Wczoraj opublikowane zostało znowelizowane rozporządzenie ministra cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Pośród operatorów telekomunikacyjnych dotyczy ono głównie operatorów punktu wymiany ruchu IP. Reszta telekomów podlega wymogom narzucanym przez Prawo telekomunikacyjne.
Nowelizacja przyjętego w ub.r . rozporządzenia miała uelastycznić zasady organizacji pracy (głównie systemu zabezpieczeń) komórek odpowiedzialny za reagowanie na incydenty w dziedzinie cyberbezpieczeństwa poprzez szacowanie ryzyka zajścia takich wydarzeń oraz szacowanie poziomu niezbędnych zabezpieczeń. To się udało raczej częściowo.
W toku konsultacji rozporządzenia padały uwagi, że pojemne i elastyczne sformułowania są niekonkretne w związku z czym podmiot zobowiązany nie ma pewności, w jaki sposób realizować swoje zobowiązania. Stąd też szczegółowe i enumeratywne wyliczenie zasad zabezpieczenia pomieszczeń służących jednostkom cyberbezpieczeństwa, która znowu spotkała się z krytyką.
Polska Izba Informatyki i Telekomunikacji wskazywała w swoim stanowisku, że choć intencją nowelizacji jest uelastycznienie obowiązków, to zestaw minimalnych wymagania znosi tę zasadę.
– Oparcie się wyłącznie na analizie ryzyka spowoduje brak wypełnienia delegacji ustawowej – odpowiadało jednak Ministerstwo Cyfryzacji.
Resort przychylił się jednak do postulatów o wydłużenie terminu wejścia nowych zasad w życie. Zamiast 30 dni na wdrożenie podmioty zobowiązane dostały 6 miesięcy.
Zracjonalizowano również wymogi dotyczące kwalifikacji personelu odpowiedzialnego za obszar cyberbezpieczeństwa.