Nowe prawo nakłada na operatorów usług kluczowych obowiązki dotyczące m.in. szacowania ryzyka wystąpienia incydentu, stosowania właściwych środków bezpieczeństwa oraz obsługi i zarządzania incydentami.
Ustawa o krajowym systemie cyberbezpieczeństwa podpisana 1 sierpnia przez Prezydenta RP Andrzeja Dudę implementuje do prawa polskiego unijną dyrektywę NIS.
Jakie podmioty wejdą w skład Krajowego Systemu Cyberbezpieczeństwa (KSC)?
Na stronie Ministerstwa Cyfryzacji opublikowano wykaz usług kluczowych. Zgodnie z ustawą, operatorem jest podmiot, który spełnia (łącznie) poniższe wymagania:
- został wskazany (jako rodzaj podmiotu) w załączniku do ustawy,
- świadczy usługę kluczową określoną w rozporządzeniu,
- świadczenie tej usługi zależy od systemów informacyjnych,
usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.
Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:
- energia (m.in. energia elektryczna, ciepło, ropa i gaz),
- transport (z podziałem na wodny, lądowy i powietrzny),
- bankowość i infrastruktura rynków finansowych,
- uzdatnianie wody i odprowadzanie ścieków,
- ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny),
- infrastruktura cyfrowa (DNS, IXP i TLD).
Jakie będą obowiązki?
Operatorzy usług kluczowych będą musieli zabezpieczyć dane wrażliwe narażone na ryzyko związane z atakami hakerskimi oraz powiadamiać o poważnych incydentach i współpracować z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty wymienione w rozporządzeniu Rady Ministrów będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania naruszeń oraz udostępniania wiedzy na temat bezpieczeństwa w sieci.
A jak wygląda naruszenie cyberbezpieczeństwa w praktyce? Przykładów nie trzeba daleko szukać – wystarczy, że duży dostawca usług hostingowych padnie ofiarą ataku DDOS i pół internetu w Polsce jest wyłączone. Więcej o dyrektywie NIS i Krajowym Systemie Cyberbezpieczeństwa można przeczytać tutaj.