Obowiązki i procedura Operatora usług kluczowych

w ciągu 3 miesięcy

Powołanie wewnętrznych struktur odpowiedzialnych za obszar cyberbezpieczeństwa lub podpisanie umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi związane z cyberbezpieczeństwem 

Wyznaczenie osoby odpowiedzialnej za kontakt z podmiotami krajowego systemu cyberbezpieczeństwa 

Wdrożenie systemu szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem 

Wdrożenie procesu oraz narzędzi IT umożliwiających wykrywanie, zarządzanie i zgłaszanie incydentów do odpowiednich organów 

Zapewnienie działań edukacyjnych w zakresie zagrożeń i stosowania sposobów zabezpieczeń w zakresie usług kluczowych dla ich użytkowników 

w ciągu 6 miesięcy

wdrożenie adekwatnych zabezpieczeń technicznych, fizycznych, organizacyjnych i proceduralnych do oszacowanego ryzyka wystąpienia incydentu z uwzględnieniem aktualnego stanu wiedzy oraz narzędzi IT umożliwiających szybkie wykrywanie zagrożeń i podatności 

w ciągu 12 miesięcy

przeprowadzenie pierwszego audytu bezpieczeństwa