W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

Powrót

Operator usługi kluczowej

Definicja

Zgodnie z art. 5 ustawy o krajowym systemie cyberbezpieczeństwa operatorem usługi kluczowej (OUK) jest podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Sektory, podsektory oraz rodzaje podmiotów określa załącznik nr 1 do ustawy.

Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli:

  1. podmiot świadczy usługę kluczową;
  2. świadczenie tej usługi zależy od systemów informacyjnych;
  3. incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Zadania i obowiązki operatorów usług kluczowych

Zadania i obowiązki OUK zostały szczegółowo opisane w Rozdziale 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Poniżej zostały wymienione tylko niektóre z nich, także zachęcamy do zapoznania się z treścią ustawy, aby posiadać pełną wiedzę na temat zadań OUK.

 

Operator usługi kluczowej, zgodnie z art. 16 UKSC, realizuje swoje obowiązki ustawowe w podziale na 3 okresy:

  1. w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – np. wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym,  powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa itd. (patrz art. 8 pkt 1 i 4, art. 9, art. 11 ust. 1-3, art. 12 i art. 14 ust. 1).
  2. w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – np. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej itd. (patrz art. 8 pkt 2, 3, 5 i 6 oraz art. 10 ust. 1-3)
  3. w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej – przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (patrz art. 15 ust. 1).

 

Aby uniknąć zapisanych w art. 73 administracyjnych kar pieniężnych OUK POWINIEN WYWIĄZAĆ SIĘ Z NAŁOŻONYCH NA NIEGO OBOWIĄZKÓW W OKREŚLONYCH USTAWOWO TERMINACH.

Informacje o publikacji dokumentu
Ostatnia modyfikacja:
10.04.2019 17:05 Ilona Bartkowska
Pierwsza publikacja:
10.04.2019 17:05 Ilona Bartkowska
{"register":{"columns":[]}}