W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Polska w pełni wdrożyła dyrektywę NIS

22.11.2018

21 listopada 2018 r. zostało opublikowane rozporządzenie wskazujące progi dla incydentów poważnych. Tym samym zakończył się w Polsce proces implementacji dyrektywy NIS.

Kłódka na klawiaturze komputera.

Obok ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia o wykazie usług kluczowych, przyjęcie rozporządzenia o progach było niezbędne do pełnego wdrożenia dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS).

Zgodnie z ustawą z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych mają obowiązek zgłaszać incydenty bezpieczeństwa, które dotyczą świadczonych przez nich usług kluczowych. Szczególne znaczenie mają incydenty poważne, tzn. te,  które powodują lub mogą spowodować poważnego obniżenia jakości lub przerwania ciągłości świadczenia usługi kluczowej. Pozostałe incydenty, tzw. incydenty zwykłe, operatorzy mogą zgłaszać (ale nie jest to obowiązkowe), po zgłoszeniu i uzyskać wsparcie CSIRT.

Wychodząc naprzeciw przedsiębiorcom, a także aby ułatwić rozpoznawanie i klasyfikowanie incydentów, przygotowane zostały progi, które określają warunki, kiedy należy uznać dany incydent za poważny. Przykładowo, dla poboru wody uznano, że poważnym jest incydent, który doprowadził do braku dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin.

Każde zdarzenie dotyczące incydentu poważnego musi być zgłoszone do właściwego dla danego operatora zespołu CSIRT, który będzie wspierał zgłaszającego operatora usługi kluczowej podczas całego procesu obsługi incydentu. Incydent poniżej progu też podlega obsłudze, jednak jego zgłoszenie do właściwego CSIRTu jest dobrowolne.

Jednocześnie należy zaznaczyć, że zgłaszanie incydentów to obok szacowania ryzyka i prowadzenia audytów, najważniejszy obowiązek dla operatorów usług kluczowych wynikający z przepisów ustawy.

Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny

Uwaga, niniejsze rozporządzenie wskazuje progi incydentów dla operatorów usług kluczowych (takich jak firmy energetyczne, kopalnie, uzdatnianie wody). Progi dla dostawców usług cyfrowych tzn. dla operatorów chmury obliczeniowej, wyszukiwarek internetowych i internetowych platform handlowych zostały określone w rozporządzeniu wykonawczym 2018/151, wydanym przez Komisję Europejską.

 

Informacje o publikacji dokumentu
Ostatnia modyfikacja:
22.11.2018 10:29 Jakub Karpowicz
Pierwsza publikacja:
22.11.2018 10:29 Jakub Karpowicz