Rozporządzenie o bezpieczeństwie usług cyfrowych i integralności sieci

29 czerwca br.  zostało opublikowane Rozporządzenie Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Rozporządzenie określa minimalne środki techniczne i organizacyjne jakie są zobowiązani stosować przedsiębiorcy telekomunikacyjni w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Odnosi się także do dostawców sieci piątej generacji (5G).

Większość zawartych przepisów w dokumencie ma charakter organizacyjny i stanowi szereg zaleceń, do których przedsiębiorcy telekomunikacyjni powinni się stosować. Przepisy korespondują z wymaganiami jakie nakłada Ustawa o Krajowym Systemie Cyberbezpieczeństwa, a także przenoszą europejskie zalecenia na grunt krajowy.

Wymagania nałożone w rozporządzeniu na przedsiębiorcę telekomunikacyjnego:

  1. Opracowuje i aktualizuje dokumentację dotyczącą bezpieczeństwa i integralności sieci i usług zawierającą opis środków, o których mowa w pkt 2–13;
  2. Opracowuje i aktualizuje wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy, zwanych dalej „kluczową infrastrukturą”;
  3. Identyfikuje zagrożenia bezpieczeństwa lub integralności sieci lub usług;
  4. Ocenia prawdopodobieństwo wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
  5. Zapewnia i stosuje środki minimalizujące skutki wystąpienia oddziaływań zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
  6. Ustanawia zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, obejmujące przypisanie odpowiedzialności za kluczową infrastrukturę w zakresie odpowiednim do realizowanych zadań;
  7. Zabezpiecza dostęp do kluczowej infrastruktury, monitoruje ten dostęp i wskazuje środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu;
  8. Ustanawia zasady bezpiecznego zdalnego przetwarzania danych;
  9. Stosuje, wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń, środki zabezpieczające dla poszczególnych kategorii danych;
  10. Zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług, identyfikuje zagrożenia dla bezpieczeństwa tych sieci lub usług, związane z zawieranymi umowami;
  11. Zapewnia monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności sieci lub usług, o których mowa w art. 175a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, i ustalenie przyczyn takiego naruszenia;
  12. Ustala wewnętrzne procedury zgłaszania naruszeń bezpieczeństwa lub integralności sieci lub usług, o których mowa w art. 175a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, oraz umożliwia użytkownikom końcowym dokonywanie zgłoszeń wszelkich naruszeń bezpieczeństwa lub integralności sieci lub usług;
  13. Przeprowadza ocenę bezpieczeństwa sieci i usług telekomunikacyjnych:
    a) co najmniej raz na dwa lata,
    b) po każdym:
    – stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym naruszeniem, oraz
    – wykryciu podatności zwiększającej poziom ryzyka wystąpienia naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym wykrytą podatnością.

Zgodnie z rozporządzeniem przedsiębiorcy telekomunikacyjni zobowiązani są m.in. do zdefiniowania elementów „kluczowych infrastruktury” wraz z przypisaniem odpowiedzialności za nie, zabezpieczaniem dostępów oraz monitoringu ww. infrastruktury, wskazaniem środków reagowania na nieuprawniony dostęp, a także koniecznością przeprowadzenia oceny bezpieczeństwa sieci co najmniej raz na 2 lata lub po każdym incydencie bezpieczeństwa.

Zapisy dotyczące sieci 5G

Osobne zapisy dotyczą przedsiębiorców telekomunikacyjny dostarczający sieć 5G (ściśle normę: ETSI TR 121 915 V.15.0.0). Operatorzy 5G zobowiązani są do uwzględnienia rekomendacji pełnomocnika rządu ds. cyberbezpieczeństwa dotyczących stosowania urządzeń informatycznych oraz oprogramowania. Ponadto powinni uwzględnić w swoich strategiach uniezależnienie się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług. W rozporządzeniu mowa jest również o konieczności zastosowania przez nich podwyższonej odporności na zakłócenia sieci i usługi telekomunikacyjnej.

Rozporządzenie wchodzi w życie po upływie 6 miesięcy od daty opublikowania.

TAGI Polska, Rozporządzenia,