Ustawa o krajowym systemie cyberbezpieczeństwa a podmioty medyczne

Obowiązki operatorów usługi kluczowej

Wiedząc już, czy znajdujemy się w gronie podmiotów, które mają dużą szansę otrzymania odpowiedniej decyzji ministra zdrowia (jako właściwego w tym sektorze), wracamy do ustawy, aby sprawdzić, jakie warunki musi spełnić podmiot, który został zakwalifikowany jako dostawca usługi kluczowej. W tym celu należy się zapoznać z treścią rozdziału 3. Obowiązki operatorów usługi kluczowej, gdzie wśród bardzo licznych wymagań (zainteresowanych odsyłam do szczegółowego zapoznania się z treścią ustawy) oprócz oczywistych i wynikających z tzw. „dobrych praktyk” zarządzania systemem informatycznym znajdujemy:

Art. 8 p. 2 pp. e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
Art. 8 p. 3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
Art. 9. 1. Operator usługi kluczowej:
1) wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
2) zapewnia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej;
Art. 10. 1. Operator usługi kluczowej opracowuje, stosuje i aktualizuje dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Art. 11. 1. Operator usługi kluczowej:
1) zapewnia obsługę incydentu;
2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;
4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
oraz, co bardzo istotne: [...]

Ten materiał dostępny jest dla Subskrybentów.

Wybierz pakiet subskrypcji dla siebie i ciesz się dostępem do bazy merytorycznej wiedzy!

Wybierz subskrypcję

Masz aktywną Subskrypcję?

Zaloguj się

Nie masz jeszcze konta w serwisie? Dołącz do nas