Polska w pełni wdrożyła dyrektywę NIS

Cyberbezpieczeństwo

Zgodnie z ustawą z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych mają obowiązek zgłaszać incydenty bezpieczeństwa, które dotyczą świadczonych przez nich usług kluczowych. Szczególne znaczenie mają incydenty poważne, tzn. te, które powodują lub mogą spowodować poważnego obniżenia jakości lub przerwania ciągłości świadczenia usługi kluczowej. Pozostałe incydenty, tzw. incydenty zwykłe, operatorzy mogą zgłaszać (ale nie jest to obowiązkowe), po zgłoszeniu i uzyskać wsparcie CSIRT.

Wychodząc naprzeciw przedsiębiorcom, a także aby ułatwić rozpoznawanie i klasyfikowanie incydentów, przygotowane zostały progi, które określają warunki, kiedy należy uznać dany incydent za poważny. Przykładowo, dla poboru wody uznano, że poważnym jest incydent, który doprowadził do braku dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin.
Każde zdarzenie dotyczące incydentu poważnego musi być zgłoszone do właściwego dla danego operatora zespołu CSIRT, który będzie wspierał zgłaszającego operatora usługi kluczowej podczas całego procesu obsługi incydentu. Incydent poniżej progu też podlega obsłudze, jednak jego zgłoszenie do właściwego CSIRTu jest dobrowolne.
Jednocześnie należy zaznaczyć, że zgłaszanie incydentów to obok szacowania ryzyka i prowadzenia audytów, najważniejszy obowiązek dla operatorów usług kluczowych wynikający z przepisów ustawy.

Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny << link

Uwaga, niniejsze rozporządzenie wskazuje progi incydentów dla operatorów usług kluczowych (takich jak firmy energetyczne, kopalnie, uzdatnianie wody). Progi dla dostawców usług cyfrowych tzn. dla operatorów chmury obliczeniowej, wyszukiwarek internetowych i internetowych platform handlowych zostały określone w rozporządzeniu wykonawczym 2018/151, wydanym przez Komisję Europejską.

Źródło: gov.pl