I. Obowiązki o charakterze OPERACYJNYM

 1. Zarządzanie bezpieczeństwem informacji

- wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi (art. 8 ust. 1);

- systematyczne szacowanie ryzyka wystąpienia incydentu i zarządzanie tym ryzykiem (art. 8 ust. 1 pkt 1);

- wdrożenie proporcjonalnych do ryzyka środków technicznych i organizacyjnych, m.in.: bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo zasobów ludzkich, bezpieczeństwo i ciągłość łańcucha dostaw ICT, ciągłe monitorowanie systemu, edukacja personelu z cyberbezpieczeństwa, zasady cyberhigieny, kryptografia i szyfrowanie, uwierzytelnianie wieloskładnikowe, zarządzanie aktywami, kontrola dostępu (art. 8 ust. 1 pkt 2);

- uwzględnienie w ocenie łańcucha dostaw podatności i jakości produktów dostawców oraz wyników skoordynowanych ocen bezpieczeństwa UE (art. 8 ust. 2);

- zbieranie informacji o cyberzagrożeniach i podatnościach systemu wykorzystywanego do świadczenia usługi (art. 8 ust. 1 pkt 3);

- stosowanie środków zapobiegających i ograniczających wpływ incydentów (aktualizacje oprogramowania, ochrona przed nieuprawnioną modyfikacją, niezwłoczna reakcja na podatności, w tym czasowe ograniczanie ruchu sieciowego - art. 8 ust. 1 pkt 5);

- stosowanie środków zarządzania ryzykiem określonych w aktach wykonawczych Komisji Europejskiej (dla wskazanych w ustawie dostawców usług cyfrowych — rozporządzenie wykonawcze 2024/2690) - art. 8b);

Uwaga: podmiot ważny będący podmiotem publicznym nie stosuje art. 8 ust. 1 — wdraża SZBI zgodny z wymogami załącznika nr 4 do ustawy (art. 8 ust. 3).

 2. Organizacja i zasoby

- powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo albo zawarcie umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa  (art. 14);

- wyznaczenie co najmniej dwóch osób  odpowiedzialnych za utrzymywanie kontaktów z podmiotami KSC (mikro- i mały przedsiębiorca oraz podmiot ważny publiczny — co najmniej jedna osoba) - art. 9 ust. 1 pkt 1, ust. 2–3;

- rozpoczęcie korzystania z systemu teleinformatycznego (S46) po wpisie do wykazu (art. 9 ust. 1 pkt 4);

- odpowiedzialność kierownika podmiotu za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (także przy powierzeniu obowiązków innej osobie) - art. 8c;

- kierownik: podejmowanie decyzji ws. SZBI, planowanie środków finansowych, przydzielanie i nadzór zadań, zapewnienie świadomości personelu i zgodności z prawem (art. 8d);

- coroczne szkolenie kierownika podmiotu (oraz osoby, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa)  - art. 8e ust. 1–2;

- weryfikacja niekaralności (KRK) osób realizujących zadania z art. 8 i art. 11 przed dopuszczeniem do zadań; ponowna weryfikacja przy podejrzeniu skazania  (art. 8f ust. 1–2).

 3. Obsługa i zgłaszanie incydentów

- zapewnienie obsługi incydentu (art. 11 ust. 1 pkt 1);

- zapewnienie właściwemu CSIRT dostępu do informacji o rejestrowanych incydentach (art. 11 ust. 1 pkt 2);

- klasyfikacja incydentu jako poważnego na podstawie progów (art. 11 ust. 1 pkt 3);

- wczesne ostrzeżenie o incydencie poważnym do CSIRT sektorowego — niezwłocznie, max  24 h  od wykrycia (art. 11 ust. 1 pkt 4);

- zgłoszenie incydentu poważnego do CSIRT sektorowego — niezwłocznie, max  72 h od wykrycia (art. 11 ust. 1 pkt 4a);

- współdziałanie z właściwym CSIRT podczas obsługi incydentu poważnego i krytycznego, przekazywanie niezbędnych danych (art. 11 ust. 1 pkt 5);

- usuwanie podatności wskazanych w wezwaniu organu (na wniosek CSIRT) i informowanie organu o ich usunięciu (art. 11 ust. 1 pkt 6 w zw. z art. 32 ust. 2);

- udostępnianie CSIRT, na wniosek, informacji technicznych związanych z incydentem (art. 32 ust. 3);

- informowanie użytkowników usług o poważnym cyberzagrożeniu i możliwych środkach zapobiegawczych (art. 11 ust. 2a);

- informowanie użytkowników o incydencie poważnym mającym niekorzystny wpływ na świadczenie usług (art. 11 ust. 2b);

Uwaga: podmiot ważny będący podmiotem publicznym nie przekazuje wczesnego ostrzeżenia ani sprawozdań (okresowego, z postępu, końcowego) - art. 12c.

 4. Obowiązki wobec użytkowników usług

- zapewnienie użytkownikom dostępu do wiedzy o cyberzagrożeniach i sposobach zabezpieczania się (np. na stronie internetowej lub przez hiperłącze do stron CSIRT/organu) - art. 9 ust. 1 pkt 2, ust. 4;

- zapewnienie użytkownikom możliwości zgłoszenia cyberzagrożenia, incydentu lub podatności (art. 9 ust. 1 pkt 3)

 5. Obowiązki związane z nadzorem i dostawcą wysokiego ryzyka

- przeprowadzenie zewnętrznego audytu bezpieczeństwa na nakaz organu (decyzja wydawana wobec podmiotu ważnego w przypadku incydentu poważnego lub naruszenia ustawy; podlega natychmiastowemu wykonaniu) — podmiot ważny nie ma obowiązku cyklicznego audytu co 3 lata (dotyczy on podmiotów kluczowych)  - art. 15 ust. 1b–1c;

- umożliwienie przeprowadzenia kontroli: zapewnienie warunków, przedstawianie dokumentów, udzielanie wyjaśnień, udostępnianie urządzeń, sporządzanie kopii (art. 56);

- niewprowadzanie do użytkowania produktów, usług i procesów ICT objętych decyzją o uznaniu dostawcy za  dostawcę wysokiego ryzyka (art. 67c ust. 1 pkt 1);

- wycofanie z użytkowania produktów, usług i procesów ICT dostawcy wysokiego ryzyka — max.  7 lat od ogłoszenia decyzji (art. 67c ust. 1 pkt 2);

- stosowanie się do polecenia zabezpieczającego  (art. 67g)

II. Obowiązki o charakterze DOKUMENTACYJNYM (rejestracyjne, sprawozdawcze i informacyjne)

 1. Rejestracja w wykazie podmiotów kluczowych i ważnych

- złożenie wniosku o wpis do wykazu — w ciągu 6 miesięcy od spełnienia przesłanek uznania za podmiot ważny (elektronicznie, z oświadczeniem kierownika pod rygorem odpowiedzialności karnej)  - art. 7c ust. 1, 5–6;

- złożenie  wniosku o zmianę wpisu — w ciągu 14 dni od zmiany danych (art. 7c ust. 3);

- uzupełnienie danych w wykazie na wezwanie ministra — w ciągu 6 miesięcy, pod rygorem kary pieniężnej (podmioty wpisane z urzędu)  - art. 7b ust. 2 i 4;

- złożenie  wniosku o wykreślenie z wykazu po ustaniu przesłanek uznania za podmiot ważny (z uzasadnieniem) - art. 7f ust. 3.

2. Dokumentacja bezpieczeństwa systemu informacyjnego (art. 10)

- opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego  (art. 10 ust. 1);

- prowadzenie dokumentacji normatywnej: dokumentacja SZBI; dokumentacja ochrony infrastruktury (charakterystyka usługi, ocena stanu ochrony, szacowanie ryzyka, plan postępowania z ryzykiem, opis zabezpieczeń technicznych, zasady ochrony fizycznej); dokumentacja zarządzania ciągłością działania; dokumentacja techniczna systemu; dokumentacja sektorowa (art. 10 ust. 2 pkt 1, ust. 3);

- prowadzenie dokumentacji operacyjnej — zapisy poświadczające wykonywanie czynności wymaganych dokumentacją normatywną, w tym dzienniki (logi) systemów (art. 10 ust. 2 pkt 2, ust. 4);

- ustanowienie nadzoru nad dokumentacją: dostęp tylko dla upoważnionych, ochrona przed uszkodzeniem/utratą/nieuprawnionym dostępem, wersjonowanie dokumentów (art. 10 ust. 6);

- przechowywanie dokumentacji co najmniej 2 lata od wycofania z użytkowania lub zakończenia świadczenia usługi  (art. 10 ust. 7);

- potwierdzanie zniszczenia wycofanej dokumentacji protokołem brakowania; trwałe przechowywanie protokołów  (art. 10 ust. 8);

- dokumentowanie, testowanie i utrzymywanie planów ciągłości działania, planów awaryjnych i planów odtworzenia działalności (art. 8 ust. 1 pkt 2 lit. f);

- udokumentowanie udziału kierownika w corocznym szkoleniu (art. 8e ust. 3).

 3. Sprawozdawczość incydentowa

- sporządzenie i przekazanie sprawozdania okresowego z obsługi incydentu poważnego — na wniosek CSIRT sektorowego  (art. 11 ust. 1 pkt 4b);

- sporządzenie i przekazanie sprawozdania końcowego z obsługi incydentu poważnego — max 1 miesiąc od zgłoszenia (zawartość: opis incydentu, zakłócenia i szkody, rodzaj zagrożenia/przyczyna, zastosowane środki, skutki transgraniczne) - art. 11 ust. 1 pkt 4c, art. 12a;

- przekazanie sprawozdania z postępu obsługi, gdy obsługa incydentu nie zakończyła się w terminie sprawozdania końcowego, a następnie sprawozdania końcowego w ciągu miesiąca od zakończenia obsługi (art. 12b);

- uzupełnianie informacji we wczesnym ostrzeżeniu/zgłoszeniu na wezwanie CSIRT; oznaczanie tajemnic prawnie chronionych (art. 12 ust. 5–8);

- przekazywanie wczesnych ostrzeżeń, zgłoszeń i sprawozdań za pomocą systemu teleinformatycznego (S46) -art. 11 ust. 2.

 4. Obowiązki informacyjne wobec organów

- przekazywanie na żądanie organu właściwego danych, informacji i dokumentów niezbędnych do nadzoru i kontroli (art. 53c ust. 1);

- przekazanie kopii raportu z audytu (nakazanego decyzją) w terminie określonym w decyzji organu; przekazanie kopii raportu na wniosek dyrektora RCB (gdy podmiot jest operatorem infrastruktury krytycznej) lub Szefa ABW (art. 15 ust. 1b, ust. 7);

- przekazanie na wniosek organu informacji o wycofywanych produktach, usługach i procesach ICT objętych decyzją o dostawcy wysokiego ryzyka (art. 67d ust. 1);

- informowanie organu o usunięciu podatności wskazanych w wezwaniu (art. 11 ust. 1 pkt 6).

III. Uwagi dodatkowe

  - fakultatywnie podmiot ważny może przekazywać do CSIRT informacje o innych incydentach, cyberzagrożeniach, podatnościach, wynikach szacowania ryzyka i wykorzystywanych technologiach (art. 13) oraz uczestniczyć w wymianie informacji o cyberzagrożeniach (art. 8h) — są to uprawnienia, nie obowiązki;

- łagodniejszy reżim nadzoru niż dla podmiotu kluczowego: nadzór nad podmiotem ważnym ma charakter następczy (ex post) — organ stosuje wobec niego ograniczony katalog środków nadzorczych (art. 53 ust. 17); brak obowiązku cyklicznego audytu co 3 lata;

- sektor bankowości i infrastruktury rynków finansowych: istotne wyłączenia — nie stosuje się większości przepisów o SZBI i zgłaszaniu incydentów (pierwszeństwo rozporządzenia DORA 2022/2554) — art. 8i;

- sankcje: niewykonywanie obowiązków zagrożone jest karami pieniężnymi (rozdział 14); kara może być nałożona także na kierownika podmiotu;

- szczegółowe wymagania SZBI dla danego rodzaju działalności może określić Rada Ministrów w rozporządzeniu (art. 8a).