Aktualizacja 28.07 10:11
Komitet Rady Ministrów ds. Cyfryzacji przyjął treść rozporządzenia. W porównaniu z wersją z przełomu czerwca i lipca dokonane zmiany mają w większości charakter redakcyjny.
Wyjątkiem jest (art. 7 pkt.1 ust. 12) usunięcie obowiązku wskazania dokumentu normującego wdrożenie systemu monitorowania bezpieczeństwa sieci. Można również zwrócić uwagę na usunięcie odwołania do publikacji ENISA (art.6 pkt.1 ust.2) w sprawie zaistniałych zagrożeń teleinformatycznych, aczkolwiek zastąpione to zostało zapisem szerszego charakteru. Istotne wydaje się również dodanie przepisu przejściowego, że aktualne plany działań na wypadek zagrożenia będą nadal obowiązywały do czasu ich terminu.
Ponadto w ostatecznej wersji ustawy zaprzestano stosowania pojęcia „cyberbezpieczeństwo”, pozostając przy bardziej uniwersalnym i pojemniejszym pojęciu „bezpieczeństwa sieci”.
Z tabeli uwag można wnioskować, że przyjęto zostało sporo postulatów redakcyjnych zgłaszanych przez izby branżowe.
---
W tym tygodniu Ministerstwo Cyfryzacji opublikowało nową wersję projektu rozporządzenia w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń – jednego z licznych ostatnio aktów prawnych dotyczących bezpieczeństwa sieci teleinformatycznych. W tym wypadku związanych bardziej z zagrożeniami natury fizycznej niż cyberinflitracji.
Pierwsza wersja tego dokumentu opublikowana została w styczniu br. Teraz pojawia się już trzecia iteracja.
Pośród zmian jest kolejne złagodzenie wielkości podmiotów, które mają obowiązek sporządzać i aktualizować plany działania na sytuacje szczególnego zagrożenia – zwiększono z 500 do 1000 liczbę zakończeń sieci (z własnym IP), jako przesłankę dla tego obowiązku. Już wcześniej podniesiono z 4 mln do 10 mln kwotę rocznych obrotów, która stanowi próg wejścia w obszar obowiązku sporządzania planów (w ocenie skutków regulacji przewiduje się, że obejmuje to ok. 90 operatorów).
Spod liberalizacji wyjęci zostali natomiast tzw. „przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym”, na których ciążą szczególne obowiązki, jeżeli chodzi o sporządzanie planów, kontrolowane przez MON.
Na życzenie resortu obrony doprecyzowane zostały także elementy planów działania w sytuacjach zagrożenia m.in. poprzez lepszą specyfikację i lokalizację kluczowy elementów infrastruktury. Doprecyzowano także zasady uzgadniania planów z właściwymi organami (np. wojewodami, Prezesem UKE).
Ciekawostką jest, że w stosunku do pierwszej wersji dokumentu usunięty został zapis o szczególnych obowiązkach operatorów sieci 5G. Pierwotnie w projekcie znajdował się zapis o uwzględnieniu środków ostrożności podjętych na mocy rozporządzenia o minimalnych środkach technicznych (art. 175d Pt).