12 czerwca 2023

Bezpieczeństwo sieci i usług – zapomniane rozporządzenie

Przedsiębiorcy telekomunikacyjni wypełniają obowiązki w zakresie bezpieczeństwa sieci i usług od dawna. Wynikają one z Prawa telekomunikacyjnego (Pt) i w większości są już dobrze znane. Należą do nich m. in. obowiązki:

zapewnienia bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów odpowiednio do stopnia ryzyka (art. 175 ust. 1 Pt);
niezwłocznego informowania Prezesa UKE o naruszeniach bezpieczeństwa lub integralności sieci lub usług, które miały istotny wpływ na funkcjonowanie sieci lub usług oraz o podjętych środkach naprawczych (art. 175a ust. 1 Pt);
informowania Prezesa UKE o podjęciu środków w celu zapewnienia bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów, polegających na eliminacji przekazu lub przerwaniu świadczenia usługi telekomunikacyjnych (art. 175c ust. 2 Pt).

Na horyzoncie pojawiła się dyrektywa NIS2, która wymusi reformę w zakresie ww. obowiązków perspektywie najbliższych lat. Pewne zmiany mogą pojawić się znacznie szybciej, jeżeli wejdzie w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Projekt nowelizacji znajduje się na ostatnim etapie prac w Rządzie. Jego dalsze losy nie są pewne, jako że prace nad projektem nowelizacji trwają od prawie 4 lat – projekt wzbudza pewne kontrowersje. Kadencja Sejmu kończy się jesienią br., obecny parlement może zatem nie zdążyć jej uchwalić. Swoista giełda możliwych zmian jest dobrym powodem, aby zweryfikować, czy w oczekiwaniu na nowe regulacje nie mamy jeszcze czegoś do nadrobienia.

Z naszej praktyki i kontaktów z telekomami wynika, że nie wszyscy przedsiębiorcy telekomunikacyjni są świadomi istnienia rozporządzenia Ministra Cyfryzacji z dnia 22 czerwca 2020 roku w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. To rozporządzenie zostało wydane dopiero w roku 2020, pomimo że upoważnienie ministra do jego wydania, czyli art. 175d Pt, obowiązuje od dawna. Do czasu wydania tego rozporządzenia przedsiębiorcy telekomunikacyjni sami decydowali, jakie rodzaje środków technicznych i organizacyjnych zastosują, aby zapewnić bezpieczeństwo sieci i usług telekomunikacyjnych. Rozporządzenie wprowadza bardziej szczegółowe niż dotychczas zasady w tym zakresie.

Przywołane rozporządzenie zawiera listę wymogów, wśród których znajdują się m. in. obowiązki:

przeprowadzania oceny bezpieczeństwa sieci i usług telekomunikacyjnych raz na dwa lata oraz po każdym istotnym naruszeniu bezpieczeństwa i wykryciu podatności;
sporządzenia wykazu kluczowej infrastruktury danego przedsiębiorcy i ustanowienia zasad i procedur dostępu do kluczowej infrastruktury i przetwarzanych danych;
opracowania i aktualizowania dokumentacji dotyczącej bezpieczeństwa i integralności sieci i usług, zawierającej opis zastosowanych środków;
dokonywania oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
ustanowienia zasad bezpiecznego zdalnego przetwarzania danych;
ustalenia wewnętrznych procedur zgłaszania naruszeń bezpieczeństwa bądź integralności sieci lub usług.

Powyższe obowiązki spoczywają na wszystkich przedsiębiorcach telekomunikacyjnych. Przedsiębiorcy dostarczający sieć 5G są dodatkowo zobowiązani m.in. do stosowania strategii skutkującej brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej.

Przedsiębiorcy telekomunikacyjni już teraz są zatem zobowiązani nie tylko do zapewniania bezpieczeństwa sieci, usług i przekazu komunikatów, lecz również do utrwalania podejmowanych w tym zakresie działań w odpowiedniej dokumentacji. Powinni także posiadać pakiet procedur zmierzających do zachowania bezpieczeństwa oraz przeprowadzać ocenę bezpieczeństwa sieci i usług w cyklu co najmniej 2-letnim. Dostawcy sieci 5G z kolei nie mogą uzależniać się od jednego producenta elementów sieci i powinni wykazać, w jaki sposób osiągają ten cel.

Z uzasadnienia rozporządzenia wynika, że przedsiębiorcy telekomunikacyjni powinni kłaść większy nacisk na bezpieczeństwo sprzętowe i oprogramowania. Wynika to z faktu, że najczęstszymi przyczynami naruszeń bezpieczeństwa są awarie sprzętu i błędy oprogramowania. Takie awarie i błędy stoją za 62% ogółu incydentów zgłoszonych przez kraje UE oraz EFTA do europejskiej agencji ds. cyberbezpieczeństwa ENISA.

Na koniec trzeba podkreślić, że obowiązki określone w rozporządzeniu z 2020 roku spoczywają na wszystkich przedsiębiorcach telekomunikacyjnych, niezależnie od ich wielkości. Na szczęście konkretne rozwiązania mogą zależeć od skali i charakteru prowadzonej działalności. Tym niemniej, odpowiednia dokumentacja i wszystkie rodzaje procedur wskazane w rozporządzeniu powinny istnieć u każdego przedsiębiorcy telekomunikacyjnego.

← poprzedni wpis następny wpis →

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-advertisement	1 rok	Ten plik „cookie”, ustawiony przez wtyczkę RODO Cookie Consent, służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Reklama”.
CookieLawInfoConsent	1 rok	Ten plik „cookie” służy do przechowywania informacji o ustawieniach wyrażonej zgody na wykorzystywanie plików „cookies”.
cookielawinfo-checkbox-others	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Inne”.
cookielawinfo-checkbox-analytics	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Analityka”.
cookielawinfo-checkbox-performance	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Wydajnościowe”.
cookielawinfo-checkbox-functional	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Niezbędne”.
viewed_cookie_policy	12 miesięcy	Niezbędne pliki „cookies” są konieczne do prawidłowego funkcjonowania strony internetowej. Te pliki „cookies” zapewniają anonimowe działanie podstawowych funkcji i zabezpieczeń strony internetowej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Ten plik „cookie” instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_gat_gtag_UA_221281335_1	1 minuta	Ten plik „cookie” instalowany przez Google Analytics, pozwala na rozróżnienie użytkowników.
_gid	1 dzień	Ten plik „cookie” instalowany przez Google Analytics przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej.