Komitet Rady Ministrów ds. Cyfryzacji przyjął projekt rozporządzenia Ministra Cyfryzacji ws. minimalnych środków oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. tzw. rozporządzeniem o bezpieczeństwie sieci 5G.
Do projektu wprowadzone zostały uwagi, zgłoszone przez Rządowe Centrum Legislacji.
Jak zauważono w uzasadnieniu, obecnie przedsiębiorcy telekomunikacyjni sami decydują, jakie rodzaje środków technicznych i organizacyjnych chcą zastosować, aby zapewnić bezpieczeństwo sieci i usług telekomunikacyjnych.
– Brakuje jednolitych standardów prawnych, które działając w interesie obywateli, obligowałyby przedsiębiorców telekomunikacyjnych do stosowania konkretnych rodzajów rozwiązań w zakresie bezpieczeństwa – napisano w uzasadnieniu projektu.
Według projektu, przedsiębiorca telekomunikacyjny dostarczający sieć 5G będzie musiał uwzględnić rekomendacje dotyczące bezpieczeństwa urządzeń informatycznych lub oprogramowania, o których mowa w ustawie o krajowym systemie cyberbezpieczeństwa. Będzie też musiał unikać uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług i zadbaniu o podwyższoną odporność na zakłócenia sieci i usług telekomunikacyjnych.
Dodatkowo, przedsiębiorca telekomunikacyjny będzie zobowiązany do opracowywania i aktualizacji: dokumentacji dotyczącej bezpieczeństwa i integralności sieci oraz usług, a także wykazu elementów kluczowej infrastruktury telekomunikacyjnej.
Na bieżąco będzie też musiał: identyfikować zagrożenia, oceniać prawdopodobieństwo wystąpienia oddziaływania zagrożeń, zapewniać i stosować środki minimalizujące skutki wystąpienia oddziaływań zagrożeń.
Przedsiębiorcy mają też ustanawiać zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, zabezpieczać dostęp do kluczowej infrastruktury, monitorować ten dostęp, ustanawiać zasady bezpiecznego zdalnego przetwarzania danych, stosować wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń środki zabezpieczające dla poszczególnych kategorii danych.
W myśl proponowanych przepisów przedsiębiorcy telekomunikacyjni zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług będą musieli identyfikować zagrożenia, zapewniać monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych, by skutecznie wykrywać naruszenia bezpieczeństwa lub integralności. Ich obowiązkiem będzie też opracowanie wewnętrznych procedur zgłaszania naruszeń bezpieczeństwa lub integralności sieci, lub usług.
Ocena bezpieczeństwa sieci i usług telekomunikacyjnych ma być przeprowadzana co najmniej raz na dwa lata oraz po każdym stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym naruszeniem oraz wykryciu podatności zwiększającej poziom ryzyka wystąpienia takiego naruszenia.
Rozporządzenie ma wejść w życie po 6 miesiącach od jego ogłoszenia.
