Zmiana wymagań dla operatorów usług kluczowych
Nowe regulacje są odpowiedzią na zastrzeżenia i postulaty - informuje ministerstwo.
Minister cyfryzacji zmienił techniczne i organizacyjne warunki, jakie muszą spełnić operatorzy usług kluczowych oraz podmioty świadczące usługi w zakresie cyberbezpieczeństwa.
Nowe rozporządzenie umożliwia dobór zabezpieczeń do warunków, w jakich świadczone są usługi kluczowe. Pozwala m.in. na realizację zadań z zakresu ochrony cyfrowej poza bezpiecznymi pomieszczeniami i wykonywania tej pracy zdalnie. Takie rozwiązanie ma obniżyć koszty i usprawnić działanie zespołów.
Są jednak ograniczenia: firmy specjalizujące się w bezpieczeństwie oraz wewnętrzne jednostki operatorów muszą zadbać o to, by jak najmniej danych było przechowywanych poza bezpiecznym środowiskiem. Trzeba zastosować bezpieczne środki ich przetwarzania i przesyłania oraz ustalić zasady dostępu do systemu – zaleca rozporządzenie.
Ochrona odpowiednia do ryzyka
Doprecyzowano również wprowadzone wcześniej wymagania. Są teraz ściśle związane z obowiązkami. Wyraźnie określono obowiązek stosowania zabezpieczeń adekwatnych do oszacowanego ryzyka w danej instytucji. Tym samym firma zajmująca się cyberochroną musi dysponować fachowcami, którzy są w stanie rozpoznać zagrożenia dla systemów informatycznych operatora usługi kluczowej i proponować rozwiązania zmniejszające niebezpieczeństwo.
Resort zapewnia, że zmiany są odpowiedzią na uwagi operatorów usług kluczowych i firm zajmujących się bezpieczeństwem cyfrowym. Zastrzeżenia dotyczyły głównie kwestii braku zapisów pozwalających na realizację niektórych zadań poza bezpiecznymi pomieszczeniami oraz możliwości stosowania w większym zakresie ochrony adekwatnej do ryzyka.
Nowe regulacje wprowadza "Rozporządzenie ministra cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo". Tym samym utraciło moc rozporządzanie z 10 września 2018 r.
Operatorzy usług kluczowych to zarówno przedsiębiorstwa, jak i podmioty publiczne z takich sektorów jak: energetyka i sektor paliwowy, transport, bankowość i finanse, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, infrastruktura cyfrowa (usługi DNS, wymiana ruchu internetowego – IXP, rejestracja domen najwyższego poziomu – TLD).
Podobne aktualności
O 100 proc. więcej incydentów cyberbezpieczeństwa w Polsce
W ub.r. nasz kraj stał się celem licznych ataków w celu kradzieży kluczowych informacji, rozpoznania systemów ICT i zakłócenia infrastruktury krytycznej.
Nowa strategia władz w walce z dezinformacją
"Internet infekowany jest przekazami inspirowanymi zwłaszcza przez służby rosyjskie" - mówi nowa szefowa Pionu ochrony informacyjnej cyberprzestrzeni w NASK.
Polska planuje budowę komputera kwantowego
"Aspirujemy do dołączenia do czołowych graczy w obszarze technologii kwantowych w Europie" – deklaruje minister cyfryzacji.