Operatorem usługi kluczowej (zwany dalej OUK) jest podmiot, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy (Minister odpowiedzialny za dany dział administracji rządowej) wydał decyzję o uznaniu za OUK.

Organ właściwy wydaje decyzję o uznaniu podmiotu za OUK, jeżeli:

• podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, zwaną dalej „usługą kluczową”, wymienioną w wykazie usług kluczowych;
• świadczenie tej usługi kluczowej zależy od systemów informacyjnych;
• incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Rada Ministrów określiła, w drodze rozporządzenia z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. poz. 1806):

• wykaz usług kluczowych, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej;
• progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych zawartych w wykazie usług kluczowych.

Do najważniejszych grup obowiązków OUK należą:

• zarządzanie ryzykiem (w tym szacowanie ryzyka);
• wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania);
• zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
• zgłaszanie incydentu poważnego do właściwego zespołu CSIRT;
• obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT;
• wyznaczenie osoby kontaktowej na potrzeby krajowego systemu cyberbezpieczeństwa.

W momencie otrzymania od organu właściwego decyzji administracyjnej OUK zobowiązany jest dokonać następujących działań:

W terminie 3 miesięcy od dnia otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;

W terminie 6 miesięcy od dnia otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;

W terminie 12 miesięcy od dnia otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Jednocześnie za niewykonanie ww. obowiązków wynikających z ustawy, przewidziano zastosowanie kar finansowych.

OUK przekazuje informacje nt. incydentu poważnego będącego incydentem, który powoduje lub może spowodować poważne obniżenie, jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;

Jednocześnie należy zauważyć, że CSIRT może zmienić klasyfikację incydentu na incydent krytyczny skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.

Sposób przekazania przez OUK informacji dotyczących incydentu:

• Operator zgłasza incydent niezwłocznie, nie później niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV,
• Operator współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane,
• Operator usuwa wskazane podatności oraz informuje o ich usunięciu organ właściwy,
• Ustawa przedstawia szczegółowo klasyfikację incydentów oraz zakres kompetencji CSIRT MON, CSIRT NASK, CSIRT GOV.

W momencie wystąpienia incydentu OUK, po jego uprzednim zgłoszeniu przystępuje do jego obsługi zgodnie z następującym schematem działań:

• Wykrywanie;
• Rejestrowanie;
• Analizowanie;
• Klasyfikowanie;
• Priorytetyzowanie;
• Podejmowanie działań naprawczych;
• Ograniczenie skutków incydentu.

Organ właściwy w celu koordynacji incydentów w regulowanym przez siebie sektorze może powołać Sektorowy Zespół Cyberbezpieczeństwa. Do jego zadań w szczególności należy:

• przyjmowanie zgłoszeń o incydentach poważnych oraz wsparcie w ich obsłudze;
• wspieranie operatorów usług kluczowych w wykonywaniu obowiązków;
• analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami oraz opracowywanie wniosków z ich obsługi;
• współpraca z właściwym CSIRT NASK, CSIRT GOV, CSIRT MON w zakresie koordynowania obsługi incydentów poważnych;
• SZC może przekazywać do innych państw i przyjmować od nich informacje o incydentach poważnych, w tym dot. dwóch lub większej liczby państw członkowskich UE.

SZC może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego UE, dot. dwóch lub większej liczby państw. Takie zgłoszenia przekazuje do właściwego CSIRT NASK, CSIRT GOV, CSIRT MON oraz PPK.