Przedstawiciel Ministerstwa Cyfryzacji przekazał, podczas konferencji „Cyberbezpieczeństwo w transporcie kolejowym”, że wspólnie z Ministerstwem Infrastruktury i Urzędem Transportu Kolejowego trwają prace nad określeniem dostawców usług kluczowych. Na chwilę obecną nie będzie to więcej niż 10 podmiotów. Wykaz dostawców będzie szczegółowo określony w rozporządzeniu wykonawczym do zatwierdzonej przez Parlament ustawy o krajowym systemie cyberbezpieczeństwa.
Jak podaje portal rynek-kolejowy.pl operatorem usługi kluczowej w sektorze kolejowej będą zarządcy infrastruktury kolejowej, przewoźnicy kolejowi czy operatorzy infrastruktury usługowej. To, jakie konkretnie podmioty zostaną włączone na listę w rozporządzeniu wskaże Ministerstwo Infrastruktury razem z Urzędem Transportu Kolejowego. Proces ma się zakończyć do listopada 2018 roku. Kolejnym krokiem będzie wydanie decyzji administracyjnych a następnie realizacja czynności zapisanych w ustawie.
Operator będzie miał trzy miesiące na dostosowanie się do pewnych wymagań, pół roku na objęcie usługi kluczowej monitorowaniem ciągłym, a rok na dokonanie audytu systemów informacyjnych.
Inna będzie procedura związana z obsługą systemów teleinformatycznych dostarczających konkretne usługi przetwarzania danych jak sprzedaż biletów czy wyszukiwanie połączeń. Dostawcy tacy będą zobowiązani do zabezpieczenia swoich systemów informacyjnych oraz przestrzeganie procedur związanych z zabezpieczeniem incydentów.
Zatwierdzona przez Sejm i Senat ustawa czeka na podpis Prezydenta RP. Ustawa jest wprost realizacją tzw. dyrektywy unijnej NIS, której celem jest zapewnienie poziomu bezpieczeństwa sieci i systemów teleinformatycznych w Unii Europejskiej. Polskie rozwiązania w obszarze wdrożenia dyrektywy zawarte są w ustawie o krajowym systemie cyberbezpieczeństwa.