25 października 2019 00:00

Elektrociepłownia BĘDZIN Sp. z o.o. jako operator usługi kluczowej w Krajowym Systemie Cyberbezpieczeństwa

Informacja dla użytkowników usługi kluczowej świadczonej przez Elektrociepłownię BĘDZIN Sp. z o.o.
„Produkcja ciepła”

W dniu 12 sierpnia 2019 roku Ministerstwa Energii wydało decyzję Nr DZK/DU/2019/55 o uznaniu Elektrociepłowni Będzin Sp. z o.o. (zwanej dalej Spółką) za operatora usługi kluczowej w zakresie wytwarzania ciepła.
Decyzja ta została wydana na podstawie zapisów Ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. (zwanej dalej Ustawą o KSC)
Tym samym Spółka została zobowiązana do wdrożenia zasad wynikających z Ustawy oraz związanych z nią Rozporządzeń.
Zgodnie z art. 8. Ustawy o KSC operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:

1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
3. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4. zarządzanie incydentami;
5. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
6. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

Zgodnie z Art. 16. Ustawy o KSC operator usługi kluczowej realizuje obowiązki zgodnie z harmonogramem:

1. w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej:
- prowadzi systematyczne szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem;
- zarządzanie incydentami;
- wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa - zrealizowano;
- powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
- zapewnia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej;
- zapewnia obsługę incydentu;
- zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
- klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;
- zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
- współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
- usuwa podatności oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.
2. w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej zobligowany jest do:
- wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych
i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
- zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
- stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa
3. w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, operator usługi kluczowej

- ma obowiązek zapewnić przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyt ten należy powtarzać co najmniej raz na 2 lata.

Będzin 25.10.2019