Czy szpital ma obowiązek odpowiadania na pytania dotyczące kwestii związanych z wyznaczeniem go na operatora usług kluczowych?

Czy w przypadku uznania szpitala (sp zoz) za operatora usługi kluczowej na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369), szpital obowiązany jest udzielić odpowiedzi na wniosek w trybie u.d.i.p. co do: 1) faktu posiadania statusu operatorem usługi kluczowej, 2) czy szpital bierze udział w pozyskiwaniu środków na podstawie Zarządzenia Prezesa NFZ 68/2022/BBIiCD (dla operatorów usług kluczowych w służbie zdrowia), 3) czy szpital posiada podpisaną umowę na audyt bezpieczeństwa o którym mowa w ww. zarządzeniu (oraz udostępnienie tej umowy), 4) czy szpital powołał osobę do kontaktu z właściwym zespołem CSIRT poziomu krajowego, 5) czy ww. osoba to pracownik szpitala. 6) jeżeli ww. osoba nie jest pracownikiem szpitala, to wniosek obejmuje udostępnienie umowy z tym podmiotem/osobą?

Przepisy wyłączają możliwość udzielania przez Ministra Cyfryzacji informacji o podmiotach, które otrzymały decyzję o uznaniu za operatorów usług kluczowych, a ponadto Minister Cyfryzacji może udostępnić takie informacje wyłącznie podmiotom wymienionym w ustawie. Wyłączeniu z dostępu do informacji publicznej podlegają również incydenty zgłaszane przez operatorów. Jednocześnie szpital obawia się, że udostępnienie ww. informacji może mieć negatywny wpływ na jego cyberbezpieczeństwo.