Rozporządzenie o bezpieczeństwie usług cyfrowych i integralności sieci

Joanna Wolf 5G, Prawo telekomunikacyjne, Wszystkie wpisy Polska, Rozporządzenia,

29 czerwca br.  zostało opublikowane Rozporządzenie Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Rozporządzenie określa minimalne środki techniczne i organizacyjne jakie są zobowiązani stosować przedsiębiorcy telekomunikacyjni w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Odnosi się także do dostawców sieci piątej generacji (5G).

Większość zawartych przepisów w dokumencie ma charakter organizacyjny i stanowi szereg zaleceń, do których przedsiębiorcy telekomunikacyjni powinni się stosować. Przepisy korespondują z wymaganiami jakie nakłada Ustawa o Krajowym Systemie Cyberbezpieczeństwa, a także przenoszą europejskie zalecenia na grunt krajowy.

Wymagania nałożone w rozporządzeniu na przedsiębiorcę telekomunikacyjnego:

  1. Opracowuje i aktualizuje dokumentację dotyczącą bezpieczeństwa i integralności sieci i usług zawierającą opis środków, o których mowa w pkt 2–13;
  2. Opracowuje i aktualizuje wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy, zwanych dalej „kluczową infrastrukturą”;
  3. Identyfikuje zagrożenia bezpieczeństwa lub integralności sieci lub usług;
  4. Ocenia prawdopodobieństwo wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
  5. Zapewnia i stosuje środki minimalizujące skutki wystąpienia oddziaływań zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
  6. Ustanawia zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, obejmujące przypisanie odpowiedzialności za kluczową infrastrukturę w zakresie odpowiednim do realizowanych zadań;
  7. Zabezpiecza dostęp do kluczowej infrastruktury, monitoruje ten dostęp i wskazuje środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu;
  8. Ustanawia zasady bezpiecznego zdalnego przetwarzania danych;
  9. Stosuje, wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń, środki zabezpieczające dla poszczególnych kategorii danych;
  10. Zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług, identyfikuje zagrożenia dla bezpieczeństwa tych sieci lub usług, związane z zawieranymi umowami;
  11. Zapewnia monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności sieci lub usług, o których mowa w art. 175a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, i ustalenie przyczyn takiego naruszenia;
  12. Ustala wewnętrzne procedury zgłaszania naruszeń bezpieczeństwa lub integralności sieci lub usług, o których mowa w art. 175a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, oraz umożliwia użytkownikom końcowym dokonywanie zgłoszeń wszelkich naruszeń bezpieczeństwa lub integralności sieci lub usług;
  13. Przeprowadza ocenę bezpieczeństwa sieci i usług telekomunikacyjnych:
    a) co najmniej raz na dwa lata,
    b) po każdym:
    – stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym naruszeniem, oraz
    – wykryciu podatności zwiększającej poziom ryzyka wystąpienia naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym wykrytą podatnością.

Zgodnie z rozporządzeniem przedsiębiorcy telekomunikacyjni zobowiązani są m.in. do zdefiniowania elementów „kluczowych infrastruktury” wraz z przypisaniem odpowiedzialności za nie, zabezpieczaniem dostępów oraz monitoringu ww. infrastruktury, wskazaniem środków reagowania na nieuprawniony dostęp, a także koniecznością przeprowadzenia oceny bezpieczeństwa sieci co najmniej raz na 2 lata lub po każdym incydencie bezpieczeństwa.

Zapisy dotyczące sieci 5G

Osobne zapisy dotyczą przedsiębiorców telekomunikacyjny dostarczający sieć 5G (ściśle normę: ETSI TR 121 915 V.15.0.0). Operatorzy 5G zobowiązani są do uwzględnienia rekomendacji pełnomocnika rządu ds. cyberbezpieczeństwa dotyczących stosowania urządzeń informatycznych oraz oprogramowania. Ponadto powinni uwzględnić w swoich strategiach uniezależnienie się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług. W rozporządzeniu mowa jest również o konieczności zastosowania przez nich podwyższonej odporności na zakłócenia sieci i usługi telekomunikacyjnej.

Rozporządzenie wchodzi w życie po upływie 6 miesięcy od daty opublikowania.

Rozporządzenie-w-sprawie-minimalnych-środków-technicznych-i-organizacyjnych-oraz-metod-jakie-przedsiębiorcyPobierz

TAGI Polska, Rozporządzenia,

Zobacz także:

Informacja dotycząca plików cookies

Przechodząc do serwisu poprzez kliknięcie odnośnika „Zgadzam się” wyrażasz zgodę na przetwarzanie przez nas Twoich danych osobowych oraz wyrażasz zgodę na podstawowe cookies, które są niezbędne aby strona mogła działać prawidłowo.

Czytaj więcej: Polityka prywatności i polityka cookies