Operator usługi kluczowej ma obowiązki, z których powinien wywiązać się w ustawowo określonych terminach.
3 miesiące
W terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej operator ma obowiązek:
| Obowiązek | Przepis | Kara |
| szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem | art. 8 pkt 1 | Tak |
| zarządzanie incydentami | art. 8 pkt 4 | |
| wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa | art. 9 ust. 1 pkt 1 | |
| zapewnia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej | art. 9 ust. 1 pkt 2 | |
| Przekazuje organowi właściwemu do spraw cyberbezpieczeństwa dane, o których mowa w art. 7 ust. 2 pkt 8 i 9, nie później niż w terminie 3 miesięcy od zmiany tych danych | art. 9 ust. 1 pkt 3 | |
| Przekazuje do organu właściwego do spraw cyberbezpieczeństwa, właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa dane osoby, o której mowa w ust. 1 pkt 1, zawierające imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, a także informacje o zmianie tych danych | art. 9 ust. 2 | |
| Zapewnia obsługę incydentu | art. 11 ust. 1 pkt 1 | |
| Zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań | art. 11 ust. 1 pkt 2 | |
| klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny | art. 11 ust. 1 pkt 3 | |
| zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV | art. 11 ust. 1 pkt 4 | Tak |
| współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe | art. 11 ust. 1 pkt 5 | Tak |
| usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa | art. 11 ust. 1 pkt 6 | |
| powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa | art. 14 ust. 1 | Tak |
6 miesięcy
W terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej operator ma obowiązek:
| Obowiązek | Przepis | Kara |
| wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego | art. 8 pkt 2 lit. a | Tak |
| wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu | art. 8 pkt 2 lit. b | Tak |
| wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej | art. 8 pkt 2 lit. c | Tak |
| wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji | art. 8 pkt 2 lit. d | Tak |
| wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym | art. 8 pkt 2 lit. e | Tak |
| zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej | art. 8 pkt 3 | |
| stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym | art. 8 pkt 5 lit. a | Tak |
| stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym dbałość o aktualizację oprogramowania | art. 8 pkt 5 lit. b | Tak |
| stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym | art. 8 pkt 5 lit. c | Tak |
| stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa | art. 8 pkt 5 lit. d | Tak |
| stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa | art. 8 pkt 6 | |
| Opracowuje, stosuje i aktualizuje dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej | art. 10 ust. 1 | Tak |
| Ustanowienia nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej | art. 10 ust. 2 |
12 miesięcy
W terminie 12 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej operator ma obowiązek:
| Obowiązek | Przepis | Kara |
| Przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej | art. 15 ust. 1 | Tak |
14 dni od dnia jej wyznaczenia; 14 dni od dnia ich zmiany
W terminie 14 dni od dnia jej wyznaczenia lub 14 dni od dnia ich zmiany operator usługi kluczowej ma obowiązek:
| Obowiązek | Przepis | Kara |
| Przekazuje do organu właściwego do spraw cyberbezpieczeństwa, właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa dane osoby, o której mowa w ust. 1 pkt 1, zawierające imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, a także informacje o zmianie tych danych | art. 9 ust. 2 | Tak |
| Przekazuje do organu właściwego do spraw cyberbezpieczeństwa, właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa dane osoby, o której mowa w art. 21, obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, a także informacje o zmianie tych danych | art. 22 ust. 1 pkt 5 |
14 dni od dnia zawarcia lub rozwiązania umowy
W terminie 14 dni od dnia zawarcia lub rozwiązania umowy operator usługi kluczowej ma obowiązek:
| Obowiązek | Przepis | Kara |
| Informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy | art. 14 ust. 3 |
co najmniej raz na 2 lata
Co najmniej raz na 2 lata operator usługi kluczowej ma obowiązek:
| Obowiązek | Przepis | Kara |
| Przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej | art. 15 ust. 1 | Tak |
nie później niż w ciągu 24 godzin od momentu wykrycia
Nie później niż w ciągu 24 godzin od momentu wykrycia operator usługi kluczowej ma obowiązek:
| Obowiązek | Przepis | Kara |
| zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV | art. 11 ust. 1 pkt 4 | Tak |
| zgłasza incydent w podmiocie publicznym niezwłocznie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV | art. 22 ust. 1 pkt 2 |
systematyczne
Operator usługi kluczowej ma obowiązek systematyczne:
| Obowiązek | Przepis | Kara |
| szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem | art. 8 pkt 1 | Tak |
określone w wezwaniu
Operator usługi kluczowej ma obowiązek w terminie określonym w wezwaniu:
| Obowiązek | Przepis | Kara |
| Usuwanie podatności | art. 32 ust. 2 | Tak |
określone w zaleceniach
Operator usługi kluczowej ma obowiązek w terminie określonym w zaleceniach:
| Obowiązek | Przepis | Kara |
| Wykonanie zaleceń pokontrolnych | art. 59 ust. 1 | Tak |
