Prezes Rady Ministrów podpisał rozporządzenie określające szczegółowe wymogi dla dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Nowe rozporządzenie wskazuje rodzaje i zawartość dokumentacji, którą zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, powinien posiadać każdy operator usługi kluczowej. Rozporządzenie wskazuje dwa główne rodzaje dokumentacji: normatywną i operacyjną.
Dokumentację normatywną stanowi dokumentacja przede wszystkim dotycząca:
- systemu zarządzania bezpieczeństwem informacji,
- ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa,
- systemu zarządzania ciągłością działania usługi kluczowej,
- systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Warto wskazać, że powyższe elementy, mimo iż wynikają z obecnych norm i standardów (takich jak PN-EN ISO/IEC 27001 czy też PN-EN ISO 22301), to nie wymagają certyfikacji na zgodność z odpowiednimi normami. Każdy operator może zapewnić zgodność z ww. standardami we własnym zakresie.
Z punktu widzenia ustawy istotna jest tylko dokumentacja dotycząca usługi kluczowej. O ile dobrą praktyką jest dokumentacja bezpieczeństwa całej działalności przedsiębiorcy, o tyle nie jest ona obowiązkowa.
Operator usługi kluczowej, który jest jednocześnie operatorem infrastruktury krytycznej, nie musi tworzyć odrębnej dokumentacji na podstawie projektowanego rozporządzenia.
Dokumentacja operacyjna reguluje procedury, instrukcje i czynności wynikające z dokumentacji normatywnej. Nowe rozporządzenie jest dostępne w Dzienniku Ustaw.
Źródło: www.gov.pl
