Nowelizacja przepisów dotyczących bezpieczeństwa w telekomunikacji ciąg dalszy. Czy będzie łatwiej, prościej i taniej?

W dniu 7 września 2020 r. Ministerstwo Cyfryzacji przekazało do konsultacji publicznych projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych. Podobnie jak w przypadku projektu ustawy Prawo komunikacji elektronicznej podjęliśmy wyzwanie i zgłosiliśmy ponad trzydzieści uwag do tego projektu.

Aktualnie obowiązująca ustawa o krajowym systemie cyberbezpieczeństwa nie dotyczy przedsiębiorców telekomunikacyjnych w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów. Sprawy cyberbezpieczeństwa w telekomunikacji określono w ustawie Prawo telekomunikacyjne w części dotyczącej bezpieczeństwa i integralności sieci i usług telekomunikacyjnych.

W jednej części przepisów ustawy Prawo telekomunikacyjne (w PKE podobnie) określono wymogi dotyczące planów działań przedsiębiorców telekomunikacyjnych w sytuacjach szczególnych zagrożeń, świadczeń obronnych na rzecz organów administracji publicznej, zarządzania kryzysowego oraz określono obowiązki dotyczące cyberbezpieczeństwa, mimo, że są to bardzo różne obowiązki.

W projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych podjęto próbę uregulowania spraw dotyczących cyberbezpieczeństwa w komunikacji elektronicznej.

Trudności w pełnej ocenie regulacji dotyczących cyberbezpieczeństwa w komunikacji elektronicznej spowodowane są tym, że obok prac nad tym projektem ustawy trwają prace nad projektem ustawy Prawo komunikacji elektronicznej. Część spraw dotyczących bezpieczeństwa sieci telekomunikacyjnych lub usług komunikacji elektronicznej planuje się regulować w ustawie o KSC a części w ustawie PKE. Niestety nie określono precyzyjnie jaka część tej regulacji pozostanie w PKE, po udostępnieniu nowej wersji projektu PKE będzie możliwa pełna ocena tej regulacji. Pełną ocenę tych regulacji będzie można wykonać po opublikowaniu przez Ministerstwo Cyfryzacji projektów ustaw o KSC i PKE.
Zgłoszone przez nas uwagi do projektu KSC, podobnie jak do projektu PKE, dotyczyły głownie uproszczenia przepisów określających obowiązki spoczywające na przedsiębiorcach komunikacji elektronicznej.

Przedsiębiorcy telekomunikacyjni zadają pytania – czy nowe przepisy spowodują, że będzie łatwiej, taniej i prościej?

Na podstawie analiz przedstawionych przez MC projektów ustaw można śmiało stwierdzić, że łatwiej, taniej i prościej to już było. Widoczne są bardzo duże zmiany dotyczące relacji dostawcy usług telekomunikacyjnych z abonentem. W zakresie obowiązków na rzecz bezpieczeństwa pozornie zbyt wiele się nie zmienia, ale jak to bywa w życiu – diabeł tkwi w szczegółach.

Znacznie więcej uwagi projektodawcy PKE poświęcają cyberbezpieczeństwu, a właściwie w PKE nazwane jako bezpieczeństwo i integralność sieci telekomunikacyjnej, usług i danych. Obowiązki zapewnienia bezpieczeństwa sieci, usług i danych spoczywają na przedsiębiorcy telekomunikacyjnym już od wielu lat, na pewno od czasu uchwalenia Prawa telekomunikacyjnego w 2000 r.
W ustawach Prawo telekomunikacyjne z 2000 i z 2004 roku obowiązki z zakresu bezpieczeństwa sieci, usług i danych określano na bardzo dużym poziomie ogólności a najpoważniejszy obowiązek polega na wykonaniu, uzgodnieniu i wdrożeniu w przedsiębiorstwie planu działań w sytuacjach szczególnego zagrożenia.

Projekt PKE oraz projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa precyzuje a właściwie znacznie rozszerza obowiązki z omawianego zakresu. Jeśli wejdą w życie te przepisy w obecnie projektowanym kształcie, lub po niewielkiej modyfikacji, to każdy przedsiębiorca komunikacji elektronicznej będzie zobowiązany wdrożyć zasady ochrony sieci, usług i danych oraz to udokumentować. Przedsiębiorcy, którzy będą zobowiązani wykonać plan działań w sytuacjach szczególnych zagrożeń, dokumentowane działań dotyczących bezpieczeństwa będą mogli zawrzeć w tym planie. Pozostali będą musieli przygotować odrębną dokumentację.

Na czym mają polegać działania przedsiębiorcy w celu spełnienia wymogów dotyczących bezpieczeństwa sieci, usług i danych?

Pierwszym krokiem jaki należy wykonać to inwentaryzacja zasobów będących w dyspozycji przedsiębiorstwa i oceny tych zasobów uwzględniając ich wartość dla działalności przedsiębiorstwa. Dalszymi krokami będą zidentyfikowanie podatności zasobów na zagrożenia, oszacowanie ryzyka oraz zastosowanie dodatkowych zabezpieczeń stosownie do wyników wcześniejszych ocen i analiz. działania te należy prowadzić w trybie ciągłym, uwzględniając zmieniające się wszelkie okoliczności mające wpływ na bezpieczeństwo sieci, usług i danych.
Należy mieć już teraz świadomość, że wykonanie planu działań w wersji obowiązującej na podstawie przepisów ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne było znacznie łatwiejsze, prostsze a tym samym tańsze niż wykonanie planów działań na podstawie przepisów PKE i ustawy o KSC.

Od dłuższego czasu pracujemy już nad wzorami dokumentów, które pozwolą wdrożyć odpowiednie procedury do organizacji, żeby zadbać o bezpieczeństwo i integralność sieci i usług. Bardzo dobrze, że zajęliśmy się tym już w okresie wakacyjnym, ponieważ po szczegółowym przeanalizowaniu zagadnień okazuje się, że nie jest to tak proste i oczywiste jak mogłoby się wydawać na pierwszy rzut oka. W jednym z najbliższych artykułów podejmiemy próbę bardziej szczegółowego opisu obowiązków przedsiębiorców dotyczących planów działań oraz zapewnienia bezpieczeństwa sieci, usług i danych, do lektury których już teraz zapraszamy.


Czytaj także:
OBOWIĄZKI OBRONNE ISP