Europejski Kodeks Komunikacji Elektronicznej to jeden z projektów w ramach Strategii Jednolitego Rynku Cyfrowego. Zmiany dotyczą dostępu do infrastruktury, regulacji widma radiowego czy definicji i regulacji usług łączności elektronicznej. Dodatkowo Komisja Europejska zaproponowała nowy cel ram regulacyjnych: zapewnienie powszechnego dostępu i wykorzystania łączności o bardzo dużej przepustowości.
Zgodnie z prawem telekomunikacyjnym, sektor telekomunikacyjny był do tej pory jedynym zobowiązanym do raportowania incydentów (art. 13 a i b Dyrektywy 2009/140/WE tzw. "prawa telekomunikacyjnego z 2009 roku). Art.13a mówi o konieczności stosowania przez operatorów właściwych środków bezpieczeństwa, adekwatnego do zagrożeń reagowania, oraz o konieczności powiadamiania o naruszeniach bezpieczeństwa lub integralności właściwego organu regulacyjnego. Natomiast art. 13b wprowadza zasadę, że aby krajowi regulatorzy mogli skutecznie wdrażać postanowienia art. 13a, powinni być wyposażeni w odpowiednie uprawnienia do wydawania wiążących instrukcji operatorom (w tym do zakreślania ram czasowych dostosowania się do przepisów), a także uprawnienia do wymagania od przedsiębiorców dostarczania odpowiednich informacji np. o stosowaniu zdefiniowanych polityk bezpieczeństwa, poddawania się audytom bezpieczeństwa oraz uprawnienia kontrolne (analiza konkretnych przypadków naruszeń).
W projekcie nowej regulacji z cyberbezpieczeństwem związane są zapisy art. 40 i 41 oraz motywy 90-92.
Artykuł 40 dotyczy bezpieczeństwa sieci i usług i odnosi się do konieczności podejmowania przez przedsiębiorców właściwych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług. Środki te mają być proporcjonalne do istniejącego ryzyka, tak aby minimalizować wpływ zagrożeń bezpieczeństwa dla innych sieci i użytkowników. Dodatkowo przedsiębiorcy zobowiązani są do zapewnienia integralności usług i informowania organów właściwych w przypadkach naruszeń bezpieczeństwa. W celu określenia istotności wpływu stwarzającego zagrożenie bezpieczeństwa uwzględnia się w szczególności następujące parametry:
1. Liczbę użytkowników, których dotyczy naruszenie;
2. Czas trwania naruszenia;
3. Geograficzny zasięg obszaru dotkniętego naruszeniem;
4. Zakres, w jakim funkcjonowanie usługi uległo zakłóceniu;
5. Wpływ na działalność gospodarczą i społeczną.
Parametry te są zgodne z tymi wprowadzonymi przez Dyrektywę NIS.
Właściwy organ ma za zdanie raz w roku przekazywać KE i ENISA sprawozdanie podsumowujące otrzymane zgłoszenia.
Zgodnie z art. 41 właściwe organy krajowe mają prawo wymagać od przedsiębiorców:
1. Dostarczania informacji potrzebnych do oceny bezpieczeństwa i integralności ich usług i sieci, w tym dokumentów dotyczących polityki bezpieczeństwa;
2. Poddania się audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany niezależny podmiot lub właściwy organ i udostępnienia właściwemu organowi wyników takiego audytu. Koszty audytu ponosi przedsiębiorstwo.
Aktualna treść Dyrektywy znajduje się tutaj.
Wraz z Dyrektywą przedstawiono także pakiet dodatkowych dokumentów, m.in. nowe rozporządzenie o BEREC (Body of European Regulators for Electronic Communications - Organ Europejskich Regulatorów Łączności Elektronicznej).