2018.08.28 Weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa

Ustawa transponuje dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (nazywana dyrektywą NIS). Przepisy ustawy zakładają implementację przepisów dyrektywy poprzez utworzenie w Polsce krajowego systemu cyberbezpieczeństwa.  Owy system składać się ma z instytucji administracji rządowej i samorządowej oraz największych przedsiębiorców danego sektora gospodarki.

Powyższy akt nakłada na operatorów usług kluczowych, (tj. takich wobec których organ właściwy do spraw cyberbezpieczeństwa  wydał decyzję o uznaniu za operatora usług kluczowych) szereg obowiązków, w tymi między innymi: wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem, przekazywania informacji o poważnych incydentach i ich obsłudze wraz z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) oraz wyznaczenia osób odpowiedzialnych za cyberbezpieczeństwo świadczonych usług. Wydanie decyzji o uznaniu za operatora usług kluczowych wymaga kumulatywnego spełnienia trzech przesłanek w których mowa w art. 5 ust. 2 ustawy:

  • podmiot musi świadczyć usługę kluczową,
  • świadczenie tej usługi musi zależeć od systemów informacyjnych,
  • incydent musi/musiałby mieć istotny skutek zakłócający dla świadczenia usług kluczowej przez ten podmiot (operatora).

Pojęcie usługi kluczowej zostało natomiast zdefiniowane w art. 2 (słowniczku ustawy) zgodnie z którym przez usługę kluczową rozumie się usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych.

Ustawa zakłada utworzenie przez Ministra właściwego do spraw informatyzacji specjalnego wykazu operatorów kluczowych. Wpisanie oraz wykreślenie podmiotu z owego rejestru będzie czynnością materialno – techniczną. Minister w niezbędnym zakresie może udostępnić dane z wykazu operatorów usług kluczowych podmiotom takim jak np. Policja, Centralne Biuro Antykorupcyjne, Agencja Bezpieczeństwa Wewnętrznego, organom Krajowej Administracji Skarbowej, sądom i prokuraturze.