Ministerstwo Energii

Definicja

Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa (dalej UKSC) (art. 5) operatorem usługi kluczowej (OUK) jest podmiot: o którym mowa w załączniku nr 1 do ustawy (dla sektora energii są to następujące podsektory: Wydobywanie kopalin, Energia elektryczna, Ciepło, Ropa naftowa, Gaz, Dostawy i usługi dla sektora energii, Jednostki nadzorowane i podległe), posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej.

Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli:

1. podmiot świadczy usługę kluczową;
2. świadczenie tej usługi zależy od systemów informacyjnych;
3. incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Zadania i obowiązki operatorów usług kluczowych

Zadania i obowiązki OUK zostały szczegółowo opisane w Rozdziale 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Poniżej zostały wymienione tylko niektóre z nich, także zachęcamy do zapoznania się z treścią ustawy, aby posiadać pełną wiedzę na temat zadań OUK.

Operator usługi kluczowej, zgodnie z art. 16 UKSC, realizuje swoje obowiązki ustawowe w podziale na 3 okresy:

1. w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – np. wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym,  powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa itd. (patrz art. 8 pkt 1 i 4, art. 9, art. 11 ust. 1-3, art. 12 i art. 14 ust. 1).

2. w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – np. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej itd. (patrz art. 8 pkt 2, 3, 5 i 6 oraz art. 10 ust. 1-3)

3. w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (patrz art. 15 ust. 1).

Aby uniknąć administracyjnych kar pieniężnych (art. 73 UKSC) OUK POWINIEN WYWIĄZAĆ SIĘ Z NAŁOŻONYCH NA NIEGO OBOWIĄZKÓW W OKREŚLONYCH USTAWOWO TERMINACH.

Zapraszamy do kontaktu pod adresem e-mail:  ow.ksc@me.gov.pl