Dyrektywa NIS (Network and Information Systems Directive) z lipca 2016 r. to pierwsze prawo unijne regulujące kwestie cyberbezpieczeństwa w krajach członkowskich UE. Implementacją tej dyrektywy do polskich przepisów była ustawa o krajowym systemie cyberbezpieczeństwa, która wprowadziła pojęcie operatora usługi kluczowej (OUK).

 

OUK to podmiot świadczący usługi o krytycznym znaczeniu dla prawidłowego funkcjonowania państwa. Dokładny wykaz takich podmiotów został sporządzony przez Radę Ministrów we wrześniu 2018 r. Wraz z nim powstał również wykaz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Warunkiem klasyfikacji jako OUK jest świadczenie usług za pośrednictwem systemów informacyjnych i posiadanie jednostki organizacyjnej na terenie Polski. Wykaz OUK nie jest niestety publikowany, decyzja o nałożeniu na dany podmiot obowiązków OUK jest podejmowana w trybie administracyjnym.

 

Szacuje się, że po wejściu w życie UKSC w wykazie OUK znalazło się ponad 500 podmiotów, w tym firmy działające między innymi w sektorach:

 

• energetycznym,

 

• finansowym,

 

• transporcie,

 

• ochronie zdrowia,

 

• infrastrukturze cyfrowej,

 

• zaopatrzeniu i dystrybucji wody pitnej

 

i innych gałęziach.

 

Ustawa o krajowym systemie cyberbezpieczeństwa jasno określa obowiązki nałożone na operatorów usług kluczowych. Należą do nich między innymi:

 

• szacowanie i zarządzanie ryzykiem,

• stosowanie adekwatnych do oszacowanych ryzyk środków technicznych i organizacyjnych środków bezpieczeństwa (w tym utrzymywania planów ciągłości działania),

 

• przeprowadzanie okresowych audytów bezpieczeństwa,

 

• zbieranie informacji o zagrożeniach i podatnościach na incydenty,

 

• raportowanie incydentów i współpraca z właściwym zespołem CSIRT,

 

• wydelegowanie konkretnych osób do kontaktu na potrzeby krajowego systemu cyberbezpieczeństwa.

 

W ciągu 12 miesięcy od otrzymania decyzji administracyjnej OUK jest zobligowany przygotować audyt weryfikacyjny i przekazać sprawozdanie wskazanym podmiotom. Brak realizacji obowiązków przez OUK skutkuje nałożeniem kar finansowych przez właściwe organy.

 

Oczekiwana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa będzie implementacją do polskich przepisów kolejnej unijnej dyrektywy - NIS2. Znowelizowana ustawa ma zawierać wytyczne dla nowej grupy firm i instytucji – tak zwanych podmiotów istotnych, na które również zostaną nałożone nowe obowiązki, jednak nie tak restrykcyjne jak dla OUK. W tej grupie znajdą się między innymi firmy kurierskie, pocztowe, produkcyjne czy telekomunikacyjne.

   

Usługi kluczowe, które znalazły się w wykazie z 2018 r., zostały podzielone na 17 sektorów i podsektorów. Szczegółowo scharakteryzowano również przesłanki, które muszą zostać spełnione, by podmiot świadczący usługi w danej gałęzi gospodarki mógł zostać uznany za OUK.

 

Operatorzy usług kluczowych – przykłady:

 

• firmy prowadzące autorytatywne serwery DNS z co najmniej 100 tys. domen,

• oczyszczalnie ścieków ujmujące, uzdatniające i dostarczające wodę pitną do co najmniej 500 tys. odbiorców,

• szpitale ze Szpitalnym Oddziałem Ratunkowym (SOR),

• banki i instytucje finansowe, świadczące usługi przyjmowania depozytów pieniężnych i innych funduszy podlegających zwrotowi,

• kopalnie wydobywające co najmniej 10 mln ton węgla brunatnego, 8 mln ton węgla kamiennego lub 50 tys. ton miedzi w skali roku.