Operatorzy usług kluczowych
Ustawa z dnia 5 lipca 2018 o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369) określa operatorów usług kluczowych, jako firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Kluczowe sektory gospodarki to: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej.
Kim jest operator usług kluczowych?
Operatorem usługi kluczowej (zwany dalej OUK) jest podmiot, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy (Minister odpowiedzialny za dany dział administracji rządowej) wydał decyzję o uznaniu za OUK.
Organ właściwy wydaje decyzję o uznaniu podmiotu za OUK, jeżeli:
- podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, zwaną dalej „usługą kluczową”, wymienioną w wykazie usług kluczowych;
- świadczenie tej usługi kluczowej zależy od systemów informacyjnych;
- incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Rada Ministrów określiła, w drodze rozporządzenia z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. poz. 1806):
- wykaz usług kluczowych, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej;
- progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych zawartych w wykazie usług kluczowych.
Operatorzy usług kluczowych - obowiązki
Do najważniejszych grup obowiązków OUK należą:
- zarządzanie ryzykiem (w tym szacowanie ryzyka);
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania);
- zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
- zgłaszanie incydentu poważnego do właściwego zespołu CSIRT;
- obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT;
- wyznaczenie osoby kontaktowej na potrzeby krajowego systemu cyberbezpieczeństwa.
W momencie otrzymania od organu właściwego decyzji administracyjnej OUK zobowiązany jest dokonać następujących działań:
W terminie 3 miesięcy od dnia otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;
W terminie 6 miesięcy od dnia otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;
W terminie 12 miesięcy od dnia otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.
Jednocześnie za niewykonanie ww. obowiązków wynikających z ustawy, przewidziano zastosowanie kar finansowych.
Przekazanie przez UOK informacji dotyczących incydentu
OUK przekazuje informacje nt. incydentu poważnego będącego incydentem, który powoduje lub może spowodować poważne obniżenie, jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;
Jednocześnie należy zauważyć, że CSIRT może zmienić klasyfikację incydentu na incydent krytyczny skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.
Sposób przekazania przez OUK informacji dotyczących incydentu:
- Operator zgłasza incydent niezwłocznie, nie później niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV,
- Operator współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane,
- Operator usuwa wskazane podatności oraz informuje o ich usunięciu organ właściwy,
- Ustawa przedstawia szczegółowo klasyfikację incydentów oraz zakres kompetencji CSIRT MON, CSIRT NASK, CSIRT GOV.
W momencie wystąpienia incydentu OUK, po jego uprzednim zgłoszeniu przystępuje do jego obsługi zgodnie z następującym schematem działań:
- Wykrywanie;
- Rejestrowanie;
- Analizowanie;
- Klasyfikowanie;
- Priorytetyzowanie;
- Podejmowanie działań naprawczych;
- Ograniczenie skutków incydentu.
Sektorowy Zespół Cyberbezpieczeństwa (SZC)
Organ właściwy w celu koordynacji incydentów w regulowanym przez siebie sektorze może powołać Sektorowy Zespół Cyberbezpieczeństwa. Do jego zadań w szczególności należy:
- przyjmowanie zgłoszeń o incydentach poważnych oraz wsparcie w ich obsłudze;
- wspieranie operatorów usług kluczowych w wykonywaniu obowiązków;
- analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami oraz opracowywanie wniosków z ich obsługi;
- współpraca z właściwym CSIRT NASK, CSIRT GOV, CSIRT MON w zakresie koordynowania obsługi incydentów poważnych;
- SZC może przekazywać do innych państw i przyjmować od nich informacje o incydentach poważnych, w tym dot. dwóch lub większej liczby państw członkowskich UE.
SZC może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego UE, dot. dwóch lub większej liczby państw. Takie zgłoszenia przekazuje do właściwego CSIRT NASK, CSIRT GOV, CSIRT MON oraz PPK.