Europejski Kodeks Łączności Elektronicznej

Europejski Kodeks Łączności Elektronicznej

Projekt Europejskiego Kodeksu Komunikacji Elektronicznej (EKKE) został Przedstawiony przez Komisję Europejską 14 września 2016 r. Jest to kompleksowa reforma regulacji telekomunikacyjnych.

Europejski Kodeks Komunikacji Elektronicznej to jeden z projektów w ramach Strategii Jednolitego Rynku Cyfrowego. Zmiany dotyczą dostępu do infrastruktury, regulacji widma radiowego czy definicji i regulacji usług łączności elektronicznej. Dodatkowo Komisja Europejska zaproponowała nowy cel ram regulacyjnych: zapewnienie powszechnego dostępu i wykorzystania łączności o bardzo dużej przepustowości.

 

Zgodnie z prawem telekomunikacyjnym, sektor telekomunikacyjny był do tej pory jedynym zobowiązanym do raportowania incydentów (art. 13 a i b Dyrektywy 2009/140/WE tzw. "prawa telekomunikacyjnego z 2009 roku).  Art.13a mówi o konieczności stosowania przez operatorów właściwych środków bezpieczeństwa, adekwatnego do zagrożeń reagowania, oraz o konieczności powiadamiania o naruszeniach bezpieczeństwa lub integralności właściwego organu regulacyjnego. Natomiast art. 13b wprowadza zasadę, że aby krajowi regulatorzy mogli skutecznie wdrażać postanowienia art. 13a, powinni być wyposażeni w odpowiednie uprawnienia do wydawania wiążących instrukcji operatorom (w tym do zakreślania ram czasowych dostosowania się do przepisów), a także uprawnienia do wymagania od przedsiębiorców dostarczania odpowiednich informacji np. o stosowaniu zdefiniowanych polityk bezpieczeństwa, poddawania się audytom bezpieczeństwa oraz uprawnienia kontrolne (analiza konkretnych przypadków naruszeń).

 

W projekcie nowej regulacji z cyberbezpieczeństwem związane są zapisy art. 40 i 41 oraz motywy 90-92.

 

Artykuł 40 dotyczy bezpieczeństwa sieci i usług i odnosi się do konieczności podejmowania przez przedsiębiorców właściwych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług. Środki te mają być proporcjonalne do istniejącego ryzyka, tak aby minimalizować wpływ zagrożeń bezpieczeństwa dla innych sieci i użytkowników. Dodatkowo przedsiębiorcy zobowiązani są do zapewnienia integralności usług i informowania organów właściwych w przypadkach naruszeń bezpieczeństwa. W celu określenia istotności wpływu stwarzającego zagrożenie bezpieczeństwa uwzględnia się w szczególności następujące parametry:

1. Liczbę użytkowników, których dotyczy naruszenie;

2. Czas trwania naruszenia;

3. Geograficzny zasięg obszaru dotkniętego naruszeniem;

4. Zakres, w jakim funkcjonowanie usługi uległo zakłóceniu;

5. Wpływ na działalność gospodarczą i społeczną.

 

Parametry te są zgodne z tymi wprowadzonymi przez Dyrektywę NIS.

Właściwy organ ma za zdanie raz w roku przekazywać KE i ENISA sprawozdanie podsumowujące otrzymane zgłoszenia.

 

Zgodnie z art. 41 właściwe organy krajowe mają prawo wymagać od przedsiębiorców:

1. Dostarczania informacji potrzebnych do oceny bezpieczeństwa i integralności ich usług i sieci, w tym dokumentów dotyczących polityki bezpieczeństwa;

2. Poddania się audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany niezależny podmiot lub właściwy organ i udostępnienia właściwemu organowi wyników takiego audytu. Koszty audytu ponosi przedsiębiorstwo.

 

Aktualna treść Dyrektywy znajduje się tutaj.

Wraz z Dyrektywą przedstawiono także pakiet dodatkowych dokumentów, m.in. nowe rozporządzenie o BEREC (Body of European Regulators for Electronic Communications - Organ Europejskich Regulatorów Łączności Elektronicznej).