§ 1. - Warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Dziennik Ustaw
Dz.U.2019.2479
Akt obowiązujący Wersja od: 23 grudnia 2019 r.
§ 1.
1.
Podmiot świadczący usługi z zakresu cyberbezpieczeństwa jest obowiązany spełnić następujące warunki organizacyjne:1)
posiadać, utrzymywać i aktualizować system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001 w zakresie obejmującym co najmniej świadczone usługi;2)
zapewnić ciągłość działania usłudze obsługi incydentu oraz wsparcie operatorowi usługi kluczowej z czasem reakcji adekwatnym do charakteru usługi kluczowej;3)
posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF);4)
w zakresie realizowanych obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1-5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, dysponować personelem posiadającym umiejętności:a)
identyfikowania zagrożeń w odniesieniu do systemów informacyjnych operatora usługi kluczowej oraz proponowania rozwiązań ograniczających ryzyko wynikające z tych zagrożeń,b)
analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej,c)
wykrywania przełamania lub ominięcia zabezpieczeń systemu informacyjnego operatora usługi kluczowej, prowadzenia analizy powłamaniowej wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informacyjnego operatora usługi kluczowej,d)
zabezpieczania informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym informacji dotyczących:–
rodzajów usług kluczowych, na które incydent miał wpływ,–
liczby użytkowników usługi kluczowej, na których incydent miał wpływ,–
momentu wystąpienia i wykrycia incydentu oraz czas jego trwania,–
zasięgu geograficznego obszaru, którego dotyczy incydent poważny,–
wpływu incydentu na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych,–
przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe na potrzeby postępowań prowadzonych przez organy ścigania;5)
dysponować prawem do wyłącznego korzystania z pomieszczenia lub zespołu pomieszczeń - w przypadku realizacji obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1-5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;6)
przeprowadzić analizę ryzyka mającą na celu dobór adekwatnych środków bezpieczeństwa fizycznego i technicznego pomieszczenia lub zespołu pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa, w której uwzględnia się wszystkie istotne czynniki mogące mieć wpływ na bezpieczeństwo, w szczególności:a)
rodzaje informacji przetwarzanych w systemach teleinformatycznych,b)
otoczenie i konstrukcję budynków, w których będą świadczone usługi z zakresu cyberbezpieczeństwa,c)
liczbę osób mających lub mogących mieć dostęp do pomieszczenia lub zespołu pomieszczeń, a także posiadane przez nie uprawnienia oraz uzasadnioną potrzebę dostępu do pomieszczenia lub zespołu pomieszczeń,d)
szacowane zagrożenie sabotażem, zamachem terrorystycznym, kradzieżą lub inną działalnością przestępczą.2.
Wewnętrzna struktura organizacyjna operatora usługi kluczowej odpowiedzialna za cyberbezpieczeństwo jest obowiązana spełniać warunki, o których mowa w ust. 1 pkt 1, 2 i 4-6.