Ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2018 r. nie oszczędziła przed zmianami dotychczasowego brzmienia ustawy Prawo telekomunikacyjne (PT).
Krajowy system cyberbezpieczeństwa w swoich założeniach będzie służył wykrywaniu, zapobieganiu i minimalizowaniu skutków ataków naruszających bezpieczeństwo informatyczne naszego kraju.
Zmianie uległy przepisy PT dotyczące m.in. obowiązku informowania o naruszeniu bezpieczeństwa lub integralności sieci lub usług. Na Prezesa UKE nałożono obowiązek przekazywania informacji o incydentach do CSIRT właściwemu dla zgłaszającego naruszenie przedsiębiorcy telekomunikacyjnego. CSIRTy to zespoły reagowania na incydenty bezpieczeństwa komputerowego, które prowadzone są przez 3 podmioty: ABW, MON i NASK. Zgodnie z ustawą o KSC wchodzą one w skład krajowego systemu cyberbezpieczeństwa.
Z uwagi na konieczność zapewniania Prezesowi UKE możliwości realizacji jego obowiązków, Minister Cyfryzacji wydał dwa nowe rozporządzenia, które weszły w życie 27 września 2018 r.
Nowego wzoru doczekał się formularz do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług. Wzór nowego formularza można pobrać ze strony UKE.
Wydane zostało również rozporządzenie określające kryteria uznania bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług.
Rozporządzenie wskazuje, w celu ustalenia czy naruszenie ma istotny wpływ na funkcjonowanie sieci lub usług, wartość procentową liczby użytkowników, których dotyczy naruszenie bezpieczeństwa lub integralności sieci lub usług.
Rozporządzenie zakłada, że o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych będzie można mówić w przypadku, gdy spełnione zostało co najmniej jedno z dwóch kryteriów o jakim mowa w rozporządzeniu. Wydaje się jednak, że w związku ze zmianami spać mogą spokojnie mikro, mali i średni przedsiębiorcy telekomunikacyjni. Przypadki kwalifikujące się do notyfikacji Prezesowi UKE dotykać mają każdorazowo co najmniej 10.000 użytkowników.
Nowe rozporządzenie w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług również jest dostępne na stronach Dziennika Ustaw.
Nie uległ zmianie sposób przekazywania Prezesowi UKE informacji o naruszeniu bezpieczeństwa i integralności sieci lub usług telekomunikacyjnych. Kontakt z Prezesem UKE jest możliwy za pośrednictwem Punktu Kontaktowego Prezesa UKE (tel.kom.: 668 470 940, faks: 225 349 393, e-mail: dso@uke.gov.pl).
Ministerstwo Cyfryzacji opublikowało również najnowszy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO). Projekt pochodzi z 22 października 2018 r. Najnowsze propozycje zmian w przepisach nie odbiegają w przypadku ustawy PT od projektu, o którym pisaliśmy przy okazji tego wpisu.
Autorem wpisu jest Jarosław Straś. Specjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE. W Kancelarii zajmuje się głównie obsługą prawną przedsiębiorców, w tym tworzeniem i restrukturyzacją firm. Prowadzi szkolenia i audyty dotyczące stosowania przepisów RODO oraz zarządzania systemem ochrony danych osobowych. Uczestnik konsultacji społecznych projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO). Posiada certyfikat kompetencji Inspektora Ochrony Danych (luty 2018).
