Wczoraj w Dzienniku Ustaw opublikowane zostało rozporządzenie ministra cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług, kolokwialnie zwane „rozporządzeniem o sieci 5G”.
Rozporządzenie wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia, czyli nie ma jeszcze mocy obowiązującej.
Rozporządzenie, stanowiące delegację obecnie obowiązującego Prawa telekomunikacyjnego, zawiera szereg zaleceń dotyczących bezpieczeństwa sieci i usług. Do bardziej konkretnych zapisów należy konieczność zdefiniowania elementów infrastruktury uznanych za „kluczowe”, ustanowienie zasad dostępu do niej i przypisanie za to (wewnętrznej?) odpowiedzialności.
Należy zapewnić również system monitorowania bezpieczeństwa sieci oraz opracować system zgłaszania naruszeń przez pracowników operatora, ale również przez jego klientów. Konieczne jest również „przeprowadzenie oceny” bezpieczeństwa sieci raz na 2 lata lub po każdym incydencie bezpieczeństwa.
Wszystkie powyższej przepisy korespondują (i są zbliżone) z wymaganiami, jakie nakłada ustawa o krajowym systemie cyberbezpieczeństwa.
Jeżeli wreszcie chodzi o sieci 5G (ściśle normę: ETSI TR 121 915 V.15.0.0, czyli 5G Faza 1), to wykorzystujący taką technologię przedsiębiorcy telekomunikacyjni mają obowiązek zapewnić „podwyższoną odporność na zakłócenia” oraz nie dopuścić do uzależnienia od jednego dostawcy poszczególnych rodzajów elementów infrastruktury.
Ponadto operatorzy sieci 5G podlegają rekomendacjom, jakie ma prawo wydać pełnomocnik ds. cyberbezpieczeństwa działający na podstawie ustawy o krajowym systemie cyberbezpieczeństwa. Rekomendacje mają charakter zmienny i elastyczny, ale ich stosowanie nie wydaje się obligatoryjne.