20 czerwca 2024

Cyberbezpieczeństwo w telekomunikacji. Pytania i odpowiedzi (1)

Nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa – inaczej niż aktualnie obowiązujące regulacje – obejmie swoim zakresem również przedsiębiorców telekomunikacyjnych. Warto zapoznać się z nowymi obowiązkami. Rozpoczynamy cykl pytań i odpowiedzi (Q&A), w których wyjaśnimy zawiłości projektu. 

    1. Czy według projektu nowych regulacje cyberbezpieczeństwa obejmą one wszystkich przedsiębiorców telekomunikacyjnych? 

Tak. Zgodnie z projektem, przedsiębiorcy telekomunikacyjni, a nawet szerzej, przedsiębiorcy komunikacji elektronicznej, wejdą do krajowego systemu cyberbezpieczeństwa, niezależnie od wielkości (mikro, małe i średnie przedsiębiorstwa również).  

Warto pamiętać, że przedsiębiorcy telekomunikacyjni mogą zostać objęci systemem cyberbezpieczeństwa nie tylko ze względu na świadczone usługi telekomunikacyjne, ale również ze względu na inne świadczone usługi. Te inne usługi mogą to być: 

  • usługi DNS (w tym przypadku również niezależnie od wielkości przedsiębiorcy), 
  • usługi zarządzane w zakresie cyberbezpieczeństwa (usługi związane z instalacją, eksploatacją lub konserwacją produktów ICT, usług ICT, procesów ICT lub systemów informacyjnych poprzez wsparcie lub aktywną administrację przeprowadzane u usługobiorcy lub zdalnie – związane z zarządzaniem ryzykiem w zakresie cyberbezpieczeństwa lub zapewnia pomoc dla tych działań),  
  • lub inne wskazane w przepisach.

    2. Czy według projektu nowe regulacje cyberbezpieczeństwa będą takie same dla wszystkich przedsiębiorców telekomunikacyjnych? 

Nie. W zależności od wielkości przedsiębiorcy telekomunikacyjnego będą oni „podmiotami ważnymi” lub „podmiotami kluczowymi”. Projektu ustawy, na wzór przepisów europejskich, różnicuje (co prawda w niewielkim stopniu) obowiązki przedsiębiorców, w zależności od tego, czy zostaną zakwalifikowani do podmiotów ważnych czy podmiotów ważnych.  

W projekcie są również przepisy szczególne, np. dotyczące dostawców wysokiego ryzyka, które z jednej ograniczają obowiązki przedsiębiorców telekomunikacyjnych o rocznych przychodach z działalności telekomunikacyjnej poniżej 10 milionów złotych, a z drugiej dają szczególne uprawnienia procesowe przedsiębiorcom telekomunikacyjnym o rocznych przychodach powyżej dwudziestotysięcznej krotności przeciętnego wynagrodzenia w gospodarce narodowej (około 160 milionów złotych).

   3. Czy ewentualne ograniczenie z korzystania z produktów, usług lub procesów dostawcy wysokiego ryzyka (HRV) będzie obowiązywało wszystkich przedsiębiorców telekomunikacyjnych? 

Co do zasady nie, ale…  

Po pierwsze, Projektodawca wyraźnie wskazał, że jedną z przesłanek wyznaczenia konkretnego podmiotu jako dostawcy wysokiego ryzyka może być uznany ten, czyj sprzęt lub oprogramowanie są wykorzystywane przez przedsiębiorców telekomunikacyjnych o rocznych przychodach z działalności telekomunikacyjnej powyżej 10 milionów złotych. Zatem wykorzystywanie sprzęt lub oprogramowania przez wyłącznie mniejszych operatorów nie powinno być przesłanką do uznania danego podmiotu za dostawcę usług wysokiego ryzyka. 

Po drugie, zobowiązanie do wycofania produktów ICT, rodzajów usług ICT oraz konkretne procesy ICT dostawców wysokiego ryzyka również odnosi się do przedsiębiorców telekomunikacyjnych o rocznych przychodach z działalności telekomunikacyjnej powyżej 10 milionów złotych. Niestety pamiętać również trzeba, że inne podmioty ważne oraz kluczowe (a katalog jest bardzo szeroki – od jednostek samorządu terytorialnego, przez dostawców usług cyfrowych, producentów samochodowych i podmioty zajmujące się zbieraniem odpadów po innych, większych przedsiębiorców telekomunikacyjnych) mogą w swojej działalności wymagać od partnerów biznesowych, w tym dostawców usług telekomunikacyjnych, stosowania się do obowiązku wycofania produktów ICT, rodzajów usług ICT oraz konkretne procesów ICT. W ten sposób, pośrednio, ograniczenia dotyczące dostawców wysokiego ryzyka mogą faktycznie obowiązywać również tych najmniejszych przedsiębiorców telekomunikacyjnych.

Q&A ukazują się w Biuletynie Kancelarii Prawnej Media: https://kancelaria.media.pl/biuletyn.