Jak uzasadnia niniejszy obowiązek ustawodawca, sporządzenie dokumentacji pozwoli na rozliczalność działań oraz skuteczne przeprowadzenie audytu i kontroli przez organy administracji. Bardzo szeroki zakres zagadnień, nad którymi stałą kontrolę mają sprawować przedsiębiorcy telekomunikacyjni, uzasadnia potrzebę zaprezentowania przez organy przykładowej propozycji takiej dokumentacji. Będziemy jednak musieli poczekać, czy organy uznają taką konieczność.
Szybkie reagowanie na sytuacje zagrożenia jest priorytetem dla skuteczności walki z cyberatakami. Dlatego ustawodawca niejako przysposobił instytucję „incydentu” – znaną z tematyki RODO – w nowym brzmieniu UKSC. Rozwiązanie ma zapewnić sprawny przepływ informacji między przedstawicielami rynku telekomunikacyjnego a specjalnie powołanym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego ds. telekomunikacji – CSIRT Telco. Operator będzie zobowiązany do niezwłocznego, nie później niż w ciągu 24 godzin od momentu wykrycia incydentu telekomunikacyjnego, zgłoszenia go do CSIRT Telco, który we współpracy z operatorem zajmie się jego obsługą.
Podobnie jak w przypadku zidentyfikowania incydentu RODO, przedsiębiorca telekomunikacyjny będzie miał obowiązek poinformować o zaistniałym zagrożeniu abonentów. Komunikat będzie miał obejmować informacje o możliwych środkach, które użytkownicy mogą podjąć, by zminimalizować straty, ewentualnych kosztach jakie powstaną po stronie abonenta, a także o wpływie incydentu na dostępność świadczonych usług.
Jak można zauważyć, choć ustawodawca nie przewiduje takiego obowiązku w projekcie, konieczne będzie powołanie w strukturach operatora specjalnej komórki odpowiedzialnej za niezwłoczne reagowanie na sytuacje zagrożenia. Restrykcyjne obowiązki co do czasu zawiadomienia organów wymagają stałego monitorowania sieci oraz odbierania sygnałów od podmiotów zewnętrznych.
Ustawodawca przewiduje sprawowanie pieczy nad wypełnianiem powyższych obowiązków za pośrednictwem Prezesa Urzędu Komunikacji Elektronicznej. Będzie on uprawniony do oceny zastosowanych przez przedsiębiorcę telekomunikacyjnego środków. Jeżeli powstaną wątpliwości po stronie organu, co do prawidłowości wykonywania przez operatora obowiązków, Prezes UKE może zarządzić przeprowadzenie (na koszt przedsiębiorcy) audytu bezpieczeństwa. Jeżeli działania naprawcze nie przyniosą oczekiwanego skutku, na operatora może zostać nałożona kara pieniężna.
Oczywiście, w modelowym rozwiązaniu, dla zapewnienia pełnego bezpieczeństwa sieci i użytkowników oraz uniknięcia ryzyka obciążenia finansowego, najlepszym rozwiązaniem byłoby skrupulatne wypełnianie wszystkich powyższych obowiązków. Jednak, jak wiadomo z praktyki, podczas wdrażania nałożonych nich obowiązków operatorzy często zostają pozostawieni sami sobie. Uzyskanie wskazówek od organów, jak w praktyce sprostać wymaganiom, pozostaje pobożnym życzeniem. Miejmy jednak nadzieję, że tym razem organy ułatwią proces wdrażania nowych obowiązków.
Podsumowując, prace nad nowelizacją UKSC trwają nadprogramowo długo, a ustawodawca czuje na karku oddech Komisji Europejskiej, która grozi nałożeniem kary na Polskę za brak dostosowania przepisów krajowych do regulacji unijnych. Taka sytuacja może skutkować nagłym zrywem ustawodawcy, a w konsekwencji niespodziewanym wejściem przepisów w życie. Dlatego operatorzy telekomunikacyjni powinni przygotować się do wdrożenia nowych dokumentacji na wypadek wystąpienia cyberzagrożeń i przygotować swoje firmy (ale także pracowników) do obsługi incydentów telekomunikacyjnych.
Jako kancelaria posiadamy doświadczenie w opracowaniu zarówno planów działań w sytuacji szczególnych zagrożeń jak i dokumentacji przygotowującej operatorów do wdrożenia mechanizmów radzenia sobie z cyberzagrożeniami.
Jeżeli temat cyberbezpieczeństwa Państwa zainteresował, zapraszamy do kontaktu pod adresem info@brightspot.pl lub pod numerem telefonu 12 311 04 42.