Zmiany dla operatorów usług kluczowych, a nowelizacja ustawy o KSC

Zmiany, jakie niesie za sobą nowelizacja usatwy, można podzielić na 5 głównych obszarów:  

• Sposób wyznaczania podmiotów
• Liczba nadzorowanych podmiotów
• Obowiązki podmiotów KSC
• Dedykowany CSIRT dla sektora
• Kary dla nadzorowanych podmiotów

Przyjrzyjmy się zatem każdemu z nich:

1. Sposób wyznaczania podmiotów 

W miejsce operatorów usług kluczowych pojawią się podmioty kluczowe i podmioty ważne. Operatorzy usług kluczowych stają się podmiotami kluczowymi, z dniem wejścia w życie ustawy. Do tej pory status Operatora Usługi Kluczowej wynikał głównie z krajowego systemu cyberbezpieczeństwa, natomiast nowa regulacja implementuje unijną dyrektywę NIS2, która rozszerza kryteria wyznaczania podmiotów. Kluczową zmianą jest odejście od sztywnej listy sektorów na rzecz kryteriów wielkościowych i znaczenia dla gospodarki lub bezpieczeństwa państwa. Nowelizacja wprowadza mechanizm samoidentyfikacji, zobowiązując podmioty do samodzielnej rejestracji w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji. Podmioty mają 3 miesiące od wejścia w życie ustawy na złożenie wniosku o wpis do rejestru.

2. Liczba nadzorowanych podmiotów

W związku ze zmianami w sposobie wyznaczania podmiotów, liczba nadzorowanych podmiotów znacząco wzrośnie. Dotychczasowe regulacje obejmowały kilkaset instytucji, jednak nowelizacja wprowadza nowe kategorie, przez co liczba podmiotów objętych nadzorem wzrośnie nawet kilkukrotnie. Dotyczy to zarówno sektora publicznego, jak i prywatnego, szczególnie w branżach o krytycznym znaczeniu, takich jak energetyka, transport, zdrowie czy dostawcy usług cyfrowych.

3. Obowiązki podmiotów KSC

Podmioty kluczowe będą miały rozszerzony katalog obowiązków związanych z zarządzaniem cyberbezpieczeństwem. Nowelizacja nakłada m.in:

• Zgłaszanie incydentów poważnych niezwłocznie, nie później niż 72 godziny od wykrycia;
• Wyznaczenie co najmniej dwóch osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami KSC;
• Wdrożenie systemu zarządzania bezpieczeństwem informacji w terminie 6 miesięcy;
• Przeprowadzenie pierwszego audytu w terminie 24 miesięcy;
• Przeprowadzanie kolejnych audytów co najmniej raz na 3 lata.

  Dodatkowo wprowadzono większą odpowiedzialność zarządów spółek za zapewnienie zgodności z nowymi regulacjami.

4. Dedykowany CSIRT dla sektora

Nowelizacja przewiduje powołanie nowych zespołów CSIRT (Computer Security Incident Response Team) dedykowanych dla poszczególnych sektorów, co ma poprawić zdolność reagowania na incydenty. Dotychczasowe CSIRT-y krajowe (NASK, MON, ABW) zostaną wzmocnione, a dla wybranych branż (np. zdrowie, finanse) mogą powstać dodatkowe jednostki, zapewniające szybsze i bardziej precyzyjne wsparcie dla nadzorowanych podmiotów.

Zgodnie z nowelizacją ustawy dany CSIRT musi:

• przyjmować wczesne ostrzeżenia, zgłoszenia o incydentach, sprawozdania okresowe końcowe;
• przyjmować zgłoszenia o potencjalnych zdarzeniach dla cyberbezpieczeństwa;
• reagować na incydenty;
• współpracować z podmiotami KSC w zakresie wymiany dobrych praktyk.

Ustawa określa również co dany CSIRT może:

• zapewniać dynamiczną analizę ryzyka i analizę incydentów oraz wspomagać w podnoszeniu świadomości cyberzagrożeń
• wykonywać niezbędne działania techniczne związane z analizą cyberzagrożeń oraz reagowaniem na incydent poważny
• wspierać podmioty w wykonywaniu przez nie obowiązków związanych z incydentami
• prowadzić działania na rzecz podnoszenia poziomu bezpieczeństwa systemów informacyjnych podmiotów KSC, w szczególności przez:
  – wykonywanie oceny bezpieczeństwa,
  – identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych, a także powiadamianie właścicieli tych systemów o wykrytych podatnościach oraz cyberzagrożeniach 
• na wniosek podmiotu wspierać go w zakresie monitorowania jego sieci i systemów informatycznych

Natomiast to co najbardziej powinno zainteresować instytucje objęte ustawą o KSC, szczególnie Zarządy oraz szczebel kierowniczy to…