Abstrakt

Ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa określa sposób wykonywania działań przewidzianych w ramach Krajowego Systemu Cyberbezpieczeństwa, których głównym celem jest zapobieganie zdarzeniom naruszającym bezpieczeństwo cybernetyczne, a także reagowanie na skutki takich zdarzeń. W związku z tym ustawa określa działania mające na celu niwelowanie niebezpieczeństw wynikających z naruszenia poufności, integralności, dostępności oraz autentyczności przetwarzanych danych. Sposobem mającym na celu eliminację zdarzeń mogących wywierać niekorzystny wpływ na działanie systemów informacyjnych jest określenie obowiązków nałożonych na Operatorów Usług Kluczowych oraz Dostawców Usług Cyfrowych.Obowiązki te dotyczą m.in. sektora energetycznego, transportu lotniczego, drogowego, wodnego, bankowości i infrastruktury rynków finansowych, infrastruktury cyfrowej czy sektora ochrony zdrowia. Wszystkie sektory, podsektory oraz rodzaje podmiotów podlegających ustawie wymienione zostały w załączniku do ustawy, natomiast szczegółowe informacje na temat usług kluczowych określa Wykaz Usług Kluczowych, znajdujący się w rozporządzeniu Rady Ministrów z 11.9.2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Oprócz podziału na sektory, podsektory oraz rodzaje podmiotów, w Wykazie Usług Kluczowych zostały również określone wszelkie usługi kluczowe podlegające ustawie oraz poszczególne kryteria pozwalające ocenić szacowanie ryzyka – tzw. „progi istotności skutku zakłócającego”, w których to oceniane są m.in. takie czynniki, jak określenie czasu i skali incydentu oraz jego potencjalnego wpływu na działalność gospodarczą, społeczną, a także bezpieczeństwo publiczne.