Oznacza to, że operatorzy zobowiązani są do szacowania ryzyka wystąpienia incydentów, zgłaszania wystąpienia incydentów, zbierania informacji o potencjalnych zagrożeniach oraz stosowania środków zapobiegawczych, zaś za niewypełnienie określonych obowiązków poniosą kary finansowe.
Czytaj także: Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie
Jakie ryzyka
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. poz. 1560; dalej: ustawa) określa sposób wykonywania działań przewidzianych w ramach Krajowego Systemu Cyberbezpieczeństwa, którego głównym celem ma być wszelkiego rodzaju zapobieganie atakom naruszającym cyberbezpieczeństwo w związku z rosnącym ryzykiem przechwycenia zasobów informacyjnych, wynikającym z narastających ataków hackerskich bądź socjotechnicznych. W związku z tym określone zostały w ustawie działania mające na celu niwelowanie niebezpieczeństw wynikających z naruszenia poufności, dostępności oraz autentyczności przetwarzanych danych.
Sposobem mającym na celu eliminację zdarzeń, które mogą wywierać niekorzystny wpływ na działanie systemów informacyjnych jest określenie obowiązków nałożonych na operatorów usług kluczowych. Obowiązki te dotyczą sektora energetycznego, transportu lotniczego, drogowego, wodnego, bankowości i infrastruktury rynków finansowych, infrastruktury cyfrowej czy sektora ochrony zdrowia. Wszystkie sektory, podsektory oraz rodzaje podmiotów podlegających ustawie wymienione zostały w załączniku do niej. Szczegółowe informacje na temat usług kluczowych określa Wykaz Usług Kluczowych, znajdujący się w rozporządzeniu Rady Ministrów z 11 września 2018 r. (Dz.U. z 2018 r. poz. 1806). Oprócz podziału na sektory, podsektory oraz rodzaje podmiotów, w Wykazie Usług Kluczowych zostały również określone wszelkie usługi kluczowe podlegające ustawie oraz poszczególne kryteria pozwalające ocenić szacowanie ryzyka – tzw. „progi istotności skutku zakłócającego", w których to oceniane są między innymi takie czynniki, jak określenie czasu i skali incydentu oraz jego potencjalnego wpływu na działalność gospodarczą, społeczną, a także bezpieczeństwo publiczne.
Powołanie operatora usług kluczowych
Na podstawie ustawy operatorem usług kluczowych będzie podmiot, który otrzymał decyzję administracyjną od właściwego organu do spraw cyberbezpieczeństwa, a także posiadający jednostkę organizacyjną na terytorium Polski. Dopiero na podstawie otrzymania decyzji o uznaniu podmiotu za operatora usługi kluczowej („OUK") biegną poszczególne terminy dotyczące wykonania ciążących na operatorze obowiązków. Samo wydanie decyzji następuje po spełnieniu wskazanych w ustawie kryteriów, do których, oprócz świadczenia usług w jednym z wcześniej wymienionych sektorów, należy także określenie przez właściwy organ, czy świadczenie danej usługi jest zależne od systemów informacyjnych oraz czy ewentualne zdarzenie, mogące negatywnie wpłynąć na cyberbezpieczeństwo, miałoby skutek utrudniający lub uniemożliwiający świadczenie usługi kluczowej przez danego operatora. W ocenie ostatniego z kryteriów istotną rolę pełnią wcześniej wspomniane progi istotności skutku zakłócającego.