Operator usługi kluczowej

Zespół Opieki Zdrowotnej w Wągrowcu został  uznany za Operatora Usługi Kluczowej (OUK). Ustawa z dnia 5 lipca 2018 o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369) określa, że operatorem usług kluczowych, są firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Kluczowe sektory gospodarki to: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej.

Operatorem usługi kluczowej jest podmiot, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy (Minister odpowiedzialny za dany dział administracji rządowej) wydał decyzję o uznaniu za OUK.

Organ właściwy wydaje decyzję o uznaniu podmiotu za OUK, jeżeli:

  • podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, zwaną dalej „usługą kluczową”, wymienioną w wykazie usług kluczowych;
  • świadczenie tej usługi kluczowej zależy od systemów informacyjnych;
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

 

Rada Ministrów określiła, w drodze rozporządzenia z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. poz. 1806):

  • wykaz usług kluczowych, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej;
  • progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych zawartych w wykazie usług kluczowych.

Operatorzy usług kluczowych – obowiązki
Na operatorów usług kluczowych nałożone zostały szczególne obowiązki, do najważniejszych z nich należą:

  • zarządzanie ryzykiem (w tym szacowanie ryzyka);
  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania);
  • zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
  • zgłaszanie incydentu poważnego do właściwego zespołu CSIRT;
  • obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT;
  • wyznaczenie osoby kontaktowej na potrzeby krajowego systemu cyberbezpieczeństwa.