Temat: PBSG: Ustawa o krajowym systemie cyberbezpieczeństwa.

PBSG: Ustawa o krajowym systemie cyberbezpieczeństwa.





Dnia 28.08.2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z założeniami Ustawy w skład krajowego systemu cyberbezpieczeństwa wchodzić mają m.in.. dostawcy usług kluczowych (w skrócie DUC) oraz podmioty uznane za operatorów usług kluczowych.

Dostawcami usług cyfrowych (DUC), zgodnie z art. 17, będą podmioty, które specjalizują się w zakresie świadczenia usług internetowych platform handlowych, wyszukiwarek internetowych, jak również przetwarzania danych w chmurze. Każdy wskazany DUC będzie musiał podjąć odpowiednie środki techniczne oraz organizacyjne w celu uniknięcia sytuacji, w której ryzyko może się zmaterializować. Konieczne zatem jest wdrożenie procedury zarządzania ryzykiem, adekwatnej do sytuacji, na jakie są narażone systemy wykorzystywane do świadczenia usług cyfrowych. Środki, które zapewnią bezpieczeństwo odpowiednie do ryzyka to m.in.: opracowanie procedury systemów informacyjnych i obiektów, opracowanie planu postępowania w przypadku wystąpienia incydentu, zarządzanie ciągłością działania, a także ciągłe monitorowanie i regularne audyty/testy systemu.

Kolejnymi podmiotami, które zostały objęte ustawą to tzw. operatorzy usług kluczowych. Zgodnie z definicją wskazaną w ustawie (art. 5), operatorem usług kluczowych jest podmiot, który świadczy usługi istotne dla utrzymania krytycznej działalności społecznej lub gospodarczej. Organem odpowiedzialnym za sporządzenie spisu oraz wykazu Operatorów jest Minister właściwy ds. informatyzacji.

Kryteria wskazujące operatorów usług kluczowych uwzględnione w Ustawie są następujące:
1.Podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej;
2.Świadczenie tej usługi zależy od sieci i systemów informatycznych;
3.Incydent miałby istotny skutek zakłócający dla świadczenia usługi przez tego operatora;
4.Podmiot posiada jednostkę organizacyjną na terenie Polski;
5.Wydanie decyzji przez organ właściwy ds. cyberbezpieczeństwa.

Zgodnie z ustawą, takie podmioty są zobligowane do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym, który jest wykorzystywany do świadczenia danej usługi kluczowej. Operatorzy są zatem zmuszeni m.in. do prowadzenia systematycznej oceny ryzyka dotyczącej wystąpienia incydentu oraz zarządzanie tym ryzykiem, wdrożenia odpowiednich zabezpieczeń adekwatnych do wyników analizy ryzyka, a także zbierania informacji o zagrożeniach cyberbezpieczeństwa.

Wytyczne, do których nawiązuje tekst ustawy jest tożsamy z dwoma obowiązującymi i ściśle współpracującymi normami – tj. PN-EN ISO/IEC 27001:2017 oraz PN-EN ISO 22301. W związku z tym, że bezpieczeństwo informacji jest integralną częścią procesów organizacyjnych i procedur we wszystkich ich funkcjach i kwestiach, oznacza to przede wszystkim, że czynności wdrażające powinny być ukierunkowane na Bezpieczeństwo informacji jako podstawowy czynnik brany pod uwagę przy projektowaniu procesów i procedur, zespołów informacyjnych i systemów przetwarzania oraz systemów zabezpieczeń.

Poniżej przedstawiamy definicje wybranych Operatorów usług kluczowych z uwzględnieniem podziału na poszczególne sektory: ...
(...)
https://www.pbsg.pl/ustawa-o-krajowym-systemie-cyberbez...