Bezpieczeństwo sieci i usług telekomunikacyjnych - nowe obowiązki

Przeczytaj także: Usługi telekomunikacyjne: nowe przepisy wymagają zmiany umów

Bez wątpienia trwający w ostatnim czasie „ruch legislacyjny” w prawie telekomunikacyjnym nasilił się szczególnie w obszarze bezpieczeństwa usług i sieci telekomunikacyjnych. Po pierwsze, trwają prace nad Prawem Komunikacji Elektronicznej (PKE), mającym zastąpić Prawo Telekomunikacyjne i na nowo regulującym obowiązki w zakresie zapewnienia przez przedsiębiorców telekomunikacyjnych bezpieczeństwa sieci, które dostarczają i usług, które oferują. Po drugie, 29 czerwca 2020 r. ogłoszono w Dzienniku Ustaw rozporządzenie Ministra Cyfryzacji z dnia 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Po trzecie, trwają prace legislacyjne nad rozporządzeniem Rady Ministrów w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń - 6 lipca 2020 r. na stronie Rządowego Centrum Legislacji opublikowano kolejną wersję projektu tego rozporządzenia.

Zbliża się gorący okres dla branży telekom

Wątpliwości budzi jednak celowość wprowadzania rozporządzeń wykonawczych do ustawy, która przestanie obowiązywać z końcem tego roku. Bez wątpienia rozporządzenia wydawane w oparciu o obecnie obowiązujące przepisy będą wymagały co najmniej korekty, tak by odpowiadały rozwiązaniom przyjętym w Prawie Komunikacji Elektronicznej. I choć – jak zakładam, wypracowane obecnie założenia rozporządzeń zostaną utrzymane, to nieracjonalne wydaje się wprowadzanie aktów prawnych, które będą wymagały uaktualnienia już za pół roku. Nie można też nie zauważyć, że w związku z wejściem w życie PKE, na przedsiębiorców telekomunikacyjnych spadnie obowiązek dostosowania swojej działalności do nowych przepisów w bardzo wielu aspektach, jak choćby uaktualnienia i przeformatowania w wielu aspektach ofert dla abonentów i umów abonenckich. Jednocześnie będą musieli wdrożyć u siebie środki techniczne i organizacyjne ochrony bezpieczeństwa i integralności sieci i usług, określone ogłoszonym w dniu 29 czerwca 2020 r. rozporządzeniem Ministra Cyfryzacji, na których wdrożenie przewidziano pół roku.

Tak czy inaczej koniec 2020 r. i początek 2021 r. będą więc gorącym okresem dla przedsiębiorców telekomunikacyjnych.

Obowiązki w zakresie bezpieczeństwa sieci i usług telekomunikacyjnych

Oto z jakimi obowiązkami w zakresie bezpieczeństwa sieci i usług telekomunikacyjnych powinni liczyć się przedsiębiorcy telekomunikacyjni:

• Tak jak dotąd, przedsiębiorca telekomunikacyjny będzie miał obowiązek zapewnić na własny koszt środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa sieci i usług. Podjęte środki mają zapewnić poziom bezpieczeństwa proporcjonalny do stopnia ryzyka, przy uwzględnieniu najnowocześniejszych osiągnięć technicznych, najlepszej wiedzy oraz kosztów wprowadzenia tych środków. Warto zauważyć, że choć sformułowanie „najnowocześniejsze osiągnięcia techniczne” znalazło się już w Prawie telekomunikacyjnym, to jednak budzi ono pewne obiekcje z uwagi na nałożenie nadmiernych i nieracjonalnych obowiązków. Przepisy zmuszają przedsiębiorców do stosowania rozwiązań najdroższych i nieadekwatnych do skali prowadzonej działalności. Europejski Kodeks Łączności Elektronicznej wskazuje, że środki powinny uwzględniać „aktualny stan wiedzy i technologii” – taki zapis jest odpowiednio wyważony i faktycznie daje możliwość oceny przez przedsiębiorcę ryzyka i dostosowanie dostępnych rozwiązań do realnych potrzeb, nie wymuszając stosowania rozwiązań najnowocześniejszych.
• PKE doprecyzowuje, że środki techniczne i organizacyjne, które zapewnić ma przedsiębiorca mogą dotyczyć w szczególności
  • bezpieczeństwa infrastruktury lub usług,
  • procedur postępowania w przypadku wystąpienia incydentu bezpieczeństwa,
  • odtwarzania usług lub sieci, oraz
  • monitorowania i kontroli sieci i usług
  
  – przy czym minimalny zakres tych środków i sposób ich dokumentowania określać ma rozporządzenie wykonawcze Ministra Cyfryzacji. Owo rozporządzenie, oparte na obecnie obowiązującym art. 175d Prawa telekomunikacyjnego, zostało ogłoszone 29 czerwca 2020 r.
• W PKE pojawia się istotne pojęcie incydentu bezpieczeństwa, rozumianego jako każde zdarzenie, które ma rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci lub usług. Stosowane środki techniczne i organizacyjne mają chronić przed takimi incydentami i zawierać procedury na wypadek ich wystąpienia. Niepokojące jest, że definicja obejmuje każde, nawet najdrobniejsze zdarzenie, mające niekorzystny wpływ na bezpieczeństwo. Pojawia się pytanie, czy faktycznie nawet drobne, nie mające istotnego znaczenia zdarzenia, powinny być objęte tą definicją, rodząc konsekwencje dla przedsiębiorców telekomunikacyjnych.
• W przypadku wystąpienia incydentu bezpieczeństwa przedsiębiorca telekomunikacyjny będzie zobowiązany powiadomić Prezesa UKE o jego wystąpieniu, podjętych działaniach zapobiegawczych i środkach naprawczych. By uniknąć konieczności raportowania każdego, nawet najdrobniejszego zdarzenia mającego niekorzystny skutek dla bezpieczeństwa sieci lub usług Minister Cyfryzacji otrzymał uprawnienie do wydania rozporządzenia wykonawczego, określającego kryteria incydentu (takie jak liczbę użytkowników dotkniętych incydentem, czas trwania, zasięg geograficzny), podlegającego zgłoszeniu. Podobna regulacja obowiązuje obecnie na gruncie Prawa telekomunikacyjnego.
• Przedsiębiorca zobowiązany będzie do publikowania na stronie internetowej o potencjalnych zagrożeniach związanych z korzystaniem z usług, rekomendowanych środkach ochronnych i sposobach zabezpieczenia urządzeń końcowych oraz konsekwencjach braku zabezpieczenia takich urządzeń. Podobny obowiązek, choć w węższym zakresie i z możliwością odwołania się w tym zakresie do informacji publikowanych na stronie UKE, istnieje także w Prawie telekomunikacyjnym. Nowością jest konieczność podawania do publicznej wiadomości informacji o incydencie bezpieczeństwa i jego wpływie na dostępność usług, jeśli ma znaczący wpływ na świadczone usługi. Dotąd było to konieczne, gdy tak zadecydował Prezes UKE.
• W praktyce najistotniejsze znaczenie ma rozporządzenie Ministra Cyfryzacji z 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Konkretyzuje ono bowiem owe enigmatyczne pojęcie „technicznych i organizacyjnych środków”, jakie powinien zapewnić przedsiębiorca telekomunikacyjny, by zabezpieczyć sieć i usługi. Zawiedzie się jednak ten, kto oczekuje, że lektura rozporządzenia dostarczy gotowych rozwiązań i wskazówek i wskaże, jakie środki w poszczególnych przypadkach należy stosować. Ustawodawca dostarczył przedsiębiorcom jedynie listę działań, jakie muszą podjąć, pozostawiając decyzję co do tego które rozwiązania techniczne powinny zostać wdrożone. Rozporządzenie ogranicza się do wskazania, że przedsiębiorca musi między innymi:
  • opracować i aktualizować dokumentację zawierającą opis stosowanych środków bezpieczeństwa;
  • posiadać wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy;
  • zidentyfikować zagrożenia i ocenić prawdopodobieństwo ich wystąpienia;
  • zapewnić i stosować środki minimalizujące skutki wystąpienia zagrożeń;
  • ustanowić zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, zabezpieczyć dostęp do nich i go monitorować;
  • ustanowić zasady bezpiecznego zdalnego przetwarzania danych;
  • monitorować funkcjonowanie sieci i usług;
  • ustalić wewnętrzne procedury zgłaszania incydentów bezpieczeństwa oraz umożliwić użytkownikom końcowym ich zgłaszanie.
  
  To przedsiębiorca telekomunikacyjny musi samodzielnie zidentyfikować ryzyka, które mogą zagrażać jego sieci lub usługom, ocenić na ile realne jest ich rzeczywiste wystąpienie i zastosować takie środki, które uzna za adekwatne i właściwe, by przed tymi ryzykami się ochronić. Musi także posiadać niezbędne wykazy i procedury, oraz monitorować ich aktualność i prawidłowość stosowania. Rozporządzenie stanowi swoistą check-listę, która ma na celu umożliwienie i ułatwienie kontroli przez UKE realizacji obowiązków z zakresu zapewnienia bezpieczeństwa sieci i usług przez przedsiębiorców telekomunikacyjnych.
• Trwają prace legislacyjne nad rozporządzeniem dotyczącym planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń. Dotychczas obowiązek posiadania takiego planu (z pewnymi drobnymi wyjątkami), dotyczył wszystkich przedsiębiorców telekomunikacyjnych. Praktyka pokazała jednak, że podmioty właściwe w sprawach zarządzania kryzysowego, z którymi przedsiębiorcy mieli obowiązek uzgadniać plany, nie byli szczególnie zainteresowane współpracą w tym zakresie z mniejszymi operatorami. Stąd planowane zwolnienie z obowiązku sporządzania planu tych przedsiębiorców, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były równe lub mniejsze od kwoty 10 milionów złotych, oraz polegającą wyłącznie na świadczeniu usług dostępu do sieci Internet za pośrednictwem sieci telekomunikacyjnej obsługującej do 1000 zakończeń sieci posiadających własny adres IP.

Choć zniesienie obowiązku sporządzania planu działań w sytuacji szczególnych zagrożeń dla mniejszych przedsiębiorców trzeba ocenić bardzo pozytywnie, to niepokojące było wyrażone podczas konsultacji projektu rozporządzenia z 22 czerwca 2020 r. stanowisko przedstawicieli UKE. Zgodnie z nim, skoro nie będzie możliwości kontrolowania mniejszych przedsiębiorców w zakresie posiadania prawidłowo uzgodnionych planów, to niezbędne jest zapewnienie możliwości kontroli realizacji przez nich obowiązków z zakresu stosowania środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci i usług. Można odnieść wrażenie, że podstawowym celem wprowadzenia regulacji, która - jak należy zakładać - ma służyć pomocą przedsiębiorcom w stosowaniu właściwych i skutecznych środków zapewnienia bezpieczeństwa sieci i usług, stanie się de facto narzędziem kontroli i podstawą do nakładania kar. Przy takiej deklaracji UKE przedsiębiorcy powinni szczególnie zadbać o to, by wraz z upływem 6 miesięcznego vacatio legis rozporządzenia z 22 czerwca 2020 r. byli przygotowani na kontrolę UKE i posiadali opracowaną dokumentację oraz wdrożone procedury zapewniające realizację wymogów wynikających z nowych przepisów. Muszą też liczyć się z jego nowelizacją po wejściu w życie PKE. Podmioty działające w branży telekomunikacyjnej z pewnością nie będą mogły w najbliższym czasie narzekać na nudę.

Anna Gąsecka, adwokat w . Specjalizuje się w prawie telekomunikacyjnym, prowadzi obsługę korporacyjną firm z branży telekomunikacyjnej, farmaceutycznej, dystrybucyjnej i usługowej.