Bezpieczeństwo sieci i usług telekomunikacyjnych – na co muszą przygotować się przedsiębiorcy?

29 lipca 2020, 13:00

mec. Anna Gąsecka, Kancelaria Brzezińska Narolski Adwokaci

◦ opracować i aktualizować dokumentację zawierającą opis stosowanych środków bezpieczeństwa;

◦ posiadać wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy;

◦ zidentyfikować zagrożenia i ocenić prawdopodobieństwo ich wystąpienia;

◦ zapewnić i stosować środki minimalizujące skutki wystąpienia zagrożeń;

◦ ustanowić zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, zabezpieczyć dostęp do nich i go monitorować;

◦ ustanowić zasady bezpiecznego zdalnego przetwarzania danych;

◦ monitorować funkcjonowanie sieci i usług;

◦ ustalić wewnętrzne procedury zgłaszania incydentów bezpieczeństwa oraz umożliwić użytkownikom końcowym ich zgłaszanie.

To przedsiębiorca telekomunikacyjny musi samodzielnie zidentyfikować ryzyka, które mogą zagrażać jego sieci lub usługom i ocenić, na ile realne jest ich rzeczywiste wystąpienie i zastosować takie środki, które uzna za adekwatne i właściwe, by przed tymi ryzykami się ochronić. Musi także posiadać niezbędne wykazy i procedury oraz monitorować ich aktualność i prawidłowość stosowania. Rozporządzenie stanowi swoistą check-listę, która ma na celu umożliwienie i ułatwienie kontroli przez UKE realizacji obowiązków z zakresu zapewnienia bezpieczeństwa sieci i usług.

  • Trwają prace legislacyjne nad rozporządzeniem dotyczącym planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń. Dotychczas obowiązek posiadania takiego planu (z pewnymi drobnymi wyjątkami), dotyczył wszystkich przedsiębiorców telekomunikacyjnych. Praktyka pokazała jednak, że podmioty właściwe w sprawach zarządzania kryzysowego, z którymi przedsiębiorcy mieli obowiązek uzgadniać plany, nie były szczególnie zainteresowane współpracą z mniejszymi operatorami. Stąd planowane zwolnienie z obowiązku sporządzania planu tych przedsiębiorców, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były równe lub mniejsze od kwoty 10 milionów złotych, i których działalność polega wyłącznie na świadczeniu usług dostępu do sieci internet za pośrednictwem sieci telekomunikacyjnej obsługującej do 1 000 zakończeń sieci posiadających własny adres IP.
Choć zniesienie obowiązku sporządzania planu działań w sytuacji szczególnych zagrożeń dla mniejszych przedsiębiorców trzeba ocenić bardzo pozytywnie, to niepokojące było wyrażone podczas konsultacji projektu rozporządzenia z 22 czerwca 2020 r. stanowisko przedstawicieli UKE. Zgodnie z nim, skoro nie będzie możliwości kontrolowania mniejszych przedsiębiorców w zakresie posiadania prawidłowo uzgodnionych planów, to niezbędne jest zapewnienie możliwości kontroli realizacji przez nich obowiązków z zakresu stosowania środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci i usług.

Można odnieść wrażenie, że podstawowym celem wprowadzenia regulacji, która – jak należy zakładać – ma służyć pomocą przedsiębiorcom w stosowaniu właściwych i skutecznych środków zapewnienia bezpieczeństwa sieci i usług, stanie się de facto narzędziem kontroli i podstawą do nakładania kar. Przy takiej deklaracji UKE przedsiębiorcy powinni szczególnie zadbać o to, by wraz z upływem 6-miesięcznego vacatio legis rozporządzenia z 22 czerwca 2020 r. byli przygotowani na kontrolę UKE i posiadali opracowaną dokumentację oraz wdrożone procedury zapewniające realizację wymogów wynikających z nowych przepisów. Muszą też liczyć się z jego nowelizacją po wejściu w życie PKE.

Podmioty działające w branży telekomunikacyjnej z pewnością nie będą mogły w najbliższym czasie narzekać na nudę.

AUTORKA

Adwokat w Kancelarii Brzezińska Narolski Adwokaci. Specjalizuje się w prawie telekomunikacyjnym, prowadzi obsługę korporacyjną firm z branży telekomunikacyjnej, farmaceutycznej, dystrybucyjnej i usługowej.

Materiał powstał w cyklu „Dyskusja nad Prawem Komunikacji Elektronicznej. W ramach dyskusji ukazały się następujące materiały:

  1. Jan Jeliński: Nowe „prawo telekomunikacyjne” a płatności mobilne. Bez związku?
  2. Jakub Woźny: M2M/IoT w prawie komunikacji elektronicznej
  3. Korina Sudół, Jakub Woźny: Prowizoryczna rekonstrukcja umów abonenckich?
  4. Tomasz Bukowski: Utrzymanie ciągłości dostępu do internetu przy zmianie dostawcy usług
  5. Korina Sudół: Kolejna rewolucja w dokumentach abonenckich?
  6. Agata Pawlak, Korina Sudół: Usługa powszechna – jakie zmiany czeka rynek?
  7. Marcin Karolak: Transmisje radiowe i telewizyjne w nowym Prawie Komunikacji Elektronicznej
  8. Agata Pawlak, Maciej Jankowski: PKE vs. PKE – najważniejsze zmiany w projekcie ustawy
  9. Andrzej Fudala: Podsłuch, inwigilacja, kontrola informacji – czy to legalne?
  10. Debata: Ile ewolucji, ile rewolucji w PKE?
  11. Anna Gąsecka: Bezpieczeństwo sieci i usług telekomunikacyjnych – na co muszą przygotować się przedsiębiorcy?
  12. Patrycja Kańduła-Antkowiak: Wideoweryfikacja abonentów – ułatwienie czy nowa „kłody pod nogi”?
  13. Maciej Jankowski: Niedługo obowiązkowe streszczanie umów abonenckich
  14. Wojciech Krupa: Instytucja decyzji generalnych w projekcie PKE
  15. Andrzej Fudala: Koszty realizacji obowiązków winno refundować państwo
  16. Cezary Albrecht: Cyfryzacja w projekcie PKE – zmiana na lepsze?
  17. Ireneusz Piecuch: Co w bezpieczeństwie sieci i usług?

Napisz do autora