Organ właściwy wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli:

• podmiot świadczy usługę kluczową;
• świadczenie tej usługi zależy od systemów informacyjnych;
• incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Procedura wyznaczenia podmiotu jako operatora usługi kluczowej

1. Organ właściwy bada rynek w celu identyfikacji potencjalnych operatorów usług kluczowych.
2. Organ właściwy wszczyna postępowanie administracyjne i zbiera informacje o podmiocie.
3. Organ właściwy sprawdza, czy podmiot spełnia wymogi rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.
4. Organ właściwy wskazuje operatora usługi kluczowej (decyzja administracyjna).
5. Operator usługi kluczowej ma od 3 do 12 miesięcy (w zależności od zadania) na dostosowanie się do wymogów zawartych w Ustawie.
6. Operator usługi kluczowej realizuje obowiązki trwałe wynikające z Ustawy o krajowym systemie cyberbezpieczeństwa.

Zadania i obowiązki operatora usługi kluczowej

Obowiązki operatorów usług kluczowych znajdują się w rozdziale 3 Ustawy o krajowym systemie cyberbezpieczeństwa. Przewiduje się różny czas na wypełnienie poszczególnych obowiązków. Rozpatrując najważniejsze z nich, od chwili otrzymania od organu właściwego decyzji administracyjnej, operator usługi kluczowej zobowiązany jest dokonać następujących działań:

W terminie 3 miesięcy od dnia otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;

W terminie 6 miesięcy od dnia otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;

W terminie 12 miesięcy od dnia otrzymania decyzji przeprowadza pierwszy audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Przekazywanie informacji o incydencie przez operatora usługi kluczowej

Operatorzy usług kluczowych są ponadto zobowiązani do zgłoszenia incydentu poważnego (jest to taki incydent, który powoduje lub może spowodować poważne obniżenie, jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej) niezwłocznie, nie później niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT (MON, NASK, GOV). Operator współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRTem, przekazując niezbędne dane oraz usuwa wskazane podatności i informuje o ich usunięciu organ właściwy.

Obsługa i zarządzanie incydentem

Obsługa incydentu to czynności umożliwiające  wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu. Są to niezbędne kroki konieczne do obsługi incydentu.

Istotne jest rozróżnienie pojęć obsługi oraz zarządzania incydentem. Zarządzanie incydentem obejmuje obsługę incydentu (tj. wszystkie wyżej wymienione etapy), a także wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu.

Materiały do pobrania:

Obowiązki operatora usług kluczowych