W Dz.U. z 17 września 2018 r. pod poz. 1780 opublikowano Rozporządzenie Ministra Cyfryzacji z 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (dalej: rozporządzenie).

Z rozporządzenia wynika, że podmiot świadczący usługi z zakresu cyberbezpieczeństwa w zakresie warunków organizacyjnych ma obowiązek:

  • posiadać system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001 i utrzymywać jego aktualność;
  • zapewnić ciągłość działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301;
  • posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF);
  • zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej;
  • dysponować personelem posiadającym umiejętności i doświadczenie w zakresie identyfikowania zagrożeń w odniesieniu do systemów informacyjnych, analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej, a także zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania.

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo mają obowiązek dysponować prawem do wyłącznego korzystania z pomieszczeń, które wyposażone są w zabezpieczenia techniczne adekwatne do przeprowadzonego szacowania ryzyka, w tym w co najmniej takie, jak wymienione w § 2 rozporządzenia.

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo w zakresie spełnienia warunków technicznych dysponują:

  • sprzętem komputerowym oraz specjalizowanymi narzędziami informatycznymi umożliwiającymi: automatyczne rejestrowanie zgłoszeń incydentów, analizę kodu oprogramowania uznanego za szkodliwe, badanie odporności systemów informacyjnych na przełamanie zabezpieczeń, zabezpieczanie śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania;
  • środkami łączności umożliwiającymi wymianę informacji z podmiotami, dla których świadczą usługi, oraz właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego działającym na poziomie krajowym.

Rozporządzenie obowiązuje od 7 września 2018 r.

Z kolei w Dz.U. z 12 października 2018 r. pod poz. 1952 opublikowano Rozporządzenie Rady Ministrów z 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa.

Chodzi tu o kolegium działające przy Radzie Ministrów jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa oraz działalności m.in. sektorowych zespołów cyberbezpieczeństwa i organów właściwych do spraw cyberbezpieczeństwa.

Kolegium rozpatruje sprawy na posiedzeniach, w terminach określonych w planie jego pracy, chociaż przewodniczący kolegium może zwołać jego posiedzenie w innym terminie niż określony w planie pracy. Z każdego posiedzenia sporządza się protokół oraz pełny zapis jego przebiegu. Kolegium wyraża swoje stanowisko w formie rekomendacji lub opinii.

Rozporządzenie obowiązuje od 13 października 2018 r.