Informacja na stronę
Drogi Użytkowniku,

Administratorem Twoich danych osobowych jest Agencja Rynku Energii S.A z siedzibą przy ul. Bobrowieckiej 3, 00-728 Warszawa, KRS: 0000021306, NIP: 5261757578, REGON: 012435148. W ramach odwiedzania naszych serwisów internetowych możemy przetwarzać Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane dodatkowo jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO). Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszego serwisu, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta lub rejestracji do newslettera. Przetwarzamy dane, które podajesz, pozostawiasz lub do których możemy uzyskać dostęp w ramach korzystania z Usług.

Informacje dotyczące Administratora Twoich danych osobowych a także cele i podstawy przetwarzania oraz inne niezbędne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod wskazanym linkiem (tym linkiem). Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do odwołania zgody oraz prawo sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Prawo do wniesienia sprzeciwu wobec przetwarzania danych z przyczyn związanych z Twoją szczególną sytuacją, po skutecznym wniesieniu prawa do sprzeciwu Twoje dane nie będą przetwarzane o ile nie będzie istnieć ważna prawnie uzasadniona podstawa do przetwarzania, nadrzędna wobec Twoich interesów, praw i wolności lub podstawa do ustalenia, dochodzenia lub obrony roszczeń. Twoje dane nie będą przetwarzane w celu marketingu własnego po zgłoszeniu sprzeciwu. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia na adres Inspektora Ochrony Danych Osobowych pod adres iod@are.waw.pl. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

W dowolnym czasie możesz określić warunki przechowywania i dostępu do plików cookies w ustawieniach przeglądarki internetowej.

Jeśli zgadzasz się na wykorzystanie technologii plików cookies wystarczy kliknąć poniższy przycisk „Przejdź do serwisu”.

Zarząd Agencji Rynku Energii S.A Wydawca portalu CIRE.pl
Przejdź do serwisu
2018-09-04 00:00
drukuj
skomentuj
udostępnij:
Ustawa o krajowym systemie cyberbezpieczeństwa - co oznacza dla energetyki?

Ustawa o krajowym systemie cyberbezpieczeństwa - co oznacza dla energetyki?

28 sierpnia weszła w życie ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa ("Ustawa"). Ustawa definiuje organizacje krajowego systemu cyberbezpieczeństwa, zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie jej stosowania oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Regulacje Ustawy są także ważne z punktu widzenia podmiotów działających w sektorze energetycznym.

Ustawa ma za zadanie implementować postanowienia Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii ("Dyrektywa NIS"), która została uchwalona 6 lipca 2016 roku. Podsumowując główne założenia Dyrektywy NIS należy przede wszystkim wskazać, że znalazły się w niej przepisy zobowiązujące państwa członkowskie do przyjęcia krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych, jak również przepisy zobowiązujące do wyznaczenia organów odpowiedzialnych za realizację celów w zakresie cyberbezpieczeństwa. Dyrektywa NIS określiła ponadto wymogi dotyczące bezpieczeństwa oraz zgłaszania incydentów, czyli zdarzeń mających niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych. Została także utworzona tzw. grupa współpracy składająca się z przedstawicieli państw członkowskich, komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ENISA oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT-y). Choć implementacji Dyrektywy NIS do porządku krajowego należało dokonać do dnia 9 maja 2018 roku, w Polsce transponowano ją z małym poślizgiem - proces ten zakończył się podpisaniem przez Prezydenta Ustawy dnia 5 lipca 2018 roku.

Z punktu widzenia energetyki najważniejsze znaczenie mają regulacje dotyczące podmiotów, jakimi są operatorzy usług kluczowych. W świetle Ustawy operatorem usługi kluczowej, czyli usługi mającej podstawowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej są w szczególności przedsiębiorstwa z sektora energii, ciepła, ropy naftowej i gazu, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania (bądź wydobycia), przesyłania, dystrybucji, obrotu lub magazynowania odpowiednio kopalin, energii elektrycznej, ciepła, ropy naftowej lub gazu. Organy właściwe do spraw cyberbezpieczeństwa mają czas do 9 listopada 2018 roku, żeby wydać stosowne decyzje o uznaniu danego przedsiębiorstwa za operatora usługi kluczowej, a następnie powiadomić o tym Ministra Cyfryzacji, który prowadzi wykaz takich podmiotów. Podkreślenia wymaga, że decyzja ta będzie podlegać natychmiastowemu wykonaniu, niezależnie od ewentualnej drogi odwoławczej. W związku z tym, że implementacja Dyrektywy NIS ma służyć także zbudowaniu ogólnoeuropejskiego systemu zapewniającego bezpieczeństwo krajów członkowskich w cyberprzestrzeni, w przypadku podmiotów świadczących usługę kluczową także w innych państwach UE, Minister Cyfryzacji będzie prowadził także odpowiednie konsultacje międzynarodowe.

Konieczność dostosowania organizacji wewnętrznej operatora usługi kluczowej oraz procesów obowiązujących w jego przedsiębiorstwie do wymogów Ustawy może oznaczać dla niektórych podmiotów, które zostaną uznane za takich operatorów, dodatkowe koszty, a nawet dodatkowe inwestycje. Każdy operator usługi kluczowej ma obowiązek wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. W ramach takiego systemu, operatorzy zobowiązani będą między innymi do prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem. System taki winien zostać wdrożony w terminie trzech miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. W przypadku uchybienia temu obowiązkowi, Ustawa przewiduje możliwość nałożenia kary w wysokości 150 tysięcy złotych, a jeżeli uchybienie takie miałoby cechy uporczywości i spełnione zostałyby jeszcze dodatkowe warunki, kara może wzrosnąć nawet do 1 miliona złotych.

Kolejnym obowiązkiem operatora usługi kluczowej, na którego realizację ma 6 miesięcy, jest konieczność wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. I w tym przypadku uchybienie obowiązkowi jest zagrożone karą - tu w wysokości 100 tysięcy złotych. Ustawa wymienia szereg cech, którymi system zarządzania bezpieczeństwem musi się charakteryzować. Wdrożone środki techniczne i organizacyjne muszą bowiem zapewniać utrzymanie i bezpieczną eksploatację systemu, bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, a także wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej, poufność, integralność, dostępność i autentyczność informacji oraz monitorowanie systemu w trybie ciągłym.

Ustawa przewiduje także inne obowiązki dla operatora usługi kluczowej. Należą do nich m.in. wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z innymi podmiotami krajowego systemu cyberbezpieczeństwa, utrzymywanie stosownej dokumentacji oraz powołanie wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z tego zakresu (podmioty takie także wchodzą w skład krajowego systemu cyberbezpieczeństwa). Ponadto, operator usługi kluczowej ma także obowiązek przeprowadzenia przynajmniej raz na dwa lata audytu bezpieczeństwa przez podmiot lub audytorów do tego upoważnionych. Pierwszy taki audyt powinien się odbyć w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zasada ta nie będzie miała zastosowania u operatorów, u których osoby spełniające warunki zdefiniowane w Ustawie dla audytorów, przeprowadziły w danym roku audyt wewnętrzny w zakresie bezpieczeństwa informacji na podstawie ustawy z 17 lutego 2015 roku o informatyzacji podmiotów realizujących zadania publiczne. W końcu, dostawcy usług kluczowych zobowiązani są także do obsługi incydentów, ich klasyfikacji oraz zgłaszania ich do właściwego CSIRT. Dotyczy to incydentów poważnych, czyli takich które powodują lub mogą powodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej.

Niewątpliwie samo uchwalenie Ustawy jest olbrzymim krokiem naprzód, ponieważ daje szanse na systematyczne i kompleksowe zaadresowanie problemu stanowiącego jedno z głównych wyzwań cyfryzacji życia prywatnego i publicznego. Cyberprzestępczość to nie tylko intratny biznes. Wykorzystywanie złośliwego oprogramowania służyć może także m.in. jako narzędzie wspomagające lub zastępujące działania militarne czy narzędzie do szpiegostwa przemysłowego. Cyberzagrożenia to globalne wyzwanie cywilizacyjne - stąd implementacja Dyrektywy NIS jest kluczowa dla systemu ochrony polskich obywateli, jednostek administracji państwowych i samorządowych, a także przedsiębiorstw w tym przedsiębiorstw energetycznych.
Artykuł powstał bez wsparcia narzędzi sztucznej inteligencji. Wydawca portalu CIRE zgadza się na włączenie publikacji do szkoleń treningowych LLM.
KOMENTARZE
Bądź na bieżąco
Podając adres e-mail wyrażają Państwo zgodę na otrzymywanie treści marketingowych w postaci newslettera pocztą elektroniczną od Agencji Rynku Energii S.A z siedzibą w Warszawie.
ZAPISZ SIĘ DO NEWSLETTERA
altaltalt
Więcej informacji dotyczących przetwarzania przez nas Państwa danych osobowych, w tym informacje o przysługujących Państwu prawach, znajduje się w polityce prywatności.
©2002-2021 - 2025 - CIRE.PL - CENTRUM INFORMACJI O RYNKU ENERGII

Niniejsza strona korzysta z plików cookie

Wykorzystujemy pliki cookie do spersonalizowania treści i reklam, aby oferować funkcje społecznościowe i analizować ruch w naszej witrynie.

Informacje o tym, jak korzystasz z naszej witryny, udostępniamy partnerom społecznościowym, reklamowym i analitycznym. Partnerzy mogą połączyć te informacje z innymi danymi otrzymanymi od Ciebie lub uzyskanymi podczas korzystania z ich usług.

Korzystanie z plików cookie innych niż systemowe wymaga zgody. Zgoda jest dobrowolna i w każdym momencie możesz ją wycofać poprzez zmianę preferencji plików cookie. Zgodę możesz wyrazić, klikając „Zaakceptuj wszystkie". Jeżeli nie chcesz wyrazić zgód na korzystanie przez administratora i jego zaufanych partnerów z opcjonalnych plików cookie, możesz zdecydować o swoich preferencjach wybierając je poniżej i klikając przycisk „Zapisz ustawienia".

Twoja zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać, zmieniając ustawienia przeglądarki. Wycofanie zgody pozostanie bez wpływu na zgodność z prawem używania plików cookie i podobnych technologii, którego dokonano na podstawie zgody przed jej wycofaniem. Korzystanie z plików cookie ww. celach związane jest z przetwarzaniem Twoich danych osobowych.

Równocześnie informujemy, że Administratorem Państwa danych jest Agencja Rynku Energii S.A., ul. Bobrowiecka 3, 00-728 Warszawa.

Więcej informacji o przetwarzaniu danych osobowych oraz mechanizmie plików cookie znajdą Państwo w Polityce prywatności.