Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

Podobne dokumenty
ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

Dz.U Nr 65 poz z dnia 18 marca 2010 r.

ZARZĄDZANIE KRYZYSOWE PODSTAWOWE POJĘCIA, PODSTAWY PRAWNE

- o zmianie ustawy o zarządzaniu kryzysowym.

31. Organem właściwym w sprawach zarządzania kryzysowego na terenie województwa jest a) wojewoda, b) Marszałek województwa, c) Sejmik województwa.

Infrastruktura Krytyczna Miejskiego Przedsiębiorstwa Wodociągów i Kanalizacji w m. st. Warszawie Spółka Akcyjna

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Rozdział I Postanowienia Ogólne

Test_zarządzanie kryzysowe

POWIATOWY PLAN ZARZĄDZANIA KRYZYSOWEGO

Zarządzenie Nr 44/2013. Burmistrza Słubic. z dnia 6 lutego 2013 r.

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

REGULAMIN POWIATOWEGO CENTRUM ZARZĄDZANIA KRYZYSOWEGO W NOWYM SĄCZU

WSPÓŁPRACA Z JEDNOSTKAMI PUBLICZNYMI

Warszawa, dnia 17 marca 2017 r. Poz. 82

Analiza wybranych aspektów problematyki ochrony infrastruktury krytycznej

REGULAMIN PRACY MIEJSKIEGO ZESPOŁU ZARZĄDZANIA KRYZYSOWEGO MIASTA RADOMIA (MZZK) Rozdział I Postanowienia wstępne

Rozdział I Postanowienia Ogólne

USTAWA z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym

Polityka Ochrony Cyberprzestrzeni RP

ZARZĄDZENIE Nr 99/2014 Starosty Limanowskiego z dnia 30 września 2014 r.

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

REGULAMIN POWIATOWEGO ZESPOŁU ZARZĄDZANIA KRYZYSOWEGO W LUBARTOWIE

Warszawa, dnia 3 lutego 2017 r. Poz. 209

ZARZĄDZANIE KRYZYSOWE

Dr Michał Tanaś(

Zarządzenie Nr 81/2016 Prezydenta Miasta Konina z dnia 1 czerwca 2016 r.

Wpisz Nazwę Spółki. Grupa Lotos S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opracowano na podstawie ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym Zarządzanie kryzysowe

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY

ZARZĄDZENIE Nr 790/PM/2014 PREZYDENTA MIASTA LEGNICY. z dnia 12 grudnia 2014 r.

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Poz. 208 ZARZĄDZENIE NR 72 REKTORA UNIWERSYTETU WARSZAWSKIEGO. z dnia 4 lipca 2018 r.

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Departament Audytu Wewnętrznego i Certyfikacji

Opis systemu kontroli wewnętrznej w mbanku S.A.

REGULAMIN POWIATOWEGO CENTRUM ZARZĄDZANIA KRYZYSOWEGO W RAWICZU

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Kazimierz Kraj. Katedra Bezpieczeństwa Wewnętrznego WSIiZ Rzeszów. Katowice 29 listopada 2013 r.

Wydział Obsługi Infrastruktury Referatu Inwestycji i Obsługi Gospodarczej

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

DZIENNIK URZĘDOWY. Warszawa, dnia 15 lutego 2019 r. Poz. 7. ZARZĄDZENIE Nr 7 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

SPRAWOZDANIE Powiatowego Centrum Zarządzania Kryzysowego za okres r. do r.

DEPARTAMENT INFORMATYKI I TELEKOMUNIKACJI

z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym

REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ. LSI Software S.A.

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Krajowa Sieć Obszarów Wiejskich

Załącznik do uchwały nr 1 Rady Nadzorczej nr VIII/45/17 z dnia 28 czerwca 2017 r. REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ QUMAK SPÓŁKA AKCYJNA

Warszawa, dnia 12 maja 2016 r. Poz. 20

Kwestionariusz samooceny kontroli zarządczej

USTAWA. z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Warszawa, dnia 23 lipca 2018 r. Poz. 1401

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

ZARZĄDZANIE KRYZYSOWE

Dz.U Nr 89 poz z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

Zarządzenie Nr 12 Burmistrza Miasta i Gminy BLACHOWNI z dnia 30 stycznia 2008 roku

SZCZEGÓŁOWY HARMONOGRAM KURSU

FUNDUSZ POŻYCZKOWY DLA KOBIET. Ministerstwo Gospodarki Agencja Rozwoju Przedsiębiorczości. Jelenia Góra, grudzień 2014 r.

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Kontrola zarządcza w procesie funkcjonowania jednostki

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

Warszawa, dnia 13 lutego 2017 r. Poz. 3

Warszawa, dnia 5 maja 2014 r. Poz. 574 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI 1) z dnia 28 kwietnia 2014 r.

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Zarządzanie ciągłością działania w praktyce zarządzanie kryzysowe w sektorze energetycznym

Analiza ryzyka eksploatacji urządzeń ciśnieniowych wdrażanie metodologii RBI w Grupie LOTOS S.A

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

System Zachowania Ciągłości Funkcjonowania Grupy KDPW Polityka SZCF (wyciąg)

Zarządzenie Nr W ojewody Dolnośląskiego z dnia sierpnia 2016 r.

spółek Warmia i Mazury Sp. z o.o. w Szymanach oraz Port Lotniczy Mazury Sp. z o.o. w Szczytnie, a w szczególności:

Oferujemy Państwu usługi audytorskie lub konsultingowe w obszarach:

Założenia i cele utworzenia Forum Inwestycyjnego. Warszawa, styczeń 2013 r.

Wojewódzkie centra. zarządzania kryzysowego.

USTAWA. z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. (tekst jednolity)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

z dnia stycznia 2017 r. w sprawie funkcjonowania systemu płatności

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Warszawa, dnia 13 lipca 2012 r. Poz. 45. ZARZĄDZENIE Nr 45 MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ. z dnia 13 lipca 2012 r.

Założenia do organizacji i funkcjonowania. w województwie. Październik 2008 roku

bezpieczeństwa ruchu drogowego

Ocena stosowania Zasad ładu korporacyjnego dla instytucji nadzorowanych w Domu Maklerskim Navigator S.A. za rok obrotowy 2015

ZARZĄDZENIE 0050/184/11 PREZYDENTA MIASTA TYCHY z dnia 8 września 2011 r. w sprawie powołania i organizacji Miejskiego Zespołu Zarządzania Kryzysowego

Transkrypt:

Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań Dr Roman Marzec Dyrektor ds. Bezpieczeństwa i Kontroli Wewnętrznej; Pełnomocnik ds. Ochrony IK

Podstawa prowadzonych działań Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 2019 poz. 1560) wraz z rozporządzeniami wykonawczymi Zawiadomienie o wszczęciu postępowania w sprawie uznania Grupy LOTOS S.A. za operatora usługi kluczowej: Wytwarzanie paliw ciekłych (z 18.04.2019 r.) Analogiczne zawiadomienia w spółkach GKL

Obowiązki operatora (Spółki): 3 miesiące od otrzymania decyzji: Powołanie wewnętrznych struktur do zarządzania cyberbezpieczeństwem, w tym wyznaczenie punktu kontaktowego (poinformowanie ministerstwa o wyznaczonej osobie w ciągu 14 dni). o W przypadku zawarcia umowy na świadczenie usługi z zakresu cyberbezpieczeństwa poinformowanie ministerstwa w ciągu 14 dni. funkcjonuje Zespół FIB, opracowano koncepcję Security Operations Center Uruchomienie procesu zarządzania incydentami bezpieczeństwa przygotowywana jest procedura korporacyjna zgłaszania incydentów Rozpoczęcie edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa e-learning Cyberbezpieczeństwo dla pracowników GKL, w GL S.A. planowane szkolenia dla kierownictwa/osób zaangażowanych (w ramach doradztwa) Wdrożenie programu systematycznej analizy ryzyka i zarządzania ryzykiem

Obowiązki operatora (Spółki): 6 miesięcy od otrzymania decyzji: Stworzenie formalnej dokumentacji dot. cyberbezpieczeństwa Dokumentację stanowią: 1) dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN- EN ISO/IEC 27001; 2) dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa; 3) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301; 4) dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej; 5) dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze. wniosek o PWK na doradztwo dla GL S.A. Wdrożenie zabezpieczeń proporcjonalnych do oszacowanego ryzyka 12 miesięcy od otrzymania decyzji: Przeprowadzenie audytu bezpieczeństwa (kolejne audyty raz na 2 lata)

Security Operations Center 5

SOC co to takiego?

SOC co to takiego?

Przykładowy Proces zgłaszania i obsługi incydentu w SOC Obsługa incydentu Przekazywanie danych

SOC koncepcja wdrożenia [III] W GL S.A.: - Linia 2 (Dział Reagowania) Min 7 osób /Max 13 osób Ousourcing: - Linia 1 (Dział Monitoringu) - Linia 3 (Dział Usług Zaawansowanych)

10 SOC koncepcja wdrożenia [III] Za: Wysoki poziom kompetencji dostarczany od firmy trzeciej specjalizującej się w dostarczaniu zaawansowanych usług bezpieczeństwa. Utrzymanie kompetencji linii 2 w strukturach organizacji, jako kluczowej kompetencji w sprawnym procesie reakcji na incydenty. Linia 1 po stronie Outsourcera redukuje ryzyko utrzymywania nadmiarowego stanu kadry w celu utrzymania minimalnego składu osobowego do obsadzenia stanowiska analityka w trybie 24/7. Przeciw: Stosunkowo długi czas szkolenia pracowników SOC linii 2. Linia 1 = Dział Monitoringu; Linia 2 = Dział Reagowania, Linia 3 = Dział Usług Zaawansowanych

11 SOC koncepcja wdrożenia [IV] W GL S.A.: - Linia 1 [w godz. 8-16] (Dział Monitoringu) - Linia 2 (Dział Reagowania) Min 9 osób /Max 17 osób Ousourcing: - Linia 1 [w godz. 16-8] (Dział Monitoringu) - Linia 3 (Dział Usług Zaawansowanych)

12 SOC koncepcja wdrożenia [IV] Za: Wysoki poziom kompetencji dostarczany od firmy trzeciej specjalizującej się w dostarczaniu zaawansowanych usług bezpieczeństwa Utrzymanie kompetencji linii 2 w strukturach organizacji, jako kluczowej kompetencji w sprawnym procesie reakcji na incydenty Utrzymywanie kompetencji SOC linii 1 w strukturze organizacji w godzinach pracy biurowej pozwala przyspieszać działania obsługi incydentów pomiędzy linią 1 i linią 2 Pozyskanie kadry dla linii SOC linii 1 w godzinach pracy biurowej jest zadaniem prostszym od pozyskania i utrzymania linii 1 w trybie 24/7 Linia 1 po stronie Outsourcera po godzinach pracy biurowej redukuje ryzyko utrzymywania nadmiarowego stanu kadry w celu utrzymania minimalnego składu osobowego do obsadzenia stanowiska analityka w trybie 24/7 Linia 1 = Dział Monitoringu; Linia 2 = Dział Reagowania, Linia 3 = Dział Usług Zaawansowanych

SOC koncepcja wdrożenia [IV] Przeciw: Stosunkowo długi czas szkolenia pracowników SOC linii 2 Wymagany proces przekazywania obsługiwanych zdarzeń SOC linią 1 pomiędzy Zamawiającym, a Outsourcerem Linia 1 = Dział Monitoringu; Linia 2 = Dział Reagowania, Linia 3 = Dział Usług Zaawansowanych

Doradztwo na dostosowanie GL S.A. do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, w tym wymogów normy PN-EN ISO 27001:2017 14

Zakres doradztwa Etap 1. Audyt oceniający zgodność z normami ISO 27001 (dla całej obszaru działalności) oraz ISO 22301 (dla zidentyfikowanych usług kluczowych) oraz mającymi zastosowanie przepisami prawa i innymi. Ocena ryzyka oraz identyfikacja obszarów GL S.A. zaangażowanych w zarządzanie bezpieczeństwem różnych grup informacji. Analiza istniejących w GL S.A. zasad zarządzania bezpieczeństwem informacji i systemami informatycznymi w kontekście wymagań ISO 27001.

Zakres doradztwa Etap 2. Harmonogram wdrożenia/dostosowania do wymagań ISO 27001 (dla całej obszaru działalności), ISO 22301 (dla zidentyfikowanych usług kluczowych) oraz ustawy. Opracowanie niezbędnej dokumentacji. Szkolenie dla kadry kierowniczej/wybranych grup pracowników w Grupie LOTOS S.A. GL S.A. będzie miała prawo do przekazania wypracowanych rozwiązań innym podmiotom w ramach GKL. Oczekiwany termin zakończenia prac: 31.12.2019 r.

17 Projekt ustawy o zarządzaniu kryzysowym Projekt ten zwiera również kilka zmian dotyczących infrastruktury krytycznej, o których warto nadmienić podczas tej prezentacji, ponieważ wspomniane rozwiązania dotyczą usług kluczowych nie do końca uwzględniają te, które dotyczą infrastruktury krytycznej.

Infrastruktura krytyczna - należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: a) zaopatrzenia w energię, surowce energetyczne i paliwa, b) łączności i sieci teleinformatycznych, c) sieci teleinformatycznych, d) finansowe, e) zaopatrzenia w żywność, f) zaopatrzenia w wodę oraz odprowadzenia ścieków g) ochrony zdrowia, h) transportowe, i) ratownicze, j) zapewniające ciągłość działania administracji publicznej, k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych;

Infrastruktura Krytyczna Podstawowe urządzenia i instytucje świadczące usługi niezbędne do należytego funkcjonowania produkcyjnych działów gospodarki infrastruktura ekonomiczna, która obejmuje urządzenia świadczące usługi w zakresie transportu, komunikacji, energetyki, irygacji itd. infrastruktura społeczna, w skład której wchodzą urządzenia i instytucje świadczące usługi w dziedzinie prawa, bezpieczeństwa, kształcenia, oświaty, służby zdrowia itd.

INFSTRAKTURA KRYTYCZNA NA PODSTAWIE NARODOWEGO PROGRAMU OCHRONY INFRASTRUKTURY KRYTYCZNEJ

kryteria wpływu na bezpieczeństwo - ustające wagę roli dla bezpieczeństwa państwa, jego obywateli, instytucji i przedsiębiorstw kryteria systemowe parametry ilościowe i podmiotowe kryteria przekrojowe określające skutki zniszczenia bądź zaprzestania funkcjonowania IK.

Europejska infrastruktura krytyczna Należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, wyznaczone w systemach, o których mowa w pkt 2 lit. a i h, w zakresie energii elektrycznej, ropy naftowej i gazu ziemnego oraz transportu drogowego, kolejowego, lotniczego, wodnego śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego zasięgu i portów, zlokalizowane na terytorium państw członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie;

Ochrona infrastruktury krytycznej Ochronie infrastruktury krytycznej należy przez to rozumieć wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie;

Zagrożenie hybrydowe Należy przez to rozumieć zaplanowane i skoordynowane działania prowadzone przez podmioty państwowe lub niepaństwowe w sposób utrudniający przypisanie odpowiedzialności za nie sprawcy, które zmierzają do osiągnięcia celów politycznych i strategicznych oraz łączą różne środki wywierania nacisku i uzależniania od potencjalnego agresora, takie jak polityczne, militarne, ekonomiczne, społeczne, prawne czy informacyjne, w tym z wykorzystaniem mniejszości narodowych, etnicznych i religijnych.

Koordynator do spraw ochrony infrastruktury krytycznej i sztaby koordynacyjne Planowane jest wprowadzenie instytucji koordynatora do spraw ochrony infrastruktury krytycznej u wszystkich operatorów infrastruktury krytycznej. Operatorzy infrastruktury krytycznej we wszystkich systemach infrastruktury krytycznej będą wyznaczać osobę koordynująca działania na linii operator organy administracji publicznej. Wzmocnienie skuteczności koordynacji działań w przypadku wystąpienia lub możliwości wystąpienia klęski żywiołowej przewiduje się również na szczeblu województwa, powiatu i gminy poprzez możliwość tworzenia tzw. sztabów koordynacyjnych. Sztaby te mają przejmować kontrolę nad sytuacją kryzysową, usuwaniem jej skutków, w tym odtwarzaniem zasobów i usług świadczonych przez infrastrukturę krytyczną (zarządzanie sytuacją kryzysową).

Obecnie zgodnie z Ustawą z dnia 18 marca 2010 r. o szczególnych uprawnieniach ministra właściwego do spraw energii oraz ich wykonywaniu w niektórych spółkach kapitałowych lub grupach kapitałowych prowadzących działalność w sektorach energii elektrycznej, ropy naftowej oraz paliw gazowych (Dz. U. Nr 65, poz. 404 z póź. zm.), oraz Rozporządzeniem Prezesa Rady Ministrów z dnia 14 lipca 2010 r. w sprawie pełnomocnika do spraw ochrony infrastruktury krytycznej (Dz. U. Nr 135, poz. 906).

Pełnomocnik ds. ochrony infrastruktury krytycznej jest pracownikiem spółki. Monitoruje działalność spółki, odpowiada za utrzymywanie kontaktów z podmiotami właściwymi w zakresie ochrony infrastruktury krytycznej do którego zadań należy: 1) zapewnienie ministrowi właściwemu do spraw energii informacji dotyczących dokonania przez organy spółki czynności prawnych, 2) przygotowywanie dla zarządu spółki oraz rady nadzorczej spółki informacji o ochronie infrastruktury krytycznej; 3) zapewnienie zarządowi spółki doradztwa w zakresie istniejącej w spółce infrastruktury krytycznej; 4) monitorowanie działalności spółki w zakresie ochrony infrastruktury krytycznej; 5) przekazywanie informacji o infrastrukturze krytycznej dyrektorowi Rządowego Centrum Bezpieczeństwa na jego wniosek; 6) przekazywanie i odbieranie informacji o zagrożeniu infrastruktury krytycznej we współpracy z dyrektorem Rządowego Centrum Bezpieczeństwa.

Pełnomocnikowi ds. ochrony infrastruktury krytycznej przysługuje prawo do: 1) uczestniczenia, z głosem doradczym, w posiedzeniach zarządu spółki dotyczących spraw: - rozporządzania składnikami mienia, stanowiącymi rzeczywiste zagrożenie dla funkcjonowania; ciągłości działania oraz integralności infrastruktury krytycznej; - rozwiązania spółki; - zmiany przeznaczenia lub zaniechania eksploatacji składnika mienia spółki; - zmiany przedmiotu przedsiębiorstwa spółki; - zbycia albo wydzierżawienia przedsiębiorstwa spółki lub jego zorganizowanej części oraz ustanowienia na nim ograniczonego prawa rzeczowego; - przyjęcia planu rzeczowo-finansowego, planu działalności inwestycyjnej lub wieloletniego planu strategicznego; -przeniesienia siedziby spółki za granicę. 2) żądania od organów spółki wszelkich dokumentów, informacji oraz wyjaśnień dotyczących powyższych spraw.

Pełnomocnik ds. ochrony infrastruktury krytycznej sporządza dla zarządu spółki oraz rady nadzorczej raport o stanie ochrony infrastruktury krytycznej. Raport jest sporządzany co kwartał lub na żądanie zarządu spółki lub rady nadzorczej. Raport powinien zawierać informacje dotyczące ochrony infrastruktury krytycznej w zakresie: - ochrony fizycznej; - ochrony technicznej; - ochrony prawnej; - ochrony osobowej; - ochrony teleinformatycznej; - planów odbudowy i przywracania infrastruktury krytycznej do funkcjonowania. Pełnomocnik ds. ochrony infrastruktury krytycznej sporządza sprawozdanie kwartalne z wykonanych obowiązków, które składa ministrowi właściwemu ds. Skarbu Państwa oraz dyrektorowi Rządowego Centrum Bezpieczeństwa.

Pełnomocnik ds. Ochrony Infrastruktury Krytycznej -oczekiwania - Kompetencje i doświadczenie wybiegające poza obszary bezpieczeństwa związane z pięciopakiembezpieczeństwa ; - Kompetencje związane z zarządzaniem zespołami projektowymi i zadaniowymi; - Kompetencje związane z metodyką projektową; - Obszar zadań i odpowiedzialności znacznie szerszy od wymagań określonych w ustawie o specjalnych uprawnieniach ministra właściwego ds. energii; - Maksymalna eliminacja nadzoru i koordynacji działań zza biurka.

Oczekiwania dotyczące przyszłych regulacji w zakresie Infrastruktury Krytycznej - Przegląd i zmiana kompleksowego systemu ochrony Infrastruktury Krytycznej w oparciu o różne regulacje prawne unormowanie dokumentacji bezpieczeństwa, ujednolicenie zasad ochrony, wprowadzenie sankcji; - Możliwie pilne wdrożenie projektowanego przez RCB nowego sposobu kwalifikowania obiektów do wykazu Infrastruktury Krytycznej (z systemu obiektowego na system usługowy): Wiedza operatorów IK o wzajemnych powiązaniach technologicznych i organizacyjnych; Wspólne plany ciągłości działania dla usług krytycznych. - Wdrożenie mechanizmów koordynacji przez ME/RCB/Urzędy Wojewódzkie dla planów awaryjnych realizowanych w sytuacjach kryzysowych przez kilku operatorów Infrastruktury Krytycznej; - Udział operatorów Infrastruktury Krytycznej przy opracowywaniu standardów oraz wytycznych dotyczących bezpieczeństwa strategicznych zasobów; - Ujednolicenie zasad kwalifikowania obiektów i ochrony informacji w obszarze obowiązkowej ochrony; - Wprowadzenie funkcji Zastępcy dla Pełnomocnika/Koordynatora ds. Ochrony IK.

Grupa LOTOS S.A. Dr Roman Marzec roman.marzec@grupalotos.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres