Ramy prawne

Rozporządzenie Rady Ministrów w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

16 października 2018r. zostało opublikowane rozporządzenie Rady Ministrów w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Rozporządzenie jest uzupełnieniem przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r.

Zgodnie z zapisem ustawy operatorzy usług kluczowych są zobowiązani do opracowania, stosowania i aktualizowania dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Dokumentacja dotycząca cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej  składa się z dokumentacji normatywnej i operacyjnej. Dokumentacja normatywna to m.in. dokumenty związane z zarzadzaniem bezpieczeństwem informacji, ciągłością działania, natomiast dokumentacja operacyjna to ta związana z opisem procedur. Poniższa tabela zawiera dokładny wykaz obu dokumentacji.

 

Dokumentacja normatywna:

 

Dokumentacja operacyjna:

 

dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001

dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej;

 

dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:

a) charakterystyki usługi kluczowej oraz infrastruktury,

b) szacowania ryzyka dla obiektów infrastruktury,

c) oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),

d) opisu zabezpieczeń technicznych obiektów infrastruktury,

e) zasad organizacji i wykonywania ochrony fizycznej infrastruktury,

f) danych o specjalistycznej uzbrojonej formacji ochronnej[1] chroniącej infrastrukturę, jeśli taka formacja występuje;

 

opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur;

dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301

dokumentacja poświadczająca każdorazowe wykonanie procedury.

dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

 

dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze

 

 

Rozporządzenie wchodzi w życie z dniem 16 października 2018r.

 


[1] Zapis dotyczy formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2017 r. poz. 2213 oraz z 2018 r. poz. 138, 650, 1629 i 1669)