Ministerstwo Cyfryzacji ogłosiło wykaz usług kluczowych

Piotr Koperski
Piotr Koperski
Opublikowano: 26 września 2018 Aktualizacja: 26 września 2018

Rozporządzenie Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności to kolejny krok w implementacji unijnej dyrektywy NIS oraz powstania Krajowego Systemu Cyberbezpieczeństwa. Sprawdź, czy nie dostarczasz usługi kluczowej. W istocie w ciągu ostatnich kilku miesięcy fintechy i firmy technologiczne znalazły się pod ostrzałem nowych regulacji: RODO, PSD2, AML, a także trochę mniej znana dyrektywa NIS, która również nakłada nowe obowiązki na sektor finansowy.

Nowe prawo nakłada na operatorów usług kluczowych obowiązki dotyczące m.in. szacowania ryzyka wystąpienia incydentu, stosowania właściwych środków bezpieczeństwa oraz obsługi i zarządzania incydentami.

Ustawa o krajowym systemie cyberbezpieczeństwa podpisana 1 sierpnia przez Prezydenta RP Andrzeja Dudę implementuje do prawa polskiego unijną dyrektywę NIS.

Jakie podmioty wejdą w skład Krajowego Systemu Cyberbezpieczeństwa (KSC)?

Na stronie Ministerstwa Cyfryzacji opublikowano wykaz usług kluczowych. Zgodnie z ustawą, operatorem jest podmiot, który spełnia (łącznie) poniższe wymagania:

  • został wskazany (jako rodzaj podmiotu) w załączniku do ustawy,
  • świadczy usługę kluczową określoną w rozporządzeniu,
  • świadczenie tej usługi zależy od systemów informacyjnych,

usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.

Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:

  • energia (m.in. energia elektryczna, ciepło, ropa i gaz),
  • transport (z podziałem na wodny, lądowy i powietrzny),
  • bankowość i infrastruktura rynków finansowych,
  • uzdatnianie wody i odprowadzanie ścieków,
  • ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny),
  • infrastruktura cyfrowa (DNS, IXP i TLD).

Jakie będą obowiązki?

Operatorzy usług kluczowych będą musieli zabezpieczyć dane wrażliwe narażone na ryzyko związane z atakami hakerskimi oraz powiadamiać o poważnych incydentach i współpracować z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty wymienione w rozporządzeniu Rady Ministrów będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania naruszeń oraz udostępniania wiedzy na temat bezpieczeństwa w sieci.

A jak wygląda naruszenie cyberbezpieczeństwa w praktyce? Przykładów nie trzeba daleko szukać – wystarczy, że duży dostawca usług hostingowych padnie ofiarą ataku DDOS i pół internetu w Polsce jest wyłączone. Więcej o dyrektywie NIS i Krajowym Systemie Cyberbezpieczeństwa można przeczytać tutaj.


Tekst chroniony prawem autorskim. Każdorazowe kopiowanie wymaga zgody redakcji.

Pokaż komentarze (0)

ministerstwo-cyfryzacji-oglosilo-wykaz-uslug-kluczowych