Operatorzy usług kluczowych – kto do nich należy?
Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), uchwalona w lipcu 2018 r., wprowadziła do przestrzeni prawnej pojęcie operatora usługi kluczowej, które dla niektórych osób wciąż brzmi dość tajemniczo. W tym artykule wyjaśnimy, co oznacza ten termin. Na konkretnych przykładach wskażemy również obowiązki, jakie spoczywają na dostawcach usług kluczowych.
Operator usługi kluczowej – co to za podmiot?
Dyrektywa NIS (Network and Information Systems Directive) z lipca 2016 r. to pierwsze prawo unijne regulujące kwestie cyberbezpieczeństwa w krajach członkowskich UE. Implementacją tej dyrektywy do polskich przepisów była ustawa o krajowym systemie cyberbezpieczeństwa, która wprowadziła pojęcie operatora usługi kluczowej (OUK).
OUK to podmiot świadczący usługi o krytycznym znaczeniu dla prawidłowego funkcjonowania państwa. Dokładny wykaz takich podmiotów został sporządzony przez Radę Ministrów we wrześniu 2018 r. Wraz z nim powstał również wykaz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Warunkiem klasyfikacji jako OUK jest świadczenie usług za pośrednictwem systemów informacyjnych i posiadanie jednostki organizacyjnej na terenie Polski. Wykaz OUK nie jest niestety publikowany, decyzja o nałożeniu na dany podmiot obowiązków OUK jest podejmowana w trybie administracyjnym.
Szacuje się, że po wejściu w życie UKSC w wykazie OUK znalazło się ponad 500 podmiotów, w tym firmy działające między innymi w sektorach:
• energetycznym,
• finansowym,
• transporcie,
• ochronie zdrowia,
• infrastrukturze cyfrowej,
• zaopatrzeniu i dystrybucji wody pitnej
i innych gałęziach.
Ustawa o krajowym systemie cyberbezpieczeństwa jasno określa obowiązki nałożone na operatorów usług kluczowych. Należą do nich między innymi:
• szacowanie i zarządzanie ryzykiem,
• stosowanie adekwatnych do oszacowanych ryzyk środków technicznych i organizacyjnych środków bezpieczeństwa (w tym utrzymywania planów ciągłości działania),
• przeprowadzanie okresowych audytów bezpieczeństwa,
• zbieranie informacji o zagrożeniach i podatnościach na incydenty,
• raportowanie incydentów i współpraca z właściwym zespołem CSIRT,
• wydelegowanie konkretnych osób do kontaktu na potrzeby krajowego systemu cyberbezpieczeństwa.
W ciągu 12 miesięcy od otrzymania decyzji administracyjnej OUK jest zobligowany przygotować audyt weryfikacyjny i przekazać sprawozdanie wskazanym podmiotom. Brak realizacji obowiązków przez OUK skutkuje nałożeniem kar finansowych przez właściwe organy.
Oczekiwana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa będzie implementacją do polskich przepisów kolejnej unijnej dyrektywy - NIS2. Znowelizowana ustawa ma zawierać wytyczne dla nowej grupy firm i instytucji – tak zwanych podmiotów istotnych, na które również zostaną nałożone nowe obowiązki, jednak nie tak restrykcyjne jak dla OUK. W tej grupie znajdą się między innymi firmy kurierskie, pocztowe, produkcyjne czy telekomunikacyjne.
Przykłady operatorów usług kluczowych
Usługi kluczowe, które znalazły się w wykazie z 2018 r., zostały podzielone na 17 sektorów i podsektorów. Szczegółowo scharakteryzowano również przesłanki, które muszą zostać spełnione, by podmiot świadczący usługi w danej gałęzi gospodarki mógł zostać uznany za OUK.
Operatorzy usług kluczowych – przykłady:
• firmy prowadzące autorytatywne serwery DNS z co najmniej 100 tys. domen,
• oczyszczalnie ścieków ujmujące, uzdatniające i dostarczające wodę pitną do co najmniej 500 tys. odbiorców,
• szpitale ze Szpitalnym Oddziałem Ratunkowym (SOR),
• banki i instytucje finansowe, świadczące usługi przyjmowania depozytów pieniężnych i innych funduszy podlegających zwrotowi,
• kopalnie wydobywające co najmniej 10 mln ton węgla brunatnego, 8 mln ton węgla kamiennego lub 50 tys. ton miedzi w skali roku.
Zadbaj o cyberbezpieczeństwo swojej firmy już dziś
Wymagania stawiane przez dyrektywy NIS/NIS2 oraz ich polski odpowiednik w postaci ustawy o krajowym systemie cyberbezpieczeństwa mogą być trudne do spełnienia nawet dla dużych firm z wyodrębnionymi na ten cel budżetami. Samo przestrzeganie podstawowych zasad cyberbezpieczeństwa nie wystarczy, by wywiązywać się nowych obowiązków.
Nadchodząca nowelizacja UKSC zakłada, że podmioty będą mogły w dużej części wyoutsource’ować zadania w obszarze cyberbezpieczeństwa zewnętrznym zespołom Security Operations Center, jak na przykład Netia SOC. Jest to doświadczony zespół specjalistów, obejmujący swoimi kompetencjami co najmniej kilkanaście obszarów bezpieczeństwa. Skorzystanie z usług Netia SOC może pomóc firmom zaoszczędzić mnóstwo czasu i środków, które pochłonęłoby przystosowanie do przepisów wynikających z obecnej oraz znowelizowanej ustawy.
Skompletowanie własnego zespołu SOC przy obecnej sytuacji na rynku pracy, a przede wszystkim braku specjalistów ds. bezpieczeństwa teleinformatycznego, mogłoby pochłonąć minimum kilkanaście miesięcy, a utrzymanie dedykowanego wewnętrznego zespołu SOC może kosztować nawet kilka milionów złotych rocznie. Zespół Netia SOC pomoże Twojej firmie dostosować się do nowych przepisów, wdrożyć odpowiednie do ryzyka środki bezpieczeństwa i utrzymać je bez konieczności zaangażowania Twoich pracowników. Posiadamy akredytacje i certyfikaty w zakresie bezpieczeństwa (np. ISO 27001, CISSP, CEH) i działamy zgodnie z obowiązującymi przepisami, wypełniając założenia UKSC, rozporządzenia RODO. Procesy monitoringu i obsługi incydentów bezpieczeństwa są realizowany w trybie ciągłym 24/7.
Dodatkowo, w ramach oferty usług bezpieczeństwa od Netii, możesz skorzystać z szeregu rozwiązań, które pomogą w uzyskaniu pełnej zgodności z obowiązującymi przepisami oraz podniosą poziom bezpieczeństwa Twojej firmy.
Polecane treści:
English