Obowiązki dostawców usług cyfrowych - Rozdział 4 - Krajowy system cyberbezpieczeństwa. - Dz.U.2022.1863 t.j. - OpenLEX

Rozdział 4 - Obowiązki dostawców usług cyfrowych - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2022.1863 t.j.

Akt obowiązujący
Wersja od: 5 września 2022 r.

Rozdział  4

Obowiązki dostawców usług cyfrowych

1. 
Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadcząca usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców, o których mowa w art. 7 ust. 1 pkt 1 i 2 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. z 2021 r. poz. 162 i 2105 oraz z 2022 r. poz. 24 i 974). Rodzaje usług cyfrowych określa załącznik nr 2 do ustawy.
2. 
Dostawca usługi cyfrowej podejmuje właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:
1)
bezpieczeństwo systemów informacyjnych i obiektów;
2)
postępowanie w przypadku obsługi incydentu;
3)
zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
4)
monitorowanie, audyt i testowanie;
5)
najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu wykonawczym 2018/151.
3. 
Dostawca usługi cyfrowej podejmuje środki zapobiegające i minimalizujące wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości świadczenia tej usługi.
4. 
Dostawca usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej, wyznacza przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną w innym państwie członkowskim Unii Europejskiej.
5. 
Przedstawicielem może być osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, ustanowiona w Rzeczypospolitej Polskiej lub w innym państwie członkowskim Unii Europejskiej, wyznaczona do występowania w imieniu dostawcy usługi cyfrowej, który nie posiada jednostki organizacyjnej w Unii Europejskiej, do którego organ właściwy do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK lub CSIRT GOV może się zwrócić w związku z obowiązkami dostawcy usługi cyfrowej wynikającymi z ustawy.
1. 
Dostawca usługi cyfrowej:
1)
przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów;
2)
zapewnia w niezbędnym zakresie dostęp do informacji dla właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
3)
klasyfikuje incydent jako istotny;
4)
zgłasza incydent istotny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
5)
zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
6)
usuwa podatności, o których mowa w art. 32 ust. 2;
7)
przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.
2. 
Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:
1)
liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;
2)
czas trwania incydentu;
3)
zasięg geograficzny obszaru, którego dotyczy incydent;
4)
zakres zakłócenia funkcjonowania usługi;
5)
zakres wpływu incydentu na działalność gospodarczą i społeczną.
3. 
Dostawca usługi cyfrowej, klasyfikując incydent jako istotny, ocenia istotność wpływu incydentu na świadczenie usługi cyfrowej na podstawie parametrów, o których mowa w ust. 2, oraz progów określonych w rozporządzeniu wykonawczym 2018/151.
4. 
Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, o którym mowa w ust. 1 pkt 4, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.
5. 
Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej - przy użyciu innych dostępnych środków komunikacji.
1. 
Zgłoszenie, o którym mowa w art. 18 ust. 1 pkt 4, zawiera:
1)
dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze, siedzibę i adres;
2)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;
3)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
4)
opis wpływu incydentu istotnego na świadczenie usługi cyfrowej, w tym:
a)
liczbę użytkowników, na których incydent istotny miał wpływ,
b)
moment wystąpienia i wykrycia incydentu istotnego oraz czas jego trwania,
c)
zasięg geograficzny obszaru, którego dotyczy incydent istotny,
d)
zakres zakłócenia funkcjonowania usługi cyfrowej,
e)
zakres wpływu incydentu istotnego na działalność gospodarczą i społeczną;
5)
informacje umożliwiające właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV określenie, czy incydent istotny dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej;
6)
informacje o przyczynie i źródle incydentu istotnego;
7)
informacje o podjętych działaniach zapobiegawczych;
8)
informacje o podjętych działaniach naprawczych;
9)
inne istotne informacje.
2. 
Dostawca usługi cyfrowej przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu istotnego.
3. 
Dostawca usługi cyfrowej przekazuje, w niezbędnym zakresie, w zgłoszeniu, o którym mowa w art. 18 ust. 1 pkt 4, informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
4. 
Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV może zwrócić się do dostawcy usługi cyfrowej o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie.
5. 
W zgłoszeniu dostawcy usług cyfrowych oznaczają informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa.

Dostawca usługi cyfrowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. 1. Informacje te przekazywane są w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej - przy użyciu innych dostępnych środków komunikacji.