Nowe prawo nakłada na operatorów usług kluczowych obowiązki dotyczące m.in. szacowania ryzyka wystąpienia incydentu, stosowania właściwych środków bezpieczeństwa oraz obsługi i zarządzania incydentami.

Ustawa o krajowym systemie cyberbezpieczeństwa podpisana 1 sierpnia przez Prezydenta RP Andrzeja Dudę implementuje do prawa polskiego unijną dyrektywę NIS.

Jakie podmioty wejdą w skład Krajowego Systemu Cyberbezpieczeństwa (KSC)?

Na stronie Ministerstwa Cyfryzacji opublikowano wykaz usług kluczowych. Zgodnie z ustawą, operatorem jest podmiot, który spełnia (łącznie) poniższe wymagania:

  • został wskazany (jako rodzaj podmiotu) w załączniku do ustawy,
  • świadczy usługę kluczową określoną w rozporządzeniu,
  • świadczenie tej usługi zależy od systemów informacyjnych,

usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.

Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:

  • energia (m.in. energia elektryczna, ciepło, ropa i gaz),
  • transport (z podziałem na wodny, lądowy i powietrzny),
  • bankowość i infrastruktura rynków finansowych,
  • uzdatnianie wody i odprowadzanie ścieków,
  • ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny),
  • infrastruktura cyfrowa (DNS, IXP i TLD).

Jakie będą obowiązki?

Operatorzy usług kluczowych będą musieli zabezpieczyć dane wrażliwe narażone na ryzyko związane z atakami hakerskimi oraz powiadamiać o poważnych incydentach i współpracować z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty wymienione w rozporządzeniu Rady Ministrów będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania naruszeń oraz udostępniania wiedzy na temat bezpieczeństwa w sieci.

A jak wygląda naruszenie cyberbezpieczeństwa w praktyce? Przykładów nie trzeba daleko szukać – wystarczy, że duży dostawca usług hostingowych padnie ofiarą ataku DDOS i pół internetu w Polsce jest wyłączone. Więcej o dyrektywie NIS i Krajowym Systemie Cyberbezpieczeństwa można przeczytać tutaj.