Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


31.12.2020

Cykl webinarów

weinnovators.club
30.12.2020

Integracja z Teams

Veeam Backup
30.12.2020

Namierzanie zagrożeń

Flowmon Networks i Fortinet
30.12.2020

Wsparcie dla przedsiębiorstw

VMware Cloud on AWS
29.12.2020

Nowe NAS-y Thunderbolt 3

QNAP QuTS TVS-h1288X i TVS-h1688X
29.12.2020

Modele kompaktowe

VPL-PHZ60 i VPL-PHZ50
28.12.2020

Dedykowane przemysłowi

Seria TJ
28.12.2020

Nowa generacja

Router QHora-301W

Nowe obowiązki przedsiębiorców telekomunikacyjnych

Data publikacji: 28-12-2020 Autor: Tomasz Cygan
Ministerstwo Cyfryzacji za jedną z przyczyn nowelizacji przepisów wskazało brak narzędzi reagowania na próby zakupu kluczowych elementów infrastruktury. Zwłaszcza polski sektor telekomunikacji narażony był na ryzyko utraty kontroli nad infrastrukturą o istotnym znaczeniu dla bezpieczeństwa państwa.
 
Jako sposób rozwiązania problemu projektodawca wskazał, że: „projekt ustawy o krajowym systemie cyberbezpieczeństwa wzmocni nowymi mechanizmami prewencji ogólnej (specjalne działania ochronne), natomiast ustawę Prawo telekomunikacyjne uzupełni o nowy mechanizm prewencji indywidualnej (zgłaszanie zbycia infrastruktury telekomunikacyjnej). Są to niezbędne elementy nadzoru, których dotychczas tym aktom prawnym brakowało do osiągnięcia pełnej skuteczności. Ustawa Prawo telekomunikacyjne zostanie rozszerzona o obowiązek zgłaszania Prezesowi UKE przez przedsiębiorcę telekomunikacyjnego zamiaru zbycia infrastruktury telekomunikacyjnej. W przypadku, kiedy zbycie infrastruktury telekomunikacyjnej mogłoby, w ocenie właściwych służb specjalnych, stanowić zagrożenie dla bezpieczeństwa państwa, będzie możliwe zgłoszenie przez Prezesa UKE sprzeciwu wobec takiej transakcji”.
 
> Prace legislacyjne
 
Pierwszą uwagą, która nasuwa się po lekturze wskazanej powyżej przyczyny wprowadzenia rozwiązań planowanych w projekcie oraz ich istoty podanej na stronie internetowej Kancelarii Prezesa Rady Ministrów (bit.ly/3glKH1s), jest jednoznaczne wskazanie, że ustawa o krajowym systemie cyberbezpieczeństwa, stanowi jedynie jeden z elementów systemu cyberbezpieczeństwa. Projektodawca dokonując oceny funkcjonowania systemu cyberbezpieczeństwa uznał za konieczne nie tylko dokonanie zmian w samej ustawie o krajowym systemie cyberbezpieczeństwa, ale także w innych aktach prawnych mających dla niego znaczenie. 
 
Projekt z dnia 7 września 2020 roku ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo zamówień publicznych obejmuje co prawda jedynie nowelizację ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych. W jego treści są jednak zawarte liczne zmiany dotyczące funkcjonowania sektora telekomunikacyjnego. Dotyczy to zarówno nowych definicji, jak i obowiązków dla przedsiębiorców komunikacji elektronicznej. W związku z tym projekt przewiduje uchylenie art. 1 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa, który wyłączał jej obowiązywanie w stosunku do przedsiębiorców telekomunikacyjnych. Jednocześnie do katalogu podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa mają zostać dodani przedsiębiorcy komunikacji elektronicznej (projektowany art. 4 punkt 2 a ustawy o krajowym systemie cyberbezpieczeństwa) w rozumieniu kolejnego projektu – tym razem ustawy – Prawo komunikacji elektronicznej, która do dnia 21 grudnia 2020 roku ma implementować Dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 roku ustanawiającej Europejski kodeks łączności elektronicznej. Zgodnie z treścią projektu ustawy Prawo komunikacji elektronicznej pod pojęciem przedsiębiorcy telekomunikacyjnego należy rozumieć „przedsiębiorcę telekomunikacyjnego lub podmiot świadczący usługę komunikacji interpersonalnej niewykorzystującą numerów”.
 
> Zadania do wypełnienia
 
Obowiązkom przedsiębiorców telekomunikacyjnych w zakresie cyberbezpieczeństwa ma zostać poświęcony nowy rozdział 4a zatytułowany „Obowiązki przedsiębiorców komunikacji elektronicznej”. Zgodnie z uzasadnieniem projektu ustawy będzie on regulował „kwestie dotyczące obowiązku stosowania przez przedsiębiorców komunikacji elektronicznej środków zapewniających bezpieczeństwo sieci i usług” rozumiane, zgodnie z projektowaną treścią art. 2 punkt 8f ustawy o krajowym systemie cyberbezpieczeństwa, jako „zdolność sieci telekomunikacyjnych lub usług komunikacji elektronicznej do odpierania wszelkich działań naruszających dostępność, autentyczność, integralność lub poufność:
 
  • tych sieci lub usług,
  • przetwarzanych danych i treści objętych tajemnicą komunikacji elektronicznej,
  • innych świadczonych przez przedsiębiorcę komunikacji elektronicznej usług związanych z usługami komunikacji elektronicznej lub sieciami telekomunikacyjnymi tego przedsiębiorcy”.
 
Z kolei sam fakt objęcia przedsiębiorców komunikacji elektronicznej obowiązkami w zakresie cyberbezpieczeństwa silnie rzuca się w oczy już w projektowanym nowym brzmieniu art. 2 ustawy o krajowym systemie cyberbezpieczeństwa. Nowy słowniczek pojęć użytych w ustawie będzie bowiem obejmował między innymi:
 
  • CSIRT Telco – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na rzecz przedsiębiorców komunikacji elektronicznej (art. 2 pkt 3b ustawy),
  • dostawca sprzętu lub oprogramowania – oznacza producenta, upoważnionego przedstawiciela, importera i dystrybutora, o których mowa w rozporządzeniu (WE) nr 765/2008 dotyczącym produktów i usług dla infrastruktury telekomunikacyjnej, o której mowa w art. 2 pkt 14 ustawy z dnia… – Prawo komunikacji elektronicznej (art. 2 pkt 3e lit. b ustawy),
  • incydent telekomunikacyjny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi komunikacji elektronicznej (art. 2 pkt 8a ustawy).

 

Z kolei w zakresie definicji dostarczania sieci telekomunikacyjnej, usług komunikacji elektronicznej, telekomunikacyjnych urządzeń końcowych oraz sytuacji szczególnego zagrożenia projektodawca odwołuje się do definicji zawartych w projekcie ustawy „Prawo komunikacji elektronicznej, gdyż w celu zachowania „spójności systemu prawa. (…) Nie ma potrzeby dublowania definicji”. Projektowany art. 20 a ustawy nakłada na przedsiębiorcę komunikacji elektronicznej ogólny obowiązek brania pod uwagę możliwości wystąpienia sytuacji szczególnego zagrożenia. Stanowi ją, zgodnie z art. 2 pkt 65 projektowanej ustawy Prawo komunikacji elektronicznej: „stan nadzwyczajny, sytuację kryzysową, w rozumieniu ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (DzU 2019 r., poz. 1398 oraz z 2020 r., poz. 148, 284, 374 i 695) lub bezpośrednie zagrożenie dla bezpieczeństwa sieci i usług”. Celem, dla którego przedsiębiorca komunikacji elektronicznej powinien uwzględniać możliwość wystąpienia sytuacji szczególnego zagrożenia, jest zapewnienie ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej. W tym celu przedsiębiorca komunikacji elektronicznej:
 
  1. przeprowadza systematyczną ocenę ryzyka wystąpienia sytuacji szczególnego zagrożenia,
  2. podejmuje środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka, minimalizujące w szczególności wpływ, jaki na sieci telekomunikacyjne, usługi komunikacji elektronicznej lub podmioty korzystające z tych sieci lub usług może mieć wystąpienie sytuacji szczególnego zagrożenia, dotyczące następujących obszarów:
    • zapewnienia bezpieczeństwa infrastruktury telekomunikacyjnej, o której mowa w art. 2 pkt 14 ustawy z dnia … Prawo komunikacji elektronicznej,
    • postępowania w przypadku wystąpienia sytuacji szczególnego zagrożenia,
    • odtwarzania dostarczania sieci telekomunikacyjnych lub przywracania świadczenia usług komunikacji elektronicznej,
    • monitorowania, kontroli i testowania sieci telekomunikacyjnych lub usług komunikacji elektronicznej, przy uwzględnieniu aktualnego stanu wiedzy technicznej oraz kosztów wprowadzenia tych środków,
  3. dokumentuje prowadzenie analizy ryzyka oraz podejmowanie środków bezpieczeństwa, przy czym może to nastąpić w  planie działań w sytuacji szczególnego zagrożenia, o którym mowa w art. 47 ust. 1 projektu ustawy Prawo komunikacji elektronicznej. 

 

[...]

 

Adwokat. Inspektor ochrony danych. Wykładowca. Publicysta. Audytor wewnętrzny normy PN – ISO/IEC 27001:2014 – 12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"