Wybrane obowiązki operatorów usług kluczowych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa

Informacja w administracji publicznej | 2/2019
Moduł: prawo karne, prawo handlowe
Aleksandra Czarnecka
Wybrane obowiązki operatorów usług kluczowych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa


Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, zwana również dyrektywą NIS, to kolejny – obok ogólnego rozporządzenia o ochronie danych – przykład nowoczesnego ustawodawstwa unijnego, którego podstawą jest podejście oparte na analizie ryzyka (risk based approach). Dyrektywa NIS została implementowana do polskiego porządku prawnego 28.8.2018 r. ustawą o krajowym systemie cyberbezpieczeństwa. Nakłada ona szereg obowiązków na podmioty objęte zakresem jej regulacji, w tym na operatorów usług kluczowych.
Ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560; dalej: CyberBezpU) jest aktem, który w sposób kompleksowy określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w jego skład, jak również sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy (art. 1 ust. 1 Cyber­BezpU). Celem wprowadzenia krajowego systemu cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych. Środkiem do realizacji powyższego celu ma być osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów (art. 3 CyberBezpU).