Czym jest operator usługi kluczowej i jakie ma obowiązki w zakresie bezpieczeństwa IT? | Biznes Netia
Menu główne

Operatorzy usług kluczowych – kto do nich należy?

01 lipca 2022, Autor: Tomasz Orłowski

Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), uchwalona w lipcu 2018 r., wprowadziła do przestrzeni prawnej pojęcie operatora usługi kluczowej, które dla niektórych osób wciąż brzmi dość tajemniczo. W tym artykule wyjaśnimy, co oznacza ten termin. Na konkretnych przykładach wskażemy również obowiązki, jakie spoczywają na dostawcach usług kluczowych.

 
 
 
   

Operator usługi kluczowej – co to za podmiot?

 

Dyrektywa NIS (Network and Information Systems Directive) z lipca 2016 r. to pierwsze prawo unijne regulujące kwestie cyberbezpieczeństwa w krajach członkowskich UE. Implementacją tej dyrektywy do polskich przepisów była ustawa o krajowym systemie cyberbezpieczeństwa, która wprowadziła pojęcie operatora usługi kluczowej (OUK).

 

OUK to podmiot świadczący usługi o krytycznym znaczeniu dla prawidłowego funkcjonowania państwa. Dokładny wykaz takich podmiotów został sporządzony przez Radę Ministrów we wrześniu 2018 r. Wraz z nim powstał również wykaz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Warunkiem klasyfikacji jako OUK jest świadczenie usług za pośrednictwem systemów informacyjnych i posiadanie jednostki organizacyjnej na terenie Polski. Wykaz OUK nie jest niestety publikowany, decyzja o nałożeniu na dany podmiot obowiązków OUK jest podejmowana w trybie administracyjnym.

 

Szacuje się, że po wejściu w życie UKSC w wykazie OUK znalazło się ponad 500 podmiotów, w tym firmy działające między innymi w sektorach:

 

• energetycznym,

 

• finansowym,

 

• transporcie,

 

• ochronie zdrowia,

 

• infrastrukturze cyfrowej,

 

• zaopatrzeniu i dystrybucji wody pitnej

 

i innych gałęziach.

 

Ustawa o krajowym systemie cyberbezpieczeństwa jasno określa obowiązki nałożone na operatorów usług kluczowych. Należą do nich między innymi:

 

• szacowanie i zarządzanie ryzykiem,

• stosowanie adekwatnych do oszacowanych ryzyk środków technicznych i organizacyjnych środków bezpieczeństwa (w tym utrzymywania planów ciągłości działania),

 

• przeprowadzanie okresowych audytów bezpieczeństwa,

 

• zbieranie informacji o zagrożeniach i podatnościach na incydenty,

 

• raportowanie incydentów i współpraca z właściwym zespołem CSIRT,

 

• wydelegowanie konkretnych osób do kontaktu na potrzeby krajowego systemu cyberbezpieczeństwa.

 

W ciągu 12 miesięcy od otrzymania decyzji administracyjnej OUK jest zobligowany przygotować audyt weryfikacyjny i przekazać sprawozdanie wskazanym podmiotom. Brak realizacji obowiązków przez OUK skutkuje nałożeniem kar finansowych przez właściwe organy.

 

Oczekiwana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa będzie implementacją do polskich przepisów kolejnej unijnej dyrektywy - NIS2. Znowelizowana ustawa ma zawierać wytyczne dla nowej grupy firm i instytucji – tak zwanych podmiotów istotnych, na które również zostaną nałożone nowe obowiązki, jednak nie tak restrykcyjne jak dla OUK. W tej grupie znajdą się między innymi firmy kurierskie, pocztowe, produkcyjne czy telekomunikacyjne.

 

Przykłady operatorów usług kluczowych

 

Usługi kluczowe, które znalazły się w wykazie z 2018 r., zostały podzielone na 17 sektorów i podsektorów. Szczegółowo scharakteryzowano również przesłanki, które muszą zostać spełnione, by podmiot świadczący usługi w danej gałęzi gospodarki mógł zostać uznany za OUK.

 

Operatorzy usług kluczowych – przykłady:

 

• firmy prowadzące autorytatywne serwery DNS z co najmniej 100 tys. domen,

• oczyszczalnie ścieków ujmujące, uzdatniające i dostarczające wodę pitną do co najmniej 500 tys. odbiorców,

• szpitale ze Szpitalnym Oddziałem Ratunkowym (SOR),

• banki i instytucje finansowe, świadczące usługi przyjmowania depozytów pieniężnych i innych funduszy podlegających zwrotowi,

• kopalnie wydobywające co najmniej 10 mln ton węgla brunatnego, 8 mln ton węgla kamiennego lub 50 tys. ton miedzi w skali roku.

 

Zadbaj o cyberbezpieczeństwo swojej firmy już dziś

 

Wymagania stawiane przez dyrektywy NIS/NIS2 oraz ich polski odpowiednik w postaci ustawy o krajowym systemie cyberbezpieczeństwa mogą być trudne do spełnienia nawet dla dużych firm z wyodrębnionymi na ten cel budżetami. Samo przestrzeganie podstawowych zasad cyberbezpieczeństwa nie wystarczy, by wywiązywać się nowych obowiązków.

 

Nadchodząca nowelizacja UKSC zakłada, że podmioty będą mogły w dużej części wyoutsource’ować zadania w obszarze cyberbezpieczeństwa zewnętrznym zespołom Security Operations Center, jak na przykład Netia SOC. Jest to doświadczony zespół specjalistów, obejmujący swoimi kompetencjami co najmniej kilkanaście obszarów bezpieczeństwa. Skorzystanie z usług Netia SOC może pomóc firmom zaoszczędzić mnóstwo czasu i środków, które pochłonęłoby przystosowanie do przepisów wynikających z obecnej oraz znowelizowanej ustawy.

 

Skompletowanie własnego zespołu SOC przy obecnej sytuacji na rynku pracy, a przede wszystkim braku specjalistów ds. bezpieczeństwa teleinformatycznego, mogłoby pochłonąć minimum kilkanaście miesięcy, a utrzymanie dedykowanego wewnętrznego zespołu SOC może kosztować nawet kilka milionów złotych rocznie. Zespół Netia SOC pomoże Twojej firmie dostosować się do nowych przepisów, wdrożyć odpowiednie do ryzyka środki bezpieczeństwa i utrzymać je bez konieczności zaangażowania Twoich pracowników. Posiadamy akredytacje i certyfikaty w zakresie bezpieczeństwa (np. ISO 27001, CISSP, CEH) i działamy zgodnie z obowiązującymi przepisami, wypełniając założenia UKSC, rozporządzenia RODO. Procesy monitoringu i obsługi incydentów bezpieczeństwa są realizowany w trybie ciągłym 24/7.

 

Dodatkowo, w ramach oferty usług bezpieczeństwa od Netii, możesz skorzystać z szeregu rozwiązań, które pomogą w uzyskaniu pełnej zgodności z obowiązującymi przepisami oraz podniosą poziom bezpieczeństwa Twojej firmy.


Sprawdź też, jak możesz zadbać o swoje bezpieczeństwo w sieci i skorzystaj z usługi Bezpieczny Internet dla użytkowników indywidualnych.

   
 
 
 
 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×