Dostawcami usług cyfrowych (dalej: „DUC”) są osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące określone w ustawie o KSC usługi cyfrowe.

Ustawa nakłada na DUC obowiązek zapewnienia poziomu bezpieczeństwa współmiernego do stopnia ryzyka, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług cyfrowych, ze względu na znaczenie tych usług dla działalności innych przedsiębiorców w Unii.

Zharmonizowane podejście na poziomie Unii mają zapewnić akty wykonawcze, w tym rozporządzenie wykonawcze Komisji Europejskiej 2018/151. W rozporządzeniu doprecyzowano elementy, jakie mają zostać uwzględnione przez dostawców usług cyfrowych przy określaniu i przedsiębraniu środków mających na celu zapewnienie poziomu bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez nich w kontekście oferowania usług, jak również parametry, które należy wziąć pod uwagę w celu ustalenia, czy incydent ma istotny wpływ na świadczenie tych usług.

Podobnie jak w przypadku operatorów usług kluczowych za niewykonanie obowiązków przez DUC wynikających z ustawy o krajowym systemie cyberbezpieczeństwa, przewidziano zastosowanie kar finansowych.

• przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów,
• zapewnia w niezbędnym zakresie dostęp do informacji właściwemu CSIRT o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT,
• klasyfikuje incydent jako istotny,
• zgłasza incydent istotny niezwłocznie, nie później jednak niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT,
• zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane,
• usuwa podatności,
• przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Dostawca usług cyfrowych przekazuje informacje dotyczące incydentu istotnego będącego incydentem, który ma istotny wpływ na świadczenie usługi cyfrowej.

Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:

• liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług,
• czas trwania incydentu,
• zasięg geograficzny obszaru, którego dotyczy incydent,
• zakres zakłócenia funkcjonowania usługi,
• zakres wpływu incydentu na działalność gospodarczą i społeczną.

Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.