncesję na przesyłanie paliw ciekłych;
- Przedsiębiorstwa posiadające koncesję na dystrybucję paliw ciekłych, na wytwarzanie paliw ciekłych, na magazynowanie lub przeładunek paliw ciekłych, na obrót paliwami ciekłymi lub na obrót paliwami ciekłymi z zagranicą;
- Przedsiębiorstwa posiadające koncesję na obrót gazem ziemnym z zagranicą lub na obrót paliwami gazowymi;
- Przedsiębiorstwa posiadające koncesję na skraplanie i regazyfikację gazu ziemnego.
TRANSPORT W ZAKRESIE:
- Przewoźnicy lotniczy;
- Zarządcy lotnisk;
- Przedsiębiorstwa wykonujące dla przewoźników lotniczych oraz innych użytkowników statków powietrznych jedną lub więcej kategorię usług;
- Instytucje zapewniające służby żeglugi powietrznej;
- Zarządcy infrastruktury kolejowej;
- Przewoźnicy kolejowi;
- Operatorzy obiektów infrastruktury usługowej;
- Armatorzy morscy transportu pasażerów i towarów;
- Armatorzy w obszarze żeglugi śródlądowej;
- Podmioty zarządzające w obszarze portów;
- VTS, Służba Kontroli Ruchu Statków;
- Zarządcy dróg;
- Drogowe spółki specjalnego przeznaczenia;
- Operatorzy drogowi.
BANKOWOŚĆ I INFRASTRUKTURA RYNKÓW FINANSOWYCH W ZAKRESIE:
- Instytucje kredytowe;
- Banki krajowe;
- Instytucje finansowe;
- Oddziały banków zagranicznych;
- Oddziały instytucji kredytowych;
- Spółdzielcze kasy oszczędnościowo-kredytowe;
- Podmioty prowadzące rynek regulowany w zakresie obrotu instrumentami finansowymi.
INFRASTRUKTURA CYFROWA W ZAKRESIE:
- Podmioty które świadczą usługi DNS;
- Podmioty prowadzące punkty wymiany ruchu internetowego (IXP), stanowiącego obiekt sieciowy;
- Podmioty zarządzające rejestracją internetowych nazw domen w ramach domeny najważniejszego poziomu (TLD).
Jeśli Ustawa o Krajowym Systemie Cyberbezpieczeństwa uwzględnia Państwa organizację jako dostawcę usług kluczowych to zapraszamy do kontaktu, nasz wyspecjalizowany Zespół pomoże Państwu w dostosowaniu się do wymogów Ustawy.
Zapraszamy do kontaktu przez formularz kontaktowy
Sprawdź pozostałe Poradniki
Czym się zajmujemy?
Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie
O Autorze
