Minister cyfryzacji zmienił techniczne i organizacyjne warunki, jakie muszą spełnić operatorzy usług kluczowych oraz podmioty świadczące usługi w zakresie cyberbezpieczeństwa.

Nowe rozporządzenie umożliwia dobór zabezpieczeń do warunków, w jakich świadczone są usługi kluczowe. Pozwala m.in. na realizację zadań z zakresu ochrony cyfrowej poza bezpiecznymi pomieszczeniami i wykonywania tej pracy zdalnie. Takie rozwiązanie ma obniżyć koszty i usprawnić działanie zespołów.

Są jednak ograniczenia: firmy specjalizujące się w bezpieczeństwie oraz wewnętrzne jednostki operatorów muszą zadbać o to, by jak najmniej danych było przechowywanych poza bezpiecznym środowiskiem. Trzeba zastosować bezpieczne środki ich przetwarzania i przesyłania oraz ustalić zasady dostępu do systemu - zaleca rozporządzenie.


Ochrona odpowiednia do ryzyka

Doprecyzowano również wprowadzone wcześniej wymagania. Są teraz ściśle związane z obowiązkami. Wyraźnie określono obowiązek stosowania zabezpieczeń adekwatnych do oszacowanego ryzyka w danej instytucji. Tym samym firma zajmująca się cyberochroną musi dysponować fachowcami, którzy są w stanie rozpoznać zagrożenia dla systemów informatycznych operatora usługi kluczowej i proponować rozwiązania zmniejszające niebezpieczeństwo.
 
Resort zapewnia, że zmiany są odpowiedzią na uwagi operatorów usług kluczowych i firm zajmujących się bezpieczeństwem cyfrowym. Zastrzeżenia dotyczyły głównie kwestii braku zapisów pozwalających na realizację niektórych zadań poza bezpiecznymi pomieszczeniami oraz możliwości stosowania w większym zakresie ochrony adekwatnej do ryzyka.

Nowe regulacje wprowadza "Rozporządzenie ministra cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo". Tym samym utraciło moc rozporządzanie z 10 września 2018 r.

Operatorzy usług kluczowych to zarówno przedsiębiorstwa, jak i podmioty publiczne z takich sektorów jak: energetyka i sektor paliwowy, transport, bankowość i finanse, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, infrastruktura cyfrowa (usługi DNS, wymiana ruchu internetowego - IXP, rejestracja domen najwyższego poziomu - TLD).