Zgodnie z projektem tego aktu wykonawczego z końca kwietnia tego roku, przedsiębiorca telekomunikacyjny, zobowiązany będzie w szczególności do:
- opracowania i aktualizowania dokumentacji dotyczącej bezpieczeństwa i integralności sieci,
- utworzenia wykazu elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy,
- identyfikacji zagrożeń bezpieczeństwa lub integralności sieci lub usług oraz dokonania oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług oraz stosowania, wynikających z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń środków zabezpieczające dla poszczególnych kategorii danych.
Ponadto projekt rozporządzenia przewiduje konieczność zapewnia monitorowanie i dokumentowanie funkcjonowania sieci i usług pod kątem bezpieczeństwa oraz obowiązek przeprowadzania oceny bezpieczeństwa co najmniej raz na dwa lata i po każdym stwierdzonym incydencie o istotnym wpływie na funkcjonowanie sieci (w zakresie objętym naruszeniem) oraz po każdym wykryciu podatności zwiększającej poziom ryzyka).
Zgodnie z treścią par. 3 projektu rozporządzenia, przedsiębiorca telekomunikacyjny dostarczający sieć piątej generacji (5G), zobowiązany będzie także stosować rekomendacje, o których mowa w art. 33 ust. 4 UKSC a ponadto gwarantować brak uzależnienia się od jednego producenta elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług. Oba te zapisy wzbudzają kontrowersje i zapewne będą jeszcze przedmiotem dyskusji.
Z pewnością jednak warto byłoby ujednolicić zasady związane z szacowaniem ryzyka, tak aby uzyskać niezbędną dla uniknięcia arbitralności skalę porównawczą i choć takie zasady nie znalazły się w projekcie rozporządzenia, to postulat ich opracowania został już zgłoszony przez KIGEiT.
Jako, że treść upoważnienia ustawowego jest niemalże taka sama w PT i w projekcie PKE, należy przypuszczać, że rozporządzenie wydane na bazie art. 41 PKE pokrywać się będzie z rozporządzeniem, które zostanie wydane na podstawie art. 175d PT.
Warto wspomnieć, że na bazie tego samego art. 41 PTE, Prezes UKE uzyskuje możliwość nakładania obowiązków zastosowania dodatkowych środków technicznych i organizacyjnych i poddania ich audytowi zewnętrznemu z obowiązkiem udostępnienia wyników takiego audytu regulatorowi. Projekt ustawy nie ogranicza ilości takich audytów, co może budzić poważne zastrzeżenia. Tym bardziej, że audyty takie odbywają się na koszt przedsiębiorcy telekomunikacyjnego.
Co ciekawe, w projektowanej ustawie zabrakło odpowiednika artykułu 175c PT, który pozwala na podjęcie przez przedsiębiorcę telekomunikacyjnego proporcjonalnych i uzasadnionych środków celem zapewnienie bezpieczeństwa i integralności sieci i usług oraz przekazu komunikatów (przykładowo: przerwanie lub ograniczenie świadczenia usługi telekomunikacyjnej).
