Rozporządzenie ws. wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.

11 września 2018 r. Rada Ministrów przyjęła rozporządzenie w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Rozporządzenie umożliwia identyfikację usług kluczowych oraz ich operatorów wchodzących w zakres ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. Rozporządzenie weszło w życie 12 września 2018 r.

Publikacja rozporządzenia pozwoliła organom właściwym ds. cyberbezpieczeństwa rozpocząć identyfikację operatorów usług kluczowych. Do wskazania operatorów niezbędny jest bowiem wykaz usług kluczowych wraz z definicją skutków zakłócających, które mogą być uznane za istotne.

Usługi kluczowe w wykazie podzielono na 17 sektorów i podsektorów (patrz tabela poniżej). Podmioty, które realizują te usługi, są w drodze decyzji administracyjnej wpisywane do wykazu operatorów usług kluczowych. Od tego momentu muszą spełniać obowiązki określone w ustawie, a organy właściwe mogą je nadzorować, kontrolować, a także nakładać kary pieniężne.

Kryteria przy ustalaniu progów istotności skutku zakłócającego

Dla każdej z wymienionych w wykazie usług określono próg istotności skutku zakłócającego, który pozwala zakwalifikować usługę jako kluczową. Progi zostały określone z uwzględnieniem następujących kryteriów:

  • liczba użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot,
  • zależność innych sektorów gospodarki od usługi świadczonej przez podmiot, 
  • wpływ, jaki mógłby mieć incydent, ze względu na jego skalę i czas trwania na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne,
  • udział podmiotu świadczącego usługę kluczową w rynku,
  • zasięg geograficzny obszaru, którego mógłby dotyczyć incydent,
  • zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej, przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia,
  • inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują.

Operatorzy usług kluczowych

Ustawa o krajowym systemie cyberbezpieczeństwa definiuje operatorów usług kluczowych i dostawców usług cyfrowych. Operatorzy usług kluczowych to firmy i instytucje, które świadczą usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorów wyznaczają organy właściwe ds. cyberbezpieczeństwa [1]. Podstawą do wydania decyzji administracyjnej są trzy kryteria:

  1. Podmiot świadczy usługę kluczową w sektorze: energetycznym, transportowym, bankowym i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej.
  2. Świadczenie usługi zależy od systemów informacyjnych.
  3. Wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej.

Wykaz usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych wg sektorów został przedstawiony w tabeli:


Przypisy:

[1] Ustawa dla każdego z sektorów gospodarki wyznacza organ właściwy, którego rolę sprawują ministrowie właściwi dla konkretnych działów administracji. Lista organów właściwych dla każdego z sektorów została zawarta w ustawie.


TAGI Polska, Prawo, Rozporządzenia,