30 czerwca 2020 r. w dzienniku ustaw zostało opublikowane rozporządzenie Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług (poz. 1130). Rozporządzenie wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia – zatem będzie obowiązywać od 31 grudnia 2020 r.
Zgodnie z rozporządzeniem, przedsiębiorcy telekomunikacyjni zobowiązani są do opracowywania i aktualizacji dokumentacji dotyczącej bezpieczeństwa i integralności sieci i usług. Dokumentacja powinna zawierać opis minimalnych środków technicznych i organizacyjnych wskazanych w rozporządzeniu. Aby zrealizować obowiązek i wdrożyć minimalne środki, przedsiębiorca telekomunikacyjny:
Rozporządzenie określa także minimalne wymogi bezpieczeństwa przy dostarczaniu sieci 5G. Środki bezpieczeństwa przy sieciach 5G obejmują 3 z 12 środków ogólnie dotyczących sieci (tj. określonych w §2 pkt. 3–5 Rozporządzenia), natomiast w ramach sieci 5G przedsiębiorca telekomunikacyjny dodatkowo:
1) uwzględnia rekomendacje, o których mowa w art. 33 ust. 4 ustawy o krajowym systemie cyberbezpieczeństwa;
2) stosuje strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług;
3) zapewnia podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych;
– oraz prowadzi odpowiednią dokumentację swoich działań.
Jednocześnie nie możemy zapomnieć, że maksymalnie do 21 grudnia 2020 r. powinno wejść w życie Prawo Komunikacji Elektronicznej, które uchyli prawo telekomunikacyjne, a co za tym idzie – także przepisy wykonawcze (czyli rozporządzenia wydane na podstawie PT). Jeśli okaże się, że PKE nie utrzyma w mocy przepisów wykonawczych wydanych na podstawie art. 175d PT, rozporządzenie to może w ogóle nie wejść w życie, a Minister Cyfryzacji będzie musiał wydać nowe na podstawie przepisów PKE.
Obecny projekt PKE przewiduje analogiczny do art. 175 PT oraz art. 175c PT obowiązek zapewnienia przez przedsiębiorców telekomunikacyjnych bezpieczeństwa sieci i usług oraz upoważnienie dla Ministra do wydania rozporządzenia określającego minimalne środki zapewnienie bezpieczeństwa. Można się zatem spodziewać, że nawet jeśli rozporządzenie, o którym mowa w niniejszym wpisie nie wejdzie w życie, to zostanie wydane nowe na podstawie PKE, zawierające podobne obowiązki.
Co ciekawe, obecnie w prawie telekomunikacyjnym przewidziana jest kara wyłącznie za niedopełnienie obowiązku poinformowania Prezesa UKE o podjętych środkach zapewnienia bezpieczeństwa sieci. W art. 209 prawa telekomunikacyjnego nie ma przepisu, który zagrażałby karą samo niewdrożenie środków zapewnienia bezpieczeństwa sieci i usług. Taki przepis znajduje się dopiero w projekcie prawa komunikacji elektronicznej.
Zostało jeszcze pół roku do wejścia w życie rozporządzenia oraz upłynięcia terminu na uchwalenie i ogłoszenie prawa komunikacji elektronicznej. Zmiany w temacie będziemy śledzić i na bieżąco o nich informować na łamach Okablowanych.
Anna Szura – prawnik