AKTUALIZACJA
W trakcie przygotowywania poniższego tekstu do publikacji, w dniu 5 października 2022 r., na stronie Ministerstwa Cyfryzacji w zakładce Projekty aktów prawnych MC pojawił się nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej zwana „UKSC”).
Oryginalny artykuł nie opisuje wszystkich zagadnień objętych projektem UKSC, w związku z czym w przygotowanej erracie zostaną wskazane zmiany wprowadzone w nowym brzmieniu noweli.
Rozbieżności występujące między treścią artykułu a nowym brzmieniem UKSC to:
- doprecyzowanie w projekcie, że przedsiębiorcy komunikacji elektronicznej powinni przeprowadzać szacowanie ryzyka co najmniej raz w roku,
- wprowadzenie w projekcie wyłączenia poprzez wskazanie, że w zgłoszeniu poważnego incydentu telekomunikacyjnego opisuje się wpływ tego incydentu na świadczenie usług kluczowych i cyfrowych, jeżeli jest on znany,
- zwolnienie przedsiębiorców komunikacji elektronicznej z obowiązku poinformowania użytkowników o znacznym zagrożeniu wystąpienia incydentu telekomunikacyjnego, jeżeli spowoduje to zwiększenie poziomu ryzyka dla bezpieczeństwa sieci lub usług komunikacji elektronicznej.
W zakresie, który nie został bezpośrednio omówiony w oryginalnym artykule pojawiły się zdecydowanie bardziej radykalne zmiany. Z punktu widzenia osób zainteresowanych branżą telekomunikacyjnych, a w szczególności przedsiębiorców, zwłaszcza jeden z nich wydaje się na tyle interesujący, że warto nakreślić zaproponowaną zmianę.
Mowa oczywiście o temacie wzbudzającym największe kontrowersje, czyli powołaniu przez operatora strategicznej sieci bezpieczeństwa dedykowanego podmiotu do obsługi hurtowej sieci 5G – spółki Polskie5G. W obecnym brzmieniu projektu UKSC zniknęła koncepcja utworzenia odrębnego podmiotu, zaś zadania dotychczas powierzone spółce Polskie5G będzie wykonywał sam operator strategicznej sieci bezpieczeństwa.
---
Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej zwana „UKSC”) prowadzone są od blisko dwóch lat, a mimo istotności materii nie wydają się zmierzać ku końcowi. Choć w marcu bieżącego roku zaproponowano nowe brzmienie projektu ustawy, wciąż trwają negocjacje co do kluczowych aspektów planowanych zmian. Pod znakiem zapytania wciąż pozostają procedury uznania podmiotu za dostawcę wysokiego ryzyka (co wiąże się z koniecznością wycofania produktów takiego dostawcy z rynku), czy rola operatora strategicznej sieci bezpieczeństwa, który ma być odpowiedzialny za realizację zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w aspekcie telekomunikacyjnym.
Mimo niepewności w poszczególnych sektorach, możemy być pewni niektórych zmian. Już na tym etapie wiadomo, że na podstawie nowego UKSC przedsiębiorcy telekomunikacyjni zostaną włączeni do krajowego systemu cyberbezpieczeństwa. Zmiana ta będzie pociągała za sobą wprowadzenie szeregu nowych obowiązków. Zaklasyfikowanie do krajowego systemu cyberbezpieczeństwa oczywiście będzie oznaczało ściślejszy nadzór organów kontroli oraz więcej formalności (czego i dotychczas ustawodawca nie szczędził operatorom).
Zupełną nowością będzie włączenie ich do grona podmiotów współpracujących z pełnomocnikiem rządu ds. cyberbezpieczeństwa, który będzie uprawniony do wydawania ostrzeżeń w sytuacji podejrzenia wystąpienia ryzyka cybernetycznego oraz do rekomendowania przedsiębiorcom działań zaradczych.
Przedsiębiorcy telekomunikacyjni, jako podmioty znajdujące się w pierwszej linii zagrożenia cybernetycznego, zostaną zobowiązani do wprowadzenia działań zarówno prewencyjnych, jak i mechanizmów naprawczych dla sytuacji szczególnego zagrożenia.
Zgodnie z projektowanym brzmieniem UKSC, każdy operator zobowiązany będzie (we współpracy z pełnomocnikiem rządu) do systematycznego szacowania ryzyka wystąpienia sytuacji kryzysowych, stanów nadzwyczajnych oraz bezpośredniego zagrożenia dla infrastruktury. W efekcie operator będzie zobligowany do wprowadzenia środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka. Wymagane będzie również (oczywiście ze strony dostawców usług) zapewnienie poufności, integralności, dostępności oraz autentyczności przetwarzania danych.
Tak szerokie ujęcie tematu nie wyjaśnia czego właściwie oczekuje się realnie od operatorów. Dlatego ustawodawca precyzuje zakres obowiązków poprzez wskazanie, że wszystkie powyższe działania mają być stosowane dla:
- zapewnienia bezpieczeństwa infrastruktury telekomunikacyjnej,
- postępowania w przypadku wystąpienia sytuacji szczególnego zagrożenia,
- odtwarzania dostarczania sieci telekomunikacyjnych lub przywracania świadczenia usług komunikacji elektronicznej,
- monitorowania, kontroli i testowania sieci telekomunikacyjnych lub usług komunikacji elektronicznej.
Obszar jest szeroki i w konsekwencji oznacza:
- bieżące monitorowanie przez przedsiębiorców telekomunikacyjnych ruchów w sieci,
- stałą aktualizację systemów zabezpieczających,
- wdrożenie procedur szybkiego reagowania,
- zapewnienie rezerw sprzętowych oraz alternatywnych tras dostarczania sygnału,
- reagowanie na komunikaty pełnomocnika.
Cała aktywność operatora w powyższym zakresie, zgodnie z projektem UKSC, ma być dokumentowana. W zależności od tego, czy przedsiębiorca telekomunikacyjny jest objęty na podstawie przepisów ustawy Prawo telekomunikacyjne, obowiązkiem sporządzenia planu działań w sytuacji szczególnych zagrożeń, będzie on zobowiązany do ujęcia powyżej opisanych czynności w planie. Jeżeli natomiast od takiego obowiązku jest zwolniony, nowe przepisy zobowiążą go do sporządzenia zupełnie nowej dokumentacji.