Jakie obowiązki mają operatorzy usług kluczowych?

Dnia 28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. (dalej: „ustawa”). Ustawa ta określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w jego skład. Poniżej przedstawimy jakie obowiązki spoczywają na podmiotach nazwanych w ustawie „operatorami usług kluczowych”.

Cyberbezpieczeństwo

Ustawa definiuje cyberbezpieczeństwo jako odporność systemów informacyjnych na działania naruszające ich poufność, integralność oraz dostępność i autentyczność danych lub usług. System informacyjny zaś to system teleinformatyczny wraz z przetwarzanymi w nim danymi w postaci elektronicznej.

Z kolei za system teleinformatyczny ustawodawca w odrębnej ustawie uznaje zespół współpracujących ze sobą urządzeń informatycznych i oprogramowanie. Zespół ten zapewnia zarówno przetwarzanie, jak również przechowywanie, wysyłanie oraz odbieranie danych przez sieci telekomunikacyjne.

Usługa kluczowa

Za usługę kluczową uznaje się taką, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej państwa. W Rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych wskazano, jakie usługi uznawane są za kluczowe.

W wykazie usług kluczowych znalazły się w szczególności następujące pozycje:

  1. wydobywanie gazu ziemnego, ropy naftowej, miedzi oraz węgla;
  2. wytwarzanie oraz dystrybucja energii elektrycznej oraz ciepła;
  3. transport lotniczy, morski oraz kolejowy;
  4. wykonywanie przez banki czynności takich jak: udzielanie pożyczek pieniężnych, kredytów itp.;
  5. udzielanie świadczenia opieki zdrowotnej przez podmioty lecznicze;
  6. produkcja, obrót lub dystrybucja produktów leczniczych;
  7. doprowadzanie wody lub odprowadzanie ścieków itp.

Operatorzy usług kluczowych

Operatorem usługi kluczowej jest podmiot, wobec którego właściwy organ wydał decyzję o uznaniu za takiego operatora. Zgodnie z Załącznikiem nr 1 do ustawy operatorami usługi kluczowej mogą zostać uznane następujące podmioty:

  1. prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego;
  2. przedsiębiorstwo energetyczne;
  3. prowadzące działalność gospodarczą w zakresie dostaw systemów, maszyn, urządzeń, materiałów, surowców oraz świadczenia usług na rzecz sektora energii;
  4. przewoźnicy lotniczy, itp.

Obowiązki operatorów usług kluczowych

Do zakresu obowiązków operatorów usług kluczowych należą:

  1. wdrażanie systemu zarządzania bezpieczeństwem w systemie informacyjnym;
  2. wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  3. zapewnienie dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa;
  4. opracowanie, wdrożenie oraz aktualizacja dokumentacji;
  5. obsługa incydentów;
  6. przeprowadzanie audytu bezpieczeństwa.

Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym

System zarządzania bezpieczeństwem w systemie informacyjnym, jaki winien zostać wdrożony przez operatora usług kluczowych ma zapewniać m. in. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu, zarządzanie incydentami oraz wdrożenie proporcjonalnych i odpowiednich środków technicznych oraz organizacyjnych celem utrzymania bezpiecznej eksploatacji systemu informacyjnego.

Audyt bezpieczeństwa

Do jednych z podstawowych obowiązków operatora usługi kluczowej jest przeprowadzanie audytu bezpieczeństwa systemu informacyjnego. Audyt taki winien być przeprowadzany co najmniej raz na 2 lata.

Terminy realizacji obowiązków przez operatorów usług kluczowych

Operatorzy powinni realizować obowiązki określone w niniejszym artykule w terminie:

  1. trzech miesięcy od doręczenia decyzji o uznaniu za operatora usługi kluczowej – w zakresie obowiązków dotyczących szacowania ryzyka, zarządzania incydentami, wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  2. sześć miesięcy od doręczenia decyzji o uznaniu za operatora usługi kluczowej – w zakresie pozostałych obowiązków operatora;
  3. roku od doręczenia decyzji o uznaniu za operatora usługi kluczowej – w zakresie przeprowadzenia audytu bezpieczeństwa.

Podsumowanie

Podsumowując, należy wskazać, iż ustawa o krajowym systemie cyberbezpieczeństwa wprowadziła nowy podział podmiotów prowadzących działalność gospodarczą w sferach stanowiących szczególne zainteresowanie państwa. Jednym z nich są operatorzy usług kluczowych, na których ustawodawca nałożył szereg obowiązków. Najistotniejszymi z nich jest obowiązek przeprowadzania audytów bezpieczeństwa informacji, zarządzania incydentami oraz szacowania ryzyka bezpieczeństwa.

Powrót do podstrony Audyt bezpieczeństwa informacji

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50