30 czerwca 2020 r. w dzienniku ustaw zostało opublikowane rozporządzenie Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług (poz. 1130). Rozporządzenie wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia – zatem będzie obowiązywać od 31 grudnia 2020 r.

Zgodnie z rozporządzeniem, przedsiębiorcy telekomunikacyjni zobowiązani są do opracowywania i aktualizacji dokumentacji dotyczącej bezpieczeństwa i integralności sieci i usług. Dokumentacja powinna zawierać opis minimalnych środków technicznych i organizacyjnych wskazanych w rozporządzeniu. Aby zrealizować obowiązek i wdrożyć minimalne środki, przedsiębiorca telekomunikacyjny:

• opracowuje i aktualizuje wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie  bezpieczeństwa  lub  integralności  będzie  miało  istotny  wpływ  na  funkcjonowanie sieci  lub  usług oznaczeniu kluczowym dla funkcjonowania przedsiębiorcy, zwanych dalej „kluczową infrastrukturą”;
• identyfikuje zagrożenia bezpieczeństwa lub integralności sieci lub usług;
• ocenia prawdopodobieństwo wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
• zapewnia i stosuje środki minimalizujące skutki wystąpienia oddziaływań zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
• ustanawia zasady  i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, obejmujące przypisanie odpowiedzialności za kluczową infrastrukturę w zakresie odpowiednim do realizowanych zadań;
• zabezpiecza dostęp do kluczowej infrastruktury, monitoruje ten dostęp i wskazuje środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu;
  1. ustanawia zasady bezpiecznego zdalnego przetwarzania danych;
• stosuje, wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń, środki zabezpieczające dla poszczególnych kategorii danych;
• zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług, identyfikuje zagrożenia dla bezpieczeństwa tych sieci lub usług, związane z zawieranymi umowami;
• zapewnia monitorowanie  i dokumentowanie  funkcjonowania  sieci  i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności sieci lub usług, o których mowa w art. 175a ustawy  z dnia 16 lipca 2004r. – Prawo telekomunikacyjne, i ustalenie przyczyn takiego naruszenia;
• ustala wewnętrzne procedury zgłaszania naruszeń bezpieczeństwa lub integralności sieci lub usług, o których mowa w art. 175a ustawy  z dnia  16 lipca  – Prawo telekomunikacyjne, oraz umożliwia użytkownikom końcowym dokonywanie zgłoszeń wszelkich naruszeń bezpieczeństwa lub integralności sieci lub usług;
• przeprowadza ocenę bezpieczeństwa sieci i usług telekomunikacyjnych:

1. a) co najmniej raz na dwa lata,
2. b) po każdym stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym naruszeniem, oraz wykryciu podatności zwiększającej poziom ryzyka wystąpienia naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym wykrytą podatnością.

Rozporządzenie określa także minimalne wymogi bezpieczeństwa przy dostarczaniu sieci 5G. Środki bezpieczeństwa przy sieciach 5G obejmują 3 z 12 środków ogólnie dotyczących sieci (tj. określonych w §2 pkt. 3–5 Rozporządzenia), natomiast w ramach sieci 5G przedsiębiorca telekomunikacyjny dodatkowo:

1) uwzględnia rekomendacje, o których mowa w art. 33 ust. 4 ustawy o krajowym systemie cyberbezpieczeństwa;

2) stosuje strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług;

3) zapewnia podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych;

– oraz prowadzi odpowiednią dokumentację swoich działań.

Jednocześnie nie możemy zapomnieć, że maksymalnie do 21 grudnia 2020 r. powinno wejść w życie Prawo Komunikacji Elektronicznej, które uchyli prawo telekomunikacyjne, a co za tym idzie – także przepisy wykonawcze (czyli rozporządzenia wydane na podstawie PT). Jeśli okaże się, że PKE nie utrzyma w mocy przepisów wykonawczych wydanych na podstawie art. 175d PT, rozporządzenie to może w ogóle nie wejść w życie, a Minister Cyfryzacji będzie musiał wydać nowe na podstawie przepisów PKE.

Obecny projekt PKE przewiduje analogiczny do art. 175 PT oraz art. 175c PT obowiązek zapewnienia przez przedsiębiorców telekomunikacyjnych bezpieczeństwa sieci i usług oraz upoważnienie dla Ministra do wydania rozporządzenia określającego minimalne środki zapewnienie bezpieczeństwa. Można się zatem spodziewać, że nawet jeśli rozporządzenie, o którym mowa w niniejszym wpisie nie wejdzie w życie, to zostanie wydane nowe na podstawie PKE, zawierające podobne obowiązki.

Co ciekawe, obecnie w prawie telekomunikacyjnym przewidziana jest kara wyłącznie za niedopełnienie obowiązku poinformowania Prezesa UKE o podjętych środkach zapewnienia bezpieczeństwa sieci. W art. 209 prawa telekomunikacyjnego nie ma przepisu, który zagrażałby karą samo niewdrożenie środków zapewnienia bezpieczeństwa sieci i usług. Taki przepis znajduje się dopiero w projekcie prawa komunikacji elektronicznej.

Zostało jeszcze pół roku do wejścia w życie rozporządzenia oraz upłynięcia terminu na uchwalenie i ogłoszenie prawa komunikacji elektronicznej. Zmiany  w temacie będziemy śledzić i na bieżąco o nich informować na łamach Okablowanych.

Anna Szura – prawnik