W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Dostawcy usług cyfrowych

04.04.2019

Wymogami ustawy o KSC zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.

Kim jest Dostawca Usług Cyfrowych?

Dostawcami usług cyfrowych (zwani dalej DUC) są osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące określone w ustawie o KSC usługi cyfrowe.

Ustawa nakłada na DUC obowiązek zapewnienia poziomu bezpieczeństwa współmiernego do stopnia ryzyka, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług cyfrowych, ze względu na znaczenie tych usług dla działalności innych przedsiębiorców w Unii.

Zharmonizowane podejście na poziomie Unii mają zapewnić akty wykonawcze, w tym rozporządzenie wykonawcze Komisji Europejskiej 2018/151. W rozporządzeniu doprecyzowano elementy, jakie mają zostać uwzględnione przez dostawców usług cyfrowych przy określaniu i przedsiębraniu środków mających na celu zapewnienie poziomu bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez nich w kontekście oferowania usług, jak również parametry, które należy wziąć pod uwagę w celu ustalenia, czy incydent ma istotny wpływ na świadczenie tych usług.

Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.

Główne obowiązki Dostawcy usług cyfrowych:

  • przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów,
  • zapewnia w niezbędnym zakresie dostęp do informacji właściwemu CSIRT o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT,
  • klasyfikuje incydent jako istotny,
  • zgłasza incydent istotny niezwłocznie, nie później jednak niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT,
  • zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane,
  • usuwa podatności,
  • przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Dostawca usług cyfrowych przekazuje informacje dotyczące incydentu istotnego będącego incydentem, który ma istotny wpływ na świadczenie usługi cyfrowej.

Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:

  • liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług,
  • czas trwania incydentu,
  • zasięg geograficzny obszaru, którego dotyczy incydent,
  • zakres zakłócenia funkcjonowania usługi,
  • zakres wpływu incydentu na działalność gospodarczą i społeczną.

Podobnie jak w przypadku operatorów usług kluczowych za niewykonanie obowiązków przez DUC wynikających z ustawy o krajowym systemie cyberbezpieczeństwa, przewidziano zastosowanie kar finansowych.

 

 

Informacje o publikacji dokumentu
Ostatnia modyfikacja:
04.04.2019 10:59 Jakub Karpowicz
Pierwsza publikacja:
04.04.2019 10:59 Jakub Karpowicz