Nowe prawo nakłada na operatorów usług kluczowych obowiązki dotyczące m.in. szacowania ryzyka wystąpienia incydentu, stosowania właściwych środków bezpieczeństwa oraz obsługi i zarządzania incydentami.

Ustawa o krajowym systemie cyberbezpieczeństwa podpisana 1 sierpnia przez Prezydenta RP Andrzeja Dudę implementuje do prawa polskiego unijną dyrektywę NIS.

Jakie podmioty wejdą w skład Krajowego Systemu Cyberbezpieczeństwa (KSC)?

Na stronie Ministerstwa Cyfryzacji opublikowano wykaz usług kluczowych. Zgodnie z ustawą, operatorem jest podmiot, który spełnia (łącznie) poniższe wymagania:

usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.

Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:

Jakie będą obowiązki?

Operatorzy usług kluczowych będą musieli zabezpieczyć dane wrażliwe narażone na ryzyko związane z atakami hakerskimi oraz powiadamiać o poważnych incydentach i współpracować z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty wymienione w rozporządzeniu Rady Ministrów będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania naruszeń oraz udostępniania wiedzy na temat bezpieczeństwa w sieci.

A jak wygląda naruszenie cyberbezpieczeństwa w praktyce? Przykładów nie trzeba daleko szukać – wystarczy, że duży dostawca usług hostingowych padnie ofiarą ataku DDOS i pół internetu w Polsce jest wyłączone. Więcej o dyrektywie NIS i Krajowym Systemie Cyberbezpieczeństwa można przeczytać tutaj.