Podmioty publiczne
Najczęściej zadawane pytania dotyczące ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560) oraz do rozporządzeń wykonawczych w kategorii Podmioty publiczne:
Kto jest podmiotem publicznym w rozumieniu ustawy o KSC?
Podmiotem publicznym w rozumieniu ustawy są:
Materiały
Obraz1.png 0.24MB
Jakie mam obowiązki?
Podstawowe obowiązki dla podmiotów publicznych to:
- wyznaczenie osoby kontaktowej (art. 21),
- obsługa incydentów (art. 22),
- zapewnianie dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i sposobów zabezpieczania się przed tymi zagrożeniami (art. 22),
- zgłaszanie incydentów do właściwego CSIRT (art. 22 i 23).
Jakie incydenty mam zgłaszać?
Podmioty publiczne zgłaszają incydenty, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez dany podmiot publiczny.
Wskazane jest zgłaszanie wszystkich incydentów, które wpływają na świadczenie usług publicznych.
Podmioty publiczne zgłaszają incydenty do następujących CSIRT:
- do CSIRT GOV – jeśli podmiot publiczny posiada infrastrukturę krytyczną (np. administracja rządowa)
- do CSIRT MON – podmioty podległe lub nadzorowane przez MON (np. SZ RP, szpitale wojskowe)
- do CSIRT NASK – pozostałe podmioty (np. samorządy, które posiadają infrastrukturę krytyczną).
Skąd wiem, czy jestem objęty ustawą?
Wszystkie podmioty określone w art. 4 pkt 7-15 są objęte ustawą.
W razie wątpliwości interpretacyjnych, zapraszamy do kontaktu z Ministerstwem Cyfryzacji. W razie wątpliwości co do właściwości CSIRT, zapraszamy do kontaktu z CSIRTami lub Ministerstwem Cyfryzacji.
W jakim terminie podmioty publiczne obowiązane są do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami Krajowego systemu cyberbezpieczeństwa?
Podmioty publiczne powinny wskazać osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami KSC po wejściu w życie ustawy.
Jeśli jeszcze tego nie zrobiły, powinny to zrobić jak najszybciej.
Warto wskazać, że dane o osobie odpowiedzialnej przekazuje się właściwemu CSIRT. Dane obejmują obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej.
Dane przekazuje się w terminie 14 dni od dnia jej wyznaczenia, a informacje o zmianie tych danych (w tym oczywiście zmiany osoby odpowiedzialnej) w terminie 14 dni od dnia ich zmiany.
Czym się różni obsługa incydentów u operatora usługi kluczowej od obsługi incydentu w podmiocie publicznym?
Od strony technicznej – niczym. Są to te same metody i techniki, co u operatorów. W przeciwieństwie do incydentów poważnych i istotnych, ustawa nie wprowadza progów na zgłoszenie incydentu w podmiocie publicznym. To znaczy, że trzeba zgłaszać wszystkie incydenty, które powodują (lub mogą spowodować) obniżenie jakości lub przerwanie realizacji zadania publicznego.
Podobnie jak operator, podmiot publiczny zobowiązany jest do obsługi incydentu we własnym zakresie. Posiada swobodę w zakresie sposobu realizacji tych obowiązków.
Szkoły, które posiadają dziennik elektroniczny (działający jako usługa wykupiona w firmie zewnętrznej) są zobowiązane do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami ksc oraz zgłaszanie incydentów?
Każdy podmiot publiczny (w tym szkoła jako jednostka budżetowa na gruncie prawa finansów publicznych) realizujący zadanie publiczne zależne od systemów informacyjnych (a takim są dzienniki elektroniczne), jest zobowiązany m. in. do:
- wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazania danych wyżej wymienionej osoby obejmujących imię i nazwisko, numer telefonu oraz adres poczty elektronicznej do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, w terminie 14 dni od dnia jej wyznaczenia;
- zgłaszania incydentów do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, nie później niż w ciągu 24 godzin od momentu wykrycia;
Natomiast w przypadku, jeśli szkoła nie posiada dziennika w wersji elektronicznej nie ma takiego obowiązku. Warto pamiętać, iż jednostka samorządu terytorialnego jaką jest m.in. Gmina może wyznaczyć jedną osobę do kontaktu, która może być na cały obszar Gminy.
Jaka instytucja jest odpowiedzialna za nadzór i koordynację Jednostek Samorządu Terytorialnego w zakresie realizacji ustawy o krajowym systemie cyberbezpieczeństwa?
W stosunku do podmiotu publicznego ustawodawca nie przewidział nadzoru w zakresie stosowania przepisów ustawy o ksc. Natomiast jeśli została wydana decyzja o wyznaczeniu danej JST na operatora usługi kluczowej, wówczas nadzór, w myśl ustawy, sprawuje organ właściwy ds. cyberbezpieczeństwa w zakresie wykonywania przez operatora usługi kluczowej w danym sektorze lub podsektorze gospodarki.
- Ostatnia modyfikacja:
- 05.11.2020 14:35 Jakub Karpowicz
- Pierwsza publikacja:
- 05.02.2019 12:28 administrator gov.pl