Ramy prawne

Rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny

W dniu 31 października 2018r. Rada Ministrów przyjęła rozporządzenie w sprawie progów uznania incydentu za poważny. Rozporządzenie jest uzupełnieniem ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r i umożliwia kwalifikację incydentu jako poważny czyli obowiązkowy do raportowania przez operatorów usług kluczowych.

Zgodnie z ustawą, incydent poważny  powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej[1]. W rozporządzeniu wskazano progi dla poszczególnych sektorów i podsektorów gospodarki, zgodnie z poniższą tabelą. Rozporządzenie wchodzi w życie 1 listopada 2018r.

 

Sektor

Podsektor

Zdarzenie

Progi

Energia

Wydobywanie kopalin

Incydent dotyczący wydobywania kopalin

Incydent spowodował co najmniej jedną z poniżej wymienionych okoliczności:

a) śmierć człowieka,

b) ciężki uszczerbek na zdrowiu,

c) inny niż ciężki uszczerbek na zdrowiu więcej niż jednej osoby,

d) straty finansowe przekraczające 250 tys. zł.

e) incydent doprowadził do przerwania wydobycia na okres dłuższy niż 72 godziny;

 

Energia elektryczna

Incydent dotyczący pokrycia zapotrzebowania o zasięgu lokalnym

Czas oddziaływania incydentu na świadczoną usługę kluczową: utrata na co najmniej 3 minuty zasilania odbiorców w wysokości powyżej 10% rzeczywistego zapotrzebowania systemu w okresie poprzedzającym incydent.

 

 

Incydent dotyczący pokrycia zapotrzebowania o zasięgu krajowym

Czas oddziaływania incydentu na świadczoną usługę kluczową: utrata, na co najmniej 3 minuty, zasilania odbiorców w wysokości powyżej 10% rzeczywistego zapotrzebowania systemu w okresie poprzedzającym incydent.

 

 

Incydent dotyczący sieci przesyłowej

Awaryjne, równoczesne wyłączenie co najmniej dwóch elementów sieci przesyłowej powodujące: a) istotne pogorszenie warunków pracy systemu lub

b) ograniczające zdolności wymiany transgranicznej lub

c) ogłoszenie przez Operatora Systemu Przesyłowego stanu zagrożenia systemu przesyłowego lub stanu zaniku zasilania lub stanu odbudowy systemu zgodnie z klasyfikacją stanów systemu określoną w art. 18 rozporządzenia Komisji (UE) 2017/1485 z dnia 2 sierpnia 2017 r. ustanawiającego wytyczne dotyczące pracy systemu przesyłowego energii elektrycznej.

 

 

Incydent dotyczący modułów wytwarzania energii

Czas oddziaływania incydentu na świadczoną usługę kluczową: trwające powyżej 15 minut:

a) równoczesne, nieplanowane wyłączenie co najmniej dwóch modułów wytwarzania energii w jednej elektrowni o sumarycznej mocy powyżej 400 MW brutto lub

b) równoczesne, nieplanowane ograniczenie mocy lub wyłączenie modułów wytwarzania energii w łącznej wielkości mocy powyżej 1500 MW brutto.

 

 

Incydent dotyczący urządzeń i narzędzi wykorzystywanych do monitorowania i sterowania pracą systemu

Czas oddziaływania incydentu na świadczoną usługę kluczową: utrata jednego z następujących urządzeń lub narzędzi wykorzystywanych w czasie rzeczywistym, przy jednoczesnym braku dostępności urządzeń i narzędzi podstawowych i rezerwowych:

a) środków łączności dyspozytorskiej, przez okres co najmniej 1 godziny, lub

b) systemów zdalnego sterowania urządzeniami stacyjnymi i źródłami wytwórczymi przez okres powyżej 15 minut, lub

c) systemów monitorowania pracy systemu (w tym estymacji stanu systemu) przez okres powyżej 15 minut, lub Dziennik Ustaw – 5 – Poz. 2180 – 4 –

d) narzędzi wykorzystywanych do oceny bezpieczeństwa pracy systemu przez okres powyżej 15 minut, lub

e) systemów klasy „smart metering” w przypadku braku możliwości pozyskania danych z co najmniej 30% planowanych do odczytu układów pomiarowych, przez okres powyżej 48 godzin.

 

Ciepło

Incydent dotyczący wytwarzania ciepła

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent doprowadził do przerwania wytwarzania ciepła na okres dłuższy niż 24 godziny.

Incydent spowodował co najmniej jedną z poniżej wymienionych okoliczności:

a) śmierć człowieka,

b) ciężki uszczerbek na zdrowiu,

c) inny niż ciężki uszczerbek na zdrowiu więcej niż jednej osoby,

d) straty finansowe przekraczające 250 tys. zł.

 

 

Incydent dotyczący obrotu lub przesyłania lub dystrybucji ciepła

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent doprowadził do przerwania przesyłania lub dystrybucji ciepła na dłużej niż 24 godziny.

Incydent spowodował co najmniej jedną z poniżej wymienionych okoliczności:

a) śmierć człowieka,

b) ciężki uszczerbek na zdrowiu,

c) inny niż ciężki uszczerbek na zdrowiu więcej niż jednej osoby,

d) straty finansowe przekraczające 250 tys. zł.

 

Ropa naftowa i Gaz

Incydent dotyczący przesyłu ropy naftowej i paliw ciekłych

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent skutkuje niemożliwością terminowego i w ilościach nominowanych dostarczania i przesyłu ropy naftowej, przez okres dłuższy niż 20 godzin.

Niekontrolowany wyciek ropy naftowej lub innych substancji niebezpiecznych do atmosfery lub gruntu.

 

 

Incydent dotyczący produkcji, wydobywania, wytwarzania paliw ciekłych, magazynowania ropy naftowej, przeładunku ropy naftowej, magazynowania paliw ciekłych, przeładunku paliw ciekłych, obrotu paliwami ciekłymi i obrotu paliwami ciekłymi z zagranicą, wytwarzania paliw syntetycznych

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent skutkuje zakłóceniem w produkcji lub rafinacji lub w funkcjonowaniu urządzeń przetwarzających lub magazynowaniu i przesyłaniu ropy naftowej, dłuższym niż 20 godzin.

Znacząca utrata integralności stacji, lub utrata ochrony stacji przeciwko efektom eksplozji, lub utrata stacji utrzymania w przypadku instalacji mobilnych, lub niekontrolowany wyciek ropy naftowej lub innych substancji niebezpiecznych do atmosfery lub gruntu.

 

 

Incydent dotyczący wytwarzania paliw gazowych, przesyłania paliw gazowych, dystrybucji paliw gazowych, obrotu paliwami gazowymi lub obrotu gazem ziemnym z zagranicą, magazynowania paliw gazowych, skraplania lub regazyfikacji LNG lub sprowadzania i wyładunku LNG

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent skutkuje niemożliwością prawidłowego dostarczania i przesyłu gazu ziemnego w okresie co najmniej 24 godzin lub zakłóceniem w produkcji lub w funkcjonowaniu urządzeń przetwarzających lub magazynowaniu lub przesyłaniu gazu ziemnego, przez okres dłuższy niż 20 godzin.

Nieplanowany wyciek gazu lub innych substancji niebezpiecznych, niezależnie od tego czy doszło do zapłonu, stanowiący bezpośrednie niebezpieczeństwo: – utraty życia lub spowodowania uszczerbku na zdrowiu lub – wyrządzenia szkody w wielkich rozmiarach, lub niekontrolowane obniżenie lub wzrost ciśnienia w sieci gazowej, lub zatrzymanie pracy tłoczni gazu lub stacji gazowej, lub niekontrolowane zamknięcie lub otwarcie armatury na obiektach sieci gazowej.

 

Dostawy i usługi dla sektora energii

Incydent dotyczący dostaw systemów, maszyn, urządzeń, materiałów, surowców oraz świadczenia usług na rzecz sektora energii

Czas oddziaływania incydentu na świadczoną usługę kluczową:

a) incydent skutkuje zakłóceniem w produkcji paliw ciekłych lub rafinacji paliw ciekłych, lub w funkcjonowaniu urządzeń przetwarzających paliwa ciekłe, lub przeładunku paliw ciekłych, lub obrocie paliwami ciekłymi, lub obrocie paliwami ciekłymi z zagranicą, lub wytwarzaniu paliw syntetycznych, lub magazynowaniu i przesyłaniu ropy naftowej, w okresie dłuższym niż 4 godziny, lub

b) incydent skutkuje przerwą w dostawie energii elektrycznej do systemu przesyłowego ropy naftowej przez okres powyżej 8 godzin, lub

c) incydent skutkuje przerwą w dostawie energii elektrycznej do systemu magazynowego ropy naftowej przez okres powyżej 8 godzin, lub

d) incydent skutkuje przerwą w świadczeniu usług w transporcie kolejowym i samochodowym (cysterny kolejowe i autocysterny) przez okres powyżej 24 godzin.

 

 

Incydent dotyczący utrzymywania rezerw strategicznych lub zapasów agencyjnych ropy naftowej, produktów naftowych i gazu ziemnego

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent skutkuje przerwaniem realizacji procesu udostępniania rezerw strategicznych lub uwalniania zapasów agencyjnych ropy naftowej, produktów naftowych i gazu ziemnego na czas dłuższy niż 4 godziny.

 

 

Incydent dotyczący postępowania z odpadami promieniotwórczymi

Liczba użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej: minimum 200 użytkowników, od których odbiera się odpady promieniotwórcze.

Incydent skutkuje bezpośrednim niebezpieczeństwem spowodowania uszczerbku na zdrowiu lub długotrwałym skażeniem środowiska.

Transport

Transport lotniczy

Incydent dotyczący transportu lotniczego pasażerskiego

Przerwanie realizacji usług przez przewoźnika lotniczego na czas dłuższy niż 2 godziny lub  uszkodzenie statku powietrznego lub systemów informacyjnych kluczowych dla jego sterowania i funkcjonowania lub  incydent spowodował śmierć lub uszczerbek na zdrowiu ludzi.

 

 

Incydent dotyczący transportu lotniczego towarów

Przerwanie realizacji usług przez przewoźnika lotniczego na czas dłuższy niż 2 godziny lub 

uszkodzenie statku powietrznego lub systemów informacyjnych kluczowych dla jego sterowania i funkcjonowania lub  incydent spowodował śmierć lub uszczerbek na zdrowiu ludzi.

 

 

Incydent dotyczący podmiotu o statusie zarejestrowanego agenta

Przerwanie realizacji procesu kontroli bezpieczeństwa przez zarejestrowanego agenta na czas dłuższy niż 2 godziny lub zakłócenie wykonywania usług przekazu informacji o statusie ochrony nadanym przesyłce na czas dłuższy niż 2 godziny.

 

 

Incydent dotyczący dostępności obsługi naziemnej

Incydent doprowadził do braku dostępności usługi wykonywanej przez agenta obsługi naziemnej na czas dłuższy niż 2 godziny lub doprowadził do braku dostępności usług kluczowych wykonywanych przez inne podmioty w podsektorze.

 

 

Incydent dotyczący zarządzającego lotniskiem

Zakłócenie wykonywania operacji lotniczych na czas dłuższy niż 2 godziny lub b) incydent spowodował śmierć lub uszczerbek na zdrowiu ludzi lub incydent doprowadził do braku dostępności usług kluczowych wykonywanych przez inne podmioty w podsektorze.

 

 

Incydent dotyczący instytucji zapewniającej służby żeglugi powietrznej

Incydent doprowadził do zakłócenia systemu zarządzania ruchem lotniczym i ograniczenia przepustowości przestrzeni powietrznej o co najmniej 30%.

 

Transport kolejowy

Incydent dotyczący konstrukcji rozkładu jazdy pociągów

Brak możliwości konstrukcji rozkładów jazdy pociągów wynikający z:

a) awarii oprogramowania powyżej 12 godzin lub

b) braku zasilania energetycznego powodującego niedostępność usługi powyżej 2 godzin lub

c) awarii sieci teleinformatycznych powyżej 12 godzin.

 

 

Incydent dotyczący jazdy pociągów

Brak możliwości uruchomienia pociągów i prowadzenia ruchu kolejowego spowodowany brakiem możliwości konstrukcji rozkładu jazdy powyżej 2 godzin.

 

 

Incydent w transporcie kolejowym pasażerskim

Przerwanie realizacji usług przez przewoźnika na czas dłuży niż 2 godziny lub uszkodzenie systemów informacyjnych kluczowych dla sterowania i funkcjonowania pojazdu szynowego.

 

 

Incydent w transporcie kolejowym towarów

Przerwanie realizacji usług przez przewoźnika na czas dłuższy niż 6 godzin lub  uszkodzenie systemów informacyjnych kluczowych dla sterowania i funkcjonowania pojazdu szynowego

 

Transport wodny

Incydent dotyczący armatorów w transporcie morskim pasażerów podczas żeglugi

Incydent spowodował uszkodzenie systemów informacyjnych kluczowych dla sterowania i funkcjonowania statku, powodujące zagrożenie dla zdrowia lub życia ludzkiego, środowiska naturalnego albo mienia.

 

 

Incydent dotyczący armatorów w transporcie morskim pasażerów podczas cumowania

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent spowodował brak możliwości świadczenia usługi kluczowej na czas dłuższy niż 48 godzin.

 

 

Incydent dotyczący armatorów w transporcie morskim towarów podczas żeglugi

Incydent spowodował uszkodzenie systemów informacyjnych kluczowych dla sterowania i funkcjonowania statku, powodujące zagrożenie dla zdrowia lub życia ludzkiego, środowiska naturalnego albo mienia.

 

 

Incydent dotyczący armatorów w transporcie morskim towarów podczas cumowania

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent spowodował brak możliwości świadczenia usługi kluczowej w czasie dłuższym niż 48 godzin.

 

 

Incydent dotyczący armatorów w transporcie wodnym śródlądowym pasażerskim

Liczba użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej: co najmniej 30% pasażerów transportu pasażerskiego żeglugi śródlądowej rocznie określonych na podstawie danych GUS z roku poprzedniego.

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent spowodował brak dostępu do systemu teleinformatycznego na czas dłuższy niż 72 godziny.

 

 

Incydent dotyczący armatorów w transporcie wodnym śródlądowym towarów

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent spowodował brak dostępu do systemu teleinformatycznego w czasie dłuższym niż 72 godziny.

 

 

Incydent dotyczący funkcjonowania organów zarządzających portami

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent spowodował brak możliwości świadczenia usługi kluczowej przez czas dłuższy niż 12 godzin.

 

 

Incydent dotyczący bezpieczeństwa organów zarządzających portami

Incydent spowodował uszkodzenie systemów informacyjnych kluczowych dla funkcjonowania portu, powodujące niedostępność portu lub ograniczoną dostępność portu.

 

 

Incydent dotyczący funkcjonowania organów zarządzających obiektami portowymi

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent spowodował brak możliwości świadczenia usługi kluczowej przez czas dłuższy niż 12 godzin.

 

 

Incydent dotyczący bezpieczeństwa organów zarządzających obiektami portowymi

Incydent spowodował uszkodzenie systemów informacyjnych kluczowych dla funkcjonowania obiektu portowego, powodujące zagrożenie dla zdrowia lub życia ludzkiego, środowiska naturalnego lub mienia albo dla funkcjonowania portu.

 

 

Incydent dotyczący funkcjonowania podmiotów prowadzących na terenie portu działalność wspomagającą transport morski

Incydent spowodował brak możliwości świadczenia usługi kluczowej przez czas dłuższy niż 12 godzin.

 

 

Incydent dotyczący bezpieczeństwa podmiotów prowadzących na terenie portu działalność wspomagającą transport morski

Incydent spowodował uszkodzenie systemów informacyjnych kluczowych dla funkcjonowania obiektu portowego, powodujące utrudnienia dla funkcjonowania portu.

 

 

Incydent dotyczący funkcjonowania VTS (Służba Kontroli Ruchu Statków)

Incydent spowodował brak możliwości świadczenia usługi kluczowej przez czas dłuższy niż 12 godzin.

 

 

 

Incydent dotyczący bezpieczeństwa VTS (Służba Kontroli Ruchu Statków)

Incydent spowodował uszkodzenie systemów informacyjnych kluczowych dla funkcjonowania Służby VTS, powodujące zagrożenie dla zdrowia lub życia ludzkiego, środowiska naturalnego lub mienia albo dla funkcjonowania portu.

 

Transport drogowy

Incydent dotyczący zarządzania drogami

Incydent spowodował awarię sygnalizacji świetlnej lub awarię innych urządzeń służących do informowania uczestników ruchu drogowego, w wyniku których doszło do wypadku, gdzie liczba zabitych lub rannych przekracza 11 osób.

 

 

Incydent dotyczący Inteligentnych systemów transportowych

Incydent spowodował awarię sygnalizacji świetlnej lub awarię innych urządzeń służących do informowania uczestników ruchu drogowego, w wyniku których doszło do wypadku, gdzie liczba zabitych lub rannych przekracza 11 osób lub incydent spowodował brak wpływów z tytułu opłat za przejazd drogami krajowymi, oznaczający straty finansowe przekraczające 10 mln zł.

Bankowość i infrastruktura rynków finansowych

 

Incydent dotyczący funkcjonowania banków, instytucji kredytowych i infrastruktury rynków finansowych

Szacowana strata finansowa przekracza 5 mln euro lub incydent będzie prowadził do naruszenia interesów osób trzecich lub incydent doprowadził do uruchomienia planu awaryjnego umożliwiającego przywrócenie gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej.

 

 

Incydent dotyczący transakcji

Incydent obejmuje 25% płatności (pod względem liczby transakcji) lub 5 mln euro realizowanych przez dany podmiot będący: 

a) instytucją kredytową, o której mowa w art. 4 ust. 1 pkt 17 ustawy z dnia 29 sierpnia 1997 r – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.1)),

b) bankiem krajowym, o którym mowa w art. 4 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe,

c) oddziałem instytucji kredytowej, o którym mowa w art. 4 ust. 1 pkt 18 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe, 

d) spółdzielczą kasą oszczędnościowo-kredytową w rozumieniu ustawy z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2017 r. poz. 2065, z późn. zm.2)).

 

 

Incydent dotyczący użytkowników usług płatniczych

Incydent obejmuje 50 000 użytkowników lub 25% płatności realizowanych przez użytkowników danego podmiotu.

Ochrona zdrowia

 

Incydent dotyczący systemu świadczenia świadczeń gwarantowanych

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent doprowadził do braku dostępności usługi powyżej 24 godzin.

Incydent doprowadził do braku poufności danych przetwarzanych w usłudze lub incydent doprowadził do braku integralności danych przetwarzanych w usłudze.  

 

 

Incydent dotyczący udzielania świadczenia opieki zdrowotnej

Incydent doprowadził do braku dostępności usługi powyżej 24 godzin.

Incydent spowodował co najmniej jedną z poniżej wymienionych okoliczności: 

a) śmierć człowieka, 

b) ciężki uszczerbek na zdrowiu,

c) inny niż ciężki uszczerbek na zdrowiu więcej niż jednej osoby,

d) brak poufności danych przetwarzanych w usłudze, 

e) brak integralności danych przetwarzanych w usłudze.

 

 

Incydent dotyczący gromadzenia i udostępniania Elektronicznej Dokumentacji Medycznej

Czas oddziaływania incydentu na świadczoną usługę kluczową: incydent doprowadził do braku dostępności usługi powyżej 1 godziny.

Incydent doprowadził do braku poufności danych przetwarzanych w usłudze lub incydent doprowadził do braku integralności danych przetwarzanych w usłudze.

 

 

Incydent dotyczący zarządzania danymi epidemiologicznymi

Incydent doprowadził do braku dostępności usługi powyżej 2 godzin.

Incydent doprowadził do braku poufności danych przetwarzanych w usłudze lub  incydent doprowadził do braku integralności danych przetwarzanych w usłudze.

 

 

Incydent dotyczący obrotu i dystrybucji produktów leczniczych

Incydent doprowadził do braku dostępności usługi powyżej 24 godzin.

Incydent spowodował co najmniej jedną z poniżej wymienionych okoliczności: 

a) śmierć człowieka, 

b) ciężki uszczerbek na zdrowiu,

c) inny niż ciężki uszczerbek na zdrowiu więcej niż jednej osoby,

d) brak poufności danych przetwarzanych w usłudze, 

e) brak integralności danych przetwarzanych w usłudze.

 

 

Incydent dotyczący dowodzenia jednostkami systemu Państwowego Ratownictwa Medycznego

Incydent doprowadził do braku dostępności usługi powyżej 1 godziny.

Incydent spowodował co najmniej jedną z poniżej wymienionych okoliczności: 

a) śmierć człowieka, 

b) ciężki uszczerbek na zdrowiu,

c) inny niż ciężki uszczerbek na zdrowiu więcej niż jednej osoby,

d) brak poufności danych przetwarzanych w usłudze, 

e) brak integralności danych przetwarzanych w usłudze.

Zaopatrzenie w wodę pitną i jej dystrybucja

 

Incydent dotyczący poboru wody

Incydent doprowadził do braku dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin.

 

 

Incydent dotyczący uzdatniania wody

Incydent doprowadził do braku dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin.

 

 

Incydent dotyczący dostarczania wody

Incydent doprowadził do braku dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin.

 

 

 

Incydent dotyczący odprowadzania ścieków

Incydent doprowadził do braku dostępności usługi dla co najmniej 100 000 RLM przez czas dłuższy niż 8 godzin.

 

 

Incydent dotyczący oczyszczania ścieków

Incydent doprowadził do braku dostępności usługi dla co najmniej 100 000 RLM przez czas dłuższy niż 8 godzin.

Infrastruktura cyfrowa

 

Incydent dotyczący prowadzenia punktu wymiany ruchu internetowego (IXP)

Nieplanowany brak dostępności usługi przez co najmniej 8 godzin.

 

 

 

Incydent dotyczący prowadzenia autorytatywnego serwera DNS

Nieplanowany brak dostępności usługi powyżej 4 godzin lub nieautoryzowana zmiana w bazie danych autorytatywnego serwera DNS.

 

 

Incydent dotyczący prowadzenia rejestru domeny najwyższego poziomu (TLD)

Nieplanowana utrata możliwości zarządzania wpisami przez co najmniej 72 godziny lub nieplanowany brak dostępności serwerów DNS domeny najwyższego poziomu (TLD) powyżej 1 godziny lub  nieautoryzowana zmiana w bazie danych serwera DNS Rejestru TLD lub nieautoryzowana zmiana w bazie danych Rejestru TLD.

 


[1] Ustawa o krajowym Systemie Cyberbezpieczeństwa art. 2.7