Procedura uznania dostawcy za DWR
Nowelizacja ustawy o KSC szczegółowo opisuje proces uznania dostawcy za DWR, co może mieć znaczący wpływ na działalność podmiotów kluczowych i ważnych. Przyjrzyjmy się poszczególnym etapom tej procedury.
Procedura uznania dostawcy za DWR może zostać wszczęta z urzędu przez Ministra Cyfryzacji lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa. Postępowanie dotyczy dostawców sprzętu lub oprogramowania, którzy zaopatrują podmioty kluczowe lub ważne.
Przed podjęciem decyzji przez Ministra Cyfryzacji, Kolegium ds. Cyberbezpieczeństwa musi wydać opinię, która zawiera analizę ryzyka wynikającego z dalszej współpracy z danym dostawcą. Analiza obejmuje zagrożenia związane z bezpieczeństwem narodowym, zagrożenia ekonomiczne, wywiadowcze, czy terrorystyczne. Opinia jest kluczowa dla oceny ryzyka.
Po uzyskaniu opinii Kolegium, Minister Cyfryzacji podejmuje decyzję o uznaniu dostawcy DWR. Decyzja ta jest natychmiast publikowana w Dzienniku Urzędowym „Monitor Polski” i podlega natychmiastowemu wykonaniu. Oznacza to, że podmioty kluczowe mają obowiązek przystąpić do jej realizacji bez zwłoki.
Realizacja obowiązków przez podmioty kluczowe i ważne - Po ogłoszeniu decyzji, podmioty korzystające z produktów dostawcy uznanego za DWR muszą:
- Natychmiast wstrzymać wprowadzanie do użytkowania sprzętu, oprogramowania lub usług dostawcy DWR.
- Wycofać z użytkowania te produkty w ciągu 7 lat od wydania decyzji (4 lata w przypadku krytycznych funkcji ICT).
- Nie nabywać produktów od dostawcy DWR w ramach zamówień publicznych.