Obowiązki podmiotów publicznych:



1.    Wyznaczenie osoby do kontaktu:
 
Podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
 
Organ administracji publicznej ma obowiązek wyznaczyć jedną osobę kontaktową w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe lub przez niego nadzorowane.
 
Jednostka samorządu terytorialnego może wyznaczyć jedną osobę kontaktową w zakresie zadań publicznych zależnych od systemów informacyjnych realizowanych przez jej jednostki organizacyjne. Dane osoby kontaktowej należy przekazać do właściwego CSIRT (dla samorządów będzie to CSIRT NASK)
 
Zgłoszenie osoby kontaktowej należy złożyć w terminie 14 dni od daty wyznaczenia osoby. Wszystkie zmiany również należy przekazać w terminie 14 dni.
 
2.    Zarządzanie incydentem
 
Podmiot publiczny, który realizuje zadanie publiczne zależne od systemu informacyjnego, ma obowiązek zapewnić zarządzanie incydentem w podmiocie publicznym.:
a)    Zgłoszenie incydentu Incydent powinien zostać zgłoszony niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia do właściwego CSIRT. Zgłoszenie przekazywane jest w postaci elektronicznej, poprzez uzupełnienie formularza internetowego znajdującego się na stronie: https://incydent.cert.pl.
Zgłoszenie zawiera:
·dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;
·imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;
·imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
·opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne (wskazanie zadania publicznego, na które incydent miał wpływ, liczbę osób, na które incydent miał wpływ, moment wystąpienia i wykrycia incydentu oraz czas jego trwania, zasięg geograficzny obszaru, którego dotyczy incydent, przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego;
·informacje o przyczynie i źródle incydentu;
·informacje o podjętych działaniach zapobiegawczych;
·informacje o podjętych działaniach naprawczych;
·inne istotne informacje. W momencie zgłoszenia podmiot podaje znane sobie informacje, które mogą być uzupełniane w trakcie obsługi incydentu.
 
3.    Obowiązek informacyjny
 
Obsługa incydentu wiąże się również z obowiązkiem przekazania informacji osobom, na rzecz których realizuje się zadanie publiczne. Osoby mają prawo dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami.
 
Obowiązek informacyjny może zostać spełniony poprzez publikacje stosownego komunikatu na stronie internetowej.