W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Podmioty świadczące usługi w zakresie cyberbezpieczeństwa

Najczęściej zadawane pytania dotyczące ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560) oraz do rozporządzeń wykonawczych w kategorii Podmioty świadczące usługi z zakresu cyberbezpieczeństwa:

  • Czy podmioty publiczne w realizacji swoich zadań, wskazanych w ustawie, mogą zawierać umowy z podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa?

Podmioty publiczne mają znaczną swobodę w zawieraniu umów cywilnoprawnych. Tak jak mogą powierzyć budowę lub utrzymanie systemu teleinformatycznego podmiotowi prywatnemu, tak mogą zakupić na rynku usługi cyberbezpieczeństwa. Realizacja zamówienia podlega przepisom ustawy o zamówieniach publicznych.

  • Czy wymogi wskazane w rozporządzeniu dotyczące pomieszczeń odnoszą się do wszystkich pomieszczeń użytkowanych przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa czy do pomieszczeń, w których świadczone są te usługi?

Wymagania określone w rozporządzeniu dotyczą pomieszczeń, w których przebiegają procesy związane ze świadczeniem usług cyberbezpieczeństwa.
Doprecyzowując, wymagania dotyczą wszystkich pomieszczeń wykorzystywanych do świadczenia usług cyberbezpieczeństwa, a nie tylko tych, w których umiejscowiono systemy teleinformatyczne. Należy również wziąć pod uwagę pokoje pracy specjalistów, pomieszczenia przeznaczone na przechowywanie dokumentacji i nośników informacji. Wymagania nie obejmują innych pomieszczeń.
Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. 1780)

  • Co oznaczają pojęcia „zewnętrzne” (drzwi, okna i ściany) oraz „wewnętrzne” (drzwi i ściany)? Czy chodzi o oddzielające wszystkie pomieszczenia podmiotu od zewnętrza budynku czy oddzielające strefę świadczenia usług z zakresu cyberbezpieczeństwa od reszty pomieszczeń tego podmiotu?

Pojęcia „wewnętrzne” i „zewnętrzne” odnoszą się do pomieszczeń, w których przebiegają procesy związane ze świadczeniem usług z zakresu cyberbezpieczeństwa.

 

  • Jak należy rozumieć "prawo do wyłącznego korzystania" z pomieszczeń, o którym mowa w rozporządzeniu? Czy chodzi o wszystkie pomieszczenia podmiotu, czy też o pomieszczenia służące do świadczenia usług z zakresu cyberbezpieczeństwa? Czy „wyłączne korzystanie” oznacza również niemożność wejścia na teren administratora/właściciela wynajmującego dane pomieszczenia w sytuacjach awaryjnych? Czy pomieszczenia muszą być własnością danego podmiotu?

Chodzi o pomieszczenia, w których przebiegają procesy związane ze świadczeniem usługi cyberbezpieczeństwa.
Zapis ten wynika z uwag podniesionych podczas prac nad rozporządzeniem. Uzgodniono, że wystarczające jest posiadanie przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa prawa do wyłącznego korzystania z pomieszczeń. Prawo użytkowania ma w systemie prawa cywilnego precyzyjnie określoną treść (art. 252 KC). Prawo do wyłącznego korzystania może natomiast wynikać nie tylko z prawa własności, użytkowania, ale również najmu i dzierżawy - jest więc pojęciem szerszym.
Wejście na teren pomieszczeń osób nieposiadających stałego uprawnienia do przebywania w danym pomieszczeniu musi odbywać się w towarzystwie osoby uprawnionej i musi podlegać rejestrowaniu. Odrębną sprawą jest wejście do takiego pomieszczenia osoby nieuprawnionej w stanie wyższej konieczności (np. strażaka podczas akcji gaszenia pożaru).
Przepis wyraźnie mówi o posiadaniu prawa do dysponowania, a nie o prawie do własności – tzn. szerzej.

  • Czy podmioty świadczące usługi z zakresu cyberbezpieczeństwa mogą outsource’ować personel oraz sprzęt, o którym mowa w rozporządzeniu? 

Przepisy rozporządzenia nie krępują usługodawcy w zakresie kształtowania zatrudnienia, czy zasad wykorzystywania sprzętu i oprogramowania (zakup, leasing, wynajem).

  • Czy są znane dokumenty (normy) pozwalające dokonać oceny zgodności z wymogiem odporności ścian na włamanie adekwatnej do klasy odporności drzwi, o którym mowa w rozporządzeniu, oraz pozwalające znaleźć odpowiedniki odporności muru ceglanego o grubości 25 cm dla innych materiałów budowlanych?

W odniesieniu do drzwi i okien prawodawca przywołując normy. kierując się tym, że wyroby te dostępne są na rynku jako wyroby posiadające stosowne certyfikaty albo deklaracje zgodności. 

Ściany, jako wyroby jednorazowe, trudno jest poddawać certyfikacji, zatem wskazane zostało jako odnośnik przykładowe wykonanie takiej ściany, co nie oznacza, że ściana taka musi być wykonana w postaci muru z cegły. 

Jeśli chodzi o normy to kwestię odporności ścian reguluje Polska Norma PN-EN 1627 Drzwi, okna, ściany osłonowe, kraty i żaluzje -- Odporność na włamanie -- Wymagania i klasyfikacja.

  • W przypadku wymogów określonych w rozporządzeniu w stosunku do wskazanych w nich systemów bezpieczeństwa należy posługiwać się terminem "stopień", a nie "klasa", który to termin odnosi się tylko do zabezpieczeń mechanicznych a nie elektronicznych.

W § 2 ust. 1 pkt 1 i pkt 2 rozporządzenia chodzi o system alarmowy lub kontroli dostępu, którego klasa/stopień w wersji anglojęzycznej normy określany został jako „Grade 2”.

  • Co należy rozumieć pod sformułowaniem „usługi z zakresu cyberbezpieczeństwa” świadczonej przez podmiot zewnętrzny, o której stanowi art. 14 ust. 1 ustawy o KSC?

Usługa z zakresu cyberbezpieczeństwa świadczona przez podmiot zewnętrzy, to usługa polegająca na realizacji zadań nałożonych na operatora usługi kluczowej. Zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa może dotyczyć realizacji jednego, kilku lub wszystkich obowiązków. Zakres realizowanych usług wynika z umowy zawartej pomiędzy podmiotami.

  • Jak należy interpretować zobowiązanie do „zapewnienia wsparcia operatorowi usługi kluczowej” przez podmiot świadczący usługi z zakresu cyberbezpieczeństwa, o którym mowa w  § 1 ust. 1 pkt. 4 Rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. z 2018 r. poz. 1780)?

Podmiot świadczący usługi z zakresu cyberbezpieczeństwa w zakresie warunków organizacyjnych jest obowiązany zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej. Sposób realizacji tego obowiązku zależy od świadczonej usługi i jej charakteru.

  • Co oznacza „dysponowanie”, przez podmiot świadczący usługi z zakresu cyberbezpieczeństwa, personelem  o określonych umiejętnościach i doświadczeniu np. z zakresu zabezpieczenia śladów kryminalistycznych?

Pojęcie „dysponowanie” jest pojęciem szerokim, w ramach którego mieszczą się różne stosunki prawne wiążące personel. Personelem można dysponować nie tylko na podstawie umowy o pracę ale również na podstawie umowy zlecenia lub innych stosunków cywilnoprawnych. Realizując obowiązek określony w wyżej wymienionym rozporządzeniu, należy mieć na uwadze aby personel odpowiedzialny np. za zabezpieczenie śladów kryminalistycznych posiadał wiedzę i doświadczenie na odpowiednim poziomie, zarówno z sektora technicznego jak i prawnego (kodeksu postepowania karnego). Efektem tego będzie zgromadzenie materiału dowodowego jak najbardziej kompletnego, jednoznacznego oraz niepodważalnego.

  • Czy zarówno wewnętrzne struktury organizacyjne operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa na rzecz tego operatora, powinny spełniać wymagania określone w art. 14 ust. 2 pkt 2 ustawy o KSC?

W tym przypadku obie struktury organizacyjne powinny dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi oraz środowiskowymi.

Informacje o publikacji dokumentu
Ostatnia modyfikacja:
15.07.2019 15:36 Kinga Graczyk
Pierwsza publikacja:
15.07.2019 15:36 Kinga Graczyk
{"register":{"columns":[]}}