Kwestie dotyczące operatorów usług kluczowych reguluje Ustawa z dnia 5 lipca 2018 o krajowym systemie cyberbezpieczeństwa. Określa ona, kto może być uznany za operatora usług kluczowych, a także to, jakie ma obowiązki i jakimi zasadami musi się kierować. 

Kogo uznaje się za operatora usług kluczowych? 

Operatorami usług kluczowych są podmioty posiadające jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec których organ właściwy, a więc odpowiedzialny za dany dział administracji rządowej Minister, wydał decyzję o uznaniu za operatora usług kluczowych. Decyzja ta wydawana jest wobec firm i instytucji, które świadczą usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, a więc działają w kluczowych sektorach gospodarki:

  • energetycznym, 
  • transportowym, 
  • bankowym i infrastruktury rynków finansowych, 
  • ochrony zdrowia,
  • zaopatrzenia w wodę pitną, 
  • infrastruktury cyfrowej. 

Szczegółowy spis firm i instytucji, jakie mogą zostać uznane za operatorów usług kluczowych, zawiera Rozporządzenie Rady Ministrów z dnia 11 września 2018 roku w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. 

Obowiązki operatora usług kluczowych

Ustawa  o krajowym systemie cyberbezpieczeństwa definiuje cztery podstawowe obowiązki operatora usług kluczowych. 

Obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. 

Operator usług kluczowych jest zobligowany do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym, który zapewnia:

  • prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy,
  • zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
  • zarządzanie incydentami, 
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
  • stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

Obowiązek zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa.

Z obowiązku tego wynika konieczność:

  • zapewnienia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej,
  • wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa

Obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Operator usługi kluczowej jest zobligowany do opracowania, stosowania i aktualizowania dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także ustanowienia nadzoru nad tą dokumentacją, który zapewnia

  • dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami,
  • ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności,
  • oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.

Dokumentacja musi być przechowywana przez operatora przez co najmniej dwa lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej, z zachowaniem zasad wynikających z przepisów ustawy o narodowym zasobie archiwalnym i archiwach. Z obowiązku tego jest zwolniony operator usługi kluczowej będący jednocześnie właścicielem, posiadaczem samoistnym albo zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, który posiada zatwierdzony plan ochrony infrastruktury krytycznej uwzględniający dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. 

Obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego. 

Operator usługi kluczowej jest zobligowany do:

  • zapewnienia obsługi incydentu, 
  • zapewnienia dostępu do informacji o rejestrowanych incydentach właściwemu organowi w zakresie niezbędnym do realizacji jego zadań, 
  • zaklasyfikowania incydentu jako poważnego na podstawie obowiązujących wytycznych, 
  • współdziałania podczas obsługi incydentu poważnego z właściwymi organami, 
  • zgłoszenia incydentu poważnego do właściwych organów nie później niż w ciągu 24 godzin od momentu jego wykrycia. 

Za niewykonanie wynikających z ustawy o krajowym systemie cyberbezpieczeństwa obowiązków, jednostka organizacyjna uznana za operatora usług kluczowych może zostać pociągnięta do odpowiedzialności. Obowiązujące przepisy przewidują w takim wypadku wymierzenie kary finansowej.