Cyberbezpieczeństwo w JST: jak określić, czy podmiot publiczny jest kluczowy czy ważny?
Chociaż w przypadku podmiotów publicznych wpisu do rejestru prowadzonego na podstawie ustawy o krajowym systemie cyberbezpieczeństwa dokonuje minister, to przepisy nie zwalniają ich z samodzielnego rozstrzygnięcia, do jakiej grupy należą. Jak przeprowadzić taką kwalifikację? Wyjaśniamy na przykładzie jednostek samorządu terytorialnego.
3 kwietnia br. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (dalej: u.k.s.c.), która wdraża do polskiego prawa dyrektywę NIS 2. Ta dyrektywa istotnie zmienia podejście do cyberbezpieczeństwa w całej Unii Europejskiej. Jak pisaliśmy w poprzednim tygodniku „Samorząd i Administracja”, nowe obowiązki dotyczą nie tylko podmiotów prywatnych, lecz także sektora publicznego.
Minister wpisuje, jednostka siebie ocenia
Zgodnie z art. 5 ust. 1 pkt 4 lit. d znowelizowanej u.k.s.c. podmiot publiczny jest podmiotem kluczowym, jeżeli jest wskazany w załączniku nr 1 do ustawy w sektorze „podmioty publiczne”. Natomiast zgodnie z art. 5 ust. 2 pkt 8 u.k.s.c., podmiotem ważnym będzie ten, który nie został zakwalifikowany jako podmiot kluczowy i jest samorządową jednostką budżetową, samorządowym zakładem budżetowym, samorządową instytucją kultury albo spółką wykonującą zadania o charakterze użyteczności publicznej, jeżeli realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.