Czym są usługi kluczowe?
6 lipca 2016 roku weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków zapewniających wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych w Unii, zwana dyrektywą NIS (Network and Information Security).
Zakres dyrektywy jest następujący:
a) ustanawia ona obowiązek przyjęcia przez wszystkie państwa członkowskie krajowej strategii bezpieczeństwa sieci i systemów informacyjnych;
b) ustanawia grupę współpracy w celu wspierania i ułatwiania współpracy strategicznej i wymiany informacji między państwami członkowskimi oraz rozwijania zaufania między nimi;
c) ustanawia sieć zespołów reagowania na incydenty związane z bezpieczeństwem komputerowym (sieć CSIRT), aby przyczynić się do rozwoju zaufania między państwami członkowskimi oraz promować szybką i skuteczną współpracę operacyjną;
d) ustanawia wymogi dotyczące bezpieczeństwa i powiadamiania dla operatorów usług podstawowych i dostawców usług cyfrowych;
e) nakłada na państwa członkowskie obowiązek wyznaczenia właściwych organów krajowych, pojedynczych punktów kontaktowych i CSIRT pełniących funkcje związane z bezpieczeństwem sieci i systemów informatycznych.
Zastosowanie Dyrektywy NIS w Polsce
Po tym, jak Dyrektywa NIS (UE) 2016/1148, polski ustawodawca wprowadził Rozporządzenie w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, co zostało następnie ogłoszone w Dzienniku Ustaw. Rozporządzenie powstało w celu implementacji unijnej dyrektywy NIS, wskutek czego powstał również Krajowy System Cyberbezpieczeństwa.
Co w związku z Rozporządzeniem?
Rozporządzenie o krajowym systemie cyberbezpieczeństwa nakłada na operatorów usług kluczowych obowiązki dotyczące chociażby szacowania ryzyka wystąpienia incydentu, zastosowania właściwych środków bezpieczeństwa oraz obsługi i koordynowania incydentów.
Na mocy ustawy, o uznaniu danej jednostki za operatora usługi kluczowej decydują, kompetentne dla sektora, organy właściwe. Podpisane Rozporządzenie odgrywa zatem kluczową rolę dla przebiegu procesu identyfikacji operatorów usług kluczowych.
Kto jest operatorem usług kluczowych?
Zgodnie z ustawą, operatorem usług kluczowych jest podmiot, który spełnia każde z poniższych wymagań:
- został wskazany (jako rodzaj podmiotu) w załączniku do ustawy;
- świadczy usługę kluczową, zgodnie z definicją takiej usługi zawartą w rozporządzeniu;
- świadczona przez niego usługa zależy od systemów informacyjnych;
- usługa ta jest świadczona powyżej określonego progu – zazwyczaj jest to wielkość produkcji, obszar geograficzny świadczenia usługi czy też liczba odbiorców.
Usługi kluczowe objęte rozporządzeniem obejmują sektory takie jak:
- energia (energia elektryczna, cieplna, ropa i gaz);
- bankowość i finanse;
- ochrona zdrowia (m.in. szpitale i sektor farmaceutyczny);
- transport (wodny, lądowy oraz powietrzny);
- uzdatnianie wody i odprowadzanie ścieków;
- infrastruktura cyfrowa.
Operatorem usług kluczowych jest więc taka jednostka, która działa na terytorium Rzeczypospolitej Polskiej, spełnia powyższe kryteria oraz co do której organ właściwy (Ministerstwo odpowiedzialne za dany dział administracji rządowej) wydał decyzję o uznaniu jej za OUK.
Obowiązki OUK
Do najważniejszych zadań OUK należą:
- zarządzanie ryzykiem (m.in. szacowanie ryzyka);
- wdrażanie adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych (m.in. bezpieczeństwo fizyczne i środowiskowe; utrzymanie i bezpieczna eksploatacja systemu informacyjnego; bezpieczeństwo i ciągłość dostaw; wdrażanie, regularne dokumentowanie i utrzymywanie planów działania);
- gromadzenie informacji o zagrożeniach cyberbezpieczeństwa i możliwościach wystąpienia incydentów;
- zgłaszanie znaczących incydentów do właściwego zespołu CSIRT;
- obsługa incydentów i współpraca w ramach sytuacji kryzysowej z właściwym CSIRT;
- wyznaczenie osoby do kontaktu na potrzeby krajowego systemu cyberbezpieczeństwa.