Ministerstwo Cyfryzacji poinformowało, że w Dzienniku Ustaw zostało opublikowane rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Rozporządzenie stanowi wykonanie ustawy o krajowym systemie cyberbezpieczeństwa. Przepisy określają wymagania dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych oraz wewnętrznych struktur organizacyjnych takich operatorów mających wykonywać zadania nałożone na nich przez ustawę.
Zgodnie z nią, operatorzy usług kluczowych mogą wykonywać część swoich obowiązków poprzez wewnętrzne struktury albo poprzez podmioty zewnętrzne, kontraktowane na zasadach komercyjnych. Ze względu na konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa, konieczne było określenie warunków technicznych i organizacyjnych, jakie muszą spełniać takie podmioty.
Do wymogów organizacyjnych zalicza się posiadanie wdrożonego systemu zarządzania bezpieczeństwem informacji, zapewnianie ciągłości działania usług reagowania na incydenty, sporządzenie i upublicznienie deklaracji polityki działania zgodnej z RFC 2350, zapewnienie wsparcie w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej oraz dysponowanie personelem posiadającym odpowiednie umiejętności i doświadczenie.
Rozporządzenie zawiera również wymogi techniczne dotyczące sprzętu i pomieszczeń takie, jak system kontroli dostępu, odpowiednie drzwi czy też właściwy sprzęt komputerowy i system łączności.