Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Nowe obowiązki przedsiębiorców telekomunikacyjnych

Data publikacji: 28-12-2020 Autor: Tomasz Cygan
Ministerstwo Cyfryzacji za jedną z przyczyn nowelizacji przepisów wskazało brak narzędzi reagowania na próby zakupu kluczowych elementów infrastruktury. Zwłaszcza polski sektor telekomunikacji narażony był na ryzyko utraty kontroli nad infrastrukturą o istotnym znaczeniu dla bezpieczeństwa państwa.
 
Jako sposób rozwiązania problemu projektodawca wskazał, że: „projekt ustawy o krajowym systemie cyberbezpieczeństwa wzmocni nowymi mechanizmami prewencji ogólnej (specjalne działania ochronne), natomiast ustawę Prawo telekomunikacyjne uzupełni o nowy mechanizm prewencji indywidualnej (zgłaszanie zbycia infrastruktury telekomunikacyjnej). Są to niezbędne elementy nadzoru, których dotychczas tym aktom prawnym brakowało do osiągnięcia pełnej skuteczności. Ustawa Prawo telekomunikacyjne zostanie rozszerzona o obowiązek zgłaszania Prezesowi UKE przez przedsiębiorcę telekomunikacyjnego zamiaru zbycia infrastruktury telekomunikacyjnej. W przypadku, kiedy zbycie infrastruktury telekomunikacyjnej mogłoby, w ocenie właściwych służb specjalnych, stanowić zagrożenie dla bezpieczeństwa państwa, będzie możliwe zgłoszenie przez Prezesa UKE sprzeciwu wobec takiej transakcji”.
 
> Prace legislacyjne
 
Pierwszą uwagą, która nasuwa się po lekturze wskazanej powyżej przyczyny wprowadzenia rozwiązań planowanych w projekcie oraz ich istoty podanej na stronie internetowej Kancelarii Prezesa Rady Ministrów (bit.ly/3glKH1s), jest jednoznaczne wskazanie, że ustawa o krajowym systemie cyberbezpieczeństwa, stanowi jedynie jeden z elementów systemu cyberbezpieczeństwa. Projektodawca dokonując oceny funkcjonowania systemu cyberbezpieczeństwa uznał za konieczne nie tylko dokonanie zmian w samej ustawie o krajowym systemie cyberbezpieczeństwa, ale także w innych aktach prawnych mających dla niego znaczenie. 
 
Projekt z dnia 7 września 2020 roku ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo zamówień publicznych obejmuje co prawda jedynie nowelizację ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych. W jego treści są jednak zawarte liczne zmiany dotyczące funkcjonowania sektora telekomunikacyjnego. Dotyczy to zarówno nowych definicji, jak i obowiązków dla przedsiębiorców komunikacji elektronicznej. W związku z tym projekt przewiduje uchylenie art. 1 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa, który wyłączał jej obowiązywanie w stosunku do przedsiębiorców telekomunikacyjnych. Jednocześnie do katalogu podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa mają zostać dodani przedsiębiorcy komunikacji elektronicznej (projektowany art. 4 punkt 2 a ustawy o krajowym systemie cyberbezpieczeństwa) w rozumieniu kolejnego projektu – tym razem ustawy – Prawo komunikacji elektronicznej, która do dnia 21 grudnia 2020 roku ma implementować Dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 roku ustanawiającej Europejski kodeks łączności elektronicznej. Zgodnie z treścią projektu ustawy Prawo komunikacji elektronicznej pod pojęciem przedsiębiorcy telekomunikacyjnego należy rozumieć „przedsiębiorcę telekomunikacyjnego lub podmiot świadczący usługę komunikacji interpersonalnej niewykorzystującą numerów”.
 
> Zadania do wypełnienia
 
Obowiązkom przedsiębiorców telekomunikacyjnych w zakresie cyberbezpieczeństwa ma zostać poświęcony nowy rozdział 4a zatytułowany „Obowiązki przedsiębiorców komunikacji elektronicznej”. Zgodnie z uzasadnieniem projektu ustawy będzie on regulował „kwestie dotyczące obowiązku stosowania przez przedsiębiorców komunikacji elektronicznej środków zapewniających bezpieczeństwo sieci i usług” rozumiane, zgodnie z projektowaną treścią art. 2 punkt 8f ustawy o krajowym systemie cyberbezpieczeństwa, jako „zdolność sieci telekomunikacyjnych lub usług komunikacji elektronicznej do odpierania wszelkich działań naruszających dostępność, autentyczność, integralność lub poufność:
 
  • tych sieci lub usług,
  • przetwarzanych danych i treści objętych tajemnicą komunikacji elektronicznej,
  • innych świadczonych przez przedsiębiorcę komunikacji elektronicznej usług związanych z usługami komunikacji elektronicznej lub sieciami telekomunikacyjnymi tego przedsiębiorcy”.
 
Z kolei sam fakt objęcia przedsiębiorców komunikacji elektronicznej obowiązkami w zakresie cyberbezpieczeństwa silnie rzuca się w oczy już w projektowanym nowym brzmieniu art. 2 ustawy o krajowym systemie cyberbezpieczeństwa. Nowy słowniczek pojęć użytych w ustawie będzie bowiem obejmował między innymi:
 
  • CSIRT Telco – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na rzecz przedsiębiorców komunikacji elektronicznej (art. 2 pkt 3b ustawy),
  • dostawca sprzętu lub oprogramowania – oznacza producenta, upoważnionego przedstawiciela, importera i dystrybutora, o których mowa w rozporządzeniu (WE) nr 765/2008 dotyczącym produktów i usług dla infrastruktury telekomunikacyjnej, o której mowa w art. 2 pkt 14 ustawy z dnia… – Prawo komunikacji elektronicznej (art. 2 pkt 3e lit. b ustawy),
  • incydent telekomunikacyjny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi komunikacji elektronicznej (art. 2 pkt 8a ustawy).

 

Z kolei w zakresie definicji dostarczania sieci telekomunikacyjnej, usług komunikacji elektronicznej, telekomunikacyjnych urządzeń końcowych oraz sytuacji szczególnego zagrożenia projektodawca odwołuje się do definicji zawartych w projekcie ustawy „Prawo komunikacji elektronicznej, gdyż w celu zachowania „spójności systemu prawa. (…) Nie ma potrzeby dublowania definicji”. Projektowany art. 20 a ustawy nakłada na przedsiębiorcę komunikacji elektronicznej ogólny obowiązek brania pod uwagę możliwości wystąpienia sytuacji szczególnego zagrożenia. Stanowi ją, zgodnie z art. 2 pkt 65 projektowanej ustawy Prawo komunikacji elektronicznej: „stan nadzwyczajny, sytuację kryzysową, w rozumieniu ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (DzU 2019 r., poz. 1398 oraz z 2020 r., poz. 148, 284, 374 i 695) lub bezpośrednie zagrożenie dla bezpieczeństwa sieci i usług”. Celem, dla którego przedsiębiorca komunikacji elektronicznej powinien uwzględniać możliwość wystąpienia sytuacji szczególnego zagrożenia, jest zapewnienie ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej. W tym celu przedsiębiorca komunikacji elektronicznej:
 
  1. przeprowadza systematyczną ocenę ryzyka wystąpienia sytuacji szczególnego zagrożenia,
  2. podejmuje środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka, minimalizujące w szczególności wpływ, jaki na sieci telekomunikacyjne, usługi komunikacji elektronicznej lub podmioty korzystające z tych sieci lub usług może mieć wystąpienie sytuacji szczególnego zagrożenia, dotyczące następujących obszarów:
    • zapewnienia bezpieczeństwa infrastruktury telekomunikacyjnej, o której mowa w art. 2 pkt 14 ustawy z dnia … Prawo komunikacji elektronicznej,
    • postępowania w przypadku wystąpienia sytuacji szczególnego zagrożenia,
    • odtwarzania dostarczania sieci telekomunikacyjnych lub przywracania świadczenia usług komunikacji elektronicznej,
    • monitorowania, kontroli i testowania sieci telekomunikacyjnych lub usług komunikacji elektronicznej, przy uwzględnieniu aktualnego stanu wiedzy technicznej oraz kosztów wprowadzenia tych środków,
  3. dokumentuje prowadzenie analizy ryzyka oraz podejmowanie środków bezpieczeństwa, przy czym może to nastąpić w  planie działań w sytuacji szczególnego zagrożenia, o którym mowa w art. 47 ust. 1 projektu ustawy Prawo komunikacji elektronicznej. 

 

[...]

 

Adwokat. Inspektor ochrony danych. Wykładowca. Publicysta. Audytor wewnętrzny normy PN – ISO/IEC 27001:2014 – 12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"