Rozporządzenie o wymogach organizacyjnych dot. cyberbezpieczeństwa. 19 września 2018 r., w Dzienniku Ustaw zostało opublikowane rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo
Wymogi dla zespołów bezpieczeństwa
Rozporządzenie stanowi wykonanie upoważnienia ustawowego zawartego w art. 14 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560.), zwanej dalej “ustawą”. Przepisy określają wymagania dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych, odpowiedzialnych za cyberbezpieczeństwo, mających wykonywać zadania nałożone na nich przez ustawę. Zgodnie z ustawą, operatorzy usług kluczowych mogą wykonywać część swoich obowiązków nałożonych przez ustawę poprzez wewnętrzne struktury albo poprzez podmioty zewnętrzne, kontraktowane na zasadach komercyjnych. Ze względu na konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa świadczonych usług, konieczne było określenie warunków technicznych i organizacyjnych, jakie muszą spełniać takie podmioty.
Dwa rodzaje wymogów – oparte na Polskich Normach
Do wymogów organizacyjnych zalicza się posiadanie wdrożonego systemu zarządzania bezpieczeństwem informacji, zapewnianie ciągłości działania usłudze reagowania na incydenty, sporządzenie i upublicznienie deklaracji polityki działania zgodnej z RFC 2350, zapewnienie wsparcia operatorowi w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej oraz dysponowanie personelem, posiadającym odpowiednie umiejętności i doświadczenie. Rozporządzenie zawiera również wymogi techniczne, dotyczące sprzętu i pomieszczeń takie jak: system kontroli dostępu, odpowiednie drzwi, czy też właściwy sprzęt komputerowy i system łączności. Celem zapewnienia jednoznaczności wymagań i ich zobiektywizowania – wymagania w dużej mierze opierają się na Polskich Normach
Dokumenty:
– Treść Rozporządzenia
źródło: Ministerstwo Cyfryzacji
