Ustawa o KSC porządkuje, jak w Polsce ma działać system reagowania na incydenty oraz jakie obowiązki w obszarze cyberbezpieczeństwa mają wybrane organizacje. Jej celem jest zwiększenie odporności państwa i kluczowych usług na cyberataki — poprzez jasny podział ról, procedury obsługi incydentów, raportowanie oraz nadzór. Poniżej zebraliśmy najważniejsze obszary, których dotyczy ustawa.
Ustawa definiuje kluczowe terminy (m.in. incydent, obsługa incydentu, usługa kluczowa) oraz określa ramy działania krajowego systemu cyberbezpieczeństwa.
Opisuje, jakie podmioty mogą podlegać KSC (np. operatorzy usług kluczowych i dostawcy usług cyfrowych) oraz jakie zadania i odpowiedzialności wynikają z ich statusu.
Ustawa osadza w systemie zespoły CSIRT i określa zasady współpracy w obsłudze incydentów — od wymiany informacji po koordynację działań.
Wskazuje organy odpowiedzialne za nadzór w poszczególnych sektorach oraz ich kompetencje: kontrolę, wydawanie decyzji i egzekwowanie wymagań.
To praktyczny rdzeń ustawy: obowiązek podejścia opartego o ryzyko, wdrożenia odpowiednich polityk, procedur, ról i sposobu działania w przypadku incydentu.
Ustawa wskazuje potrzebę wdrażania adekwatnych zabezpieczeń technicznych oraz utrzymywania zdolności do wykrywania, analizy i ograniczania skutków incydentów.
Reguluje zasady raportowania incydentów w ramach KSC oraz współpracę z CSIRT — w zależności od typu podmiotu i charakteru zdarzenia.
Ustawa przewiduje mechanizmy kontroli oraz środki egzekwowania obowiązków — w tym sankcje administracyjne, jeśli organizacja nie spełnia wymagań.
