logo

25 października 2019

Elektrociepłownia BĘDZIN Sp. z o.o. jako operator usługi kluczowej w Krajowym Systemie Cyberbezpieczeństwa

Informacja dla użytkowników usługi kluczowej świadczonej przez Elektrociepłownię BĘDZIN Sp. z o.o.
„Produkcja ciepła”

W dniu 12 sierpnia 2019 roku Ministerstwa Energii wydało decyzję Nr DZK/DU/2019/55 o uznaniu Elektrociepłowni Będzin Sp. z o.o. (zwanej dalej Spółką) za operatora usługi kluczowej w zakresie wytwarzania ciepła.
Decyzja ta została wydana na podstawie zapisów Ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. (zwanej dalej Ustawą o KSC)
Tym samym Spółka została zobowiązana do wdrożenia zasad wynikających z Ustawy oraz związanych z nią Rozporządzeń.
Zgodnie z art. 8. Ustawy o KSC operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:

  1. 1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
  2. 2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
    d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
    e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
  3. 3. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  4. 4. zarządzanie incydentami;
  5. 5. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
    a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
    b) dbałość o aktualizację oprogramowania,
    c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
    d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
  6. 6. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

 

Zgodnie z Art. 16. Ustawy o KSC operator usługi kluczowej realizuje obowiązki zgodnie z harmonogramem:

  1. 1. w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej:
    - prowadzi systematyczne szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem;
    - zarządzanie incydentami;
    - wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa - zrealizowano;
    - powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
    - zapewnia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej;
    - zapewnia obsługę incydentu;
    - zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
    - klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;
    - zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
    - współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
    - usuwa podatności oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.
  2. 2. w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej zobligowany jest do:
    - wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych
    i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
    d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
    e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
    - zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
    - stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
    a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
    b) dbałość o aktualizację oprogramowania,
    c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
    d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
    - stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa
  3. 3. w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, operator usługi kluczowej

- ma obowiązek zapewnić przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt ten należy powtarzać co najmniej raz na 2 lata.


Będzin 25.10.2019