23 grudnia opublikowano nowe rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla operatorów usług kluczowych.
Rozporządzenie jest modyfikacją rozporządzenia z dnia 10 września 2018r., wprowadza mniej radykalne wymogi zabezpieczenia pomieszczeń i umożliwia dostosowanie poziomu zabezpieczeń do szacowanego ryzyka.
Szczegółowe warunki organizacyjne i techniczne, jakie muszą spełnić operatorzy usług kluczowych zostały określone w rozporządzeniu z 10 września 2018r. Jednak przepisy spotkały się z protestem ze strony przedsiębiorców, którzy na spotkaniu w Ministerstwie 26 kwietnia 2019r. postulowali zmianę rozporządzenia. Przedsiębiorcy zgłaszali konieczność:
- wprowadzenia wymogu zastosowania zabezpieczeń adekwatnych do oszacowanego ryzyka w danej instytucji, a nie wpisanych na sztywno w rozporządzeniu;
- doprecyzowania zapisów o minimalnych wymogach ochrony fizycznej, w tym wprowadzenie mniej radykalnych przepisów dot. ochrony pomieszczeń;
- doprecyzowania zapisów dot. zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania[1].
Postulaty przedsiębiorców zostały wzięte pod uwagę i Ministerstwo rozpoczęło pracę nad zmianą rozporządzenia. Nowe rozporządzenie zostało opublikowane 23 grudnia i wejdzie w życie w terminie 14 dni od daty ogłoszenia. Największe zmiany dotyczą zapisów umożliwiających dostosowanie poziomu zabezpieczeń do przeprowadzonej przez operatora analizy ryzyka i zmniejszenia wymogów fizycznej ochrony pomieszczeń, w których realizowane są obowiązki ustawowe. Ustawodawca dopuścił również możliwość pracy zdalnej personelu realizującego zadania z zakresu cyberbezpieczeństwa, pod warunkiem odpowiedniego zabezpieczenia systemu i minimalizacji ryzyka.
[1] https://www.gov.pl/web/cyfryzacja/podsumowanie-spotkania-z-przedsiebiorcami-swiadczacymi-uslugi-z-zakresu-cyberbezpieczenstwa
LINK do rozporządzenia.
LINK do analizy rozporządzenia