Konsultacje rozp. ws. warunków oragnizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa

Ministerstwo Cyfryzacji przekazało do konsultacji projekt rozporządzenia Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

Dla wykonania zadań nałożonych na mocy art. 8, art. 9, art. 10 ust. 1, art. 11 ust. 1 oraz art. 13 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560), każdy operator winien powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z podmiotem świadczącym usługi z tego zakresu.
Obecnie obowiązujące rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. poz. 1780) okazało się być trudne we wdrożeniu, nie dopuszczając niektórych form współpracy z ekspertami z zakresu cyberbezpieczeństwa. Wobec uzyskanych informacji z rynku, Ministerstwo Cyfryzacji zorganizowało spotkanie z przedsiębiorcami, podczas którego omówiono możliwości zmiany ww. rozporządzenia. Ponadto, swoje uwagi zgłosiła Polska Izba Systemów Alarmowych, wskazując konieczność doprecyzowania niektórych zapisów, które wynikały z odniesień do norm technicznych.
Zgłoszono potrzebę wprowadzenia następujących zmian:

• proporcjonalność wymogów (wymogi dostosowane do realizowanych obowiązków);
• usprawnienie istniejących wymogów;
• doprecyzowanie „miękkich zapisów” (np. rozbicie obowiązków typu „czynności z zakresu informatyki śledczej” na poszczególne obowiązki)

Doprecyzowano przepisy dotyczące zabezpieczeń technicznych zgodnie ze wskazówkami Polskiej Izby Systemów Alarmowych oraz uwagami przedsiębiorców, dopuszczono pracę zdalną (z odrębnymi zabezpieczeniami), rozróżniono rodzaje zabezpieczeń w zależności od realizowanych czynności (podział na czynności techniczne i organizacyjne).

Omówienie wprowadzonych zmian znajduje się w uzasadnieniu do rozporządzenia.

Projekt jest dostępny na BIP i RCL.

Zainteresowanych prosimy o przesyłanie uwag do projektu rozporządzenia na adres poczty elektronicznej naszej Izby w terminie do 8 lipca 2019 roku. Prace będą prowadzone w ramach Sekcji Operatorów Telekomunikacyjnych (SOT) działającej w naszej Izbie.