Najczęściej zadawane pytania
Na stronie znajdą Państwo najczęściej zadawane pytania dotyczące realizacji obowiązków wynikających z Ustawy o krajowym systemie cyberbezpieczeństwa.
- Do kogo należy zgłosić dane kontaktowe osoby wyznaczonej do utrzymywania kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa?
Dane kontaktowe osoby wyznaczonej do utrzymywania kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa należy zgłosić zarówno do organu właściwego ds. cyberbezpieczeństwa, jak i właściwemu CSIRTowi poziomu krajowego.
- Czy wskazano jakie kryteria powinna spełniać osoba wyznaczona do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa?
Ustawa nie precyzuje jakie kryteria ma spełniać osoba odpowiedzialna za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, natomiast zostały opracowane rekomendacje w tym zakresie, które są dostępne na stronie CERT Polska pod linkiem: https://incydent.cert.pl/osoba-kontaktowa/rekomendacje.
- W jaki sposób należy przekazać raport z przeprowadzonego audytu do organu właściwego?
Z uwagi na stosowanie różnych metod przekazania raportu z audytu zgodności z Ustawą o KSC, zaleca się kontakt z Wydziałem Bezpieczeństwa Teleinformatycznego w celu doboru najbardziej odpowiedniego sposobu. Kontakt do Wydziału znajdą Państwo pod adresem: https://www.gov.pl/web/infrastruktura/wydzial-bezpieczenstwa-teleinformatycznego
- Gdzie znajdę szablon sprawozdania z audytu bezpieczeństwa systemu informacyjnego zgodnego
z wymogami Ustawy o Krajowym Systemie Cyberbezpieczeństwa?
Ministerstwo Infrastruktury rekomenduje zastosowanie szablonu raportu z audytu bezpieczeństwa systemu informacyjnego zgodnego z wymogami Ustawy o KSC utworzonego przez ISSA Polska we współpracy z organami właściwymi. Wzór sprawozdania można znaleźć pod adresem: https://issapolska.github.io/Audyt_KSC/.
- Kto może zostać operatorem usług kluczowych?
Operatorem może zostać podmiot (zarówno przedsiębiorcy jak i podmioty publiczne), które:
- świadczą usługi kluczowe,
- świadczenie tych usług jest zależne od systemów informacyjnych,
- incydent w tym podmiocie miały istotny skutek zakłócający dla świadczenia tej usługi.
Wykaz usług kluczowych znajduje się w rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.
W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich Unii Europejskiej, organ właściwy do spraw cyberbezpieczeństwa w toku postępowania administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej.
W stosunku do podmiotu, który przestał spełniać warunki, o których mowa w art. ust. 1 i 2 ustawy o KSC, organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję stwierdzającą wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej.
- Czy należy zgłaszać incydenty?
Ustawa o KSC nakłada na operatorów usług kluczowych obowiązek zgłaszania incydentów poważnych do właściwego Zespołu Reagowania na Incydenty Komputerowe (CSIRT). Zgłaszanie incydentów instytucjom odpowiedzialnym za cyberbezpieczeństwo daje możliwość ostrzeżenia innych podmiotów przez zaraportowanym typem incydentu. Ponadto, zgłoszenie incydentu umożliwia uzyskanie wsparcia ze strony ekspertów ds. cyberbezpieczeństwa oraz pozwala na przygotowanie mechanizmów umożliwiających m.in. ograniczenie skutków incydentu oraz podjęcie działań naprawczych.
- Gdzie należy zgłaszać incydenty?
W zależności od przyjętego sposobu, incydenty zgłasza się bezpośrednio na stronie lub za pośrednictwem formularza zgłoszenia incydentu do właściwego CSIRT. W Polsce funkcjonują trzy CSIRTy poziomu krajowego, tj. CSIRT MON, CSRIT NASK oraz CSIRT GOV.
Zgłoszenia incydentu można dokonać pod adresem: