Rząd planuje zaostrzyć przepisy dotyczące krajowego systemu cyberbezpieczeństwa



Warszawa, 28.02.2020 (ISBnews) - Rząd planuje zaostrzyć przepisy dotyczące krajowego systemu cyberbezpieczeństwa, wprowadzając m.in. obowiązek informowania prezesa Urzędu Komunikacji Elektronicznej (UKE) o zbyciu infrastruktury telekomunikacyjnej, podano w wykazie prac legislacyjnych i programowych Rady Ministrów RM). Przyjęcie projektu nowelizacji przez Radę Ministrów planowane jest na II kwartał 2020 r.

Potrzebę regulacji uzasadniono tym, że obecnie brak jest narzędzi reagowania na próby zakupu kluczowych elementów infrastruktury, które nie zostały uznane za infrastrukturę krytyczną.

"Powoduje to, w szczególności w sektorze telekomunikacji, ryzyko utraty kontroli nad infrastrukturą o istotnym znaczeniu dla bezpieczeństwa państwa. Brakuje również narzędzi umożliwiających instytucjom państwowym zajmującym się bezpieczeństwem ocenę zależności przedsiębiorców od podmiotów z siedzibą poza Unią Europejską" - zaznaczono.

Nowe rozwiązania mają "wzmocnić ustawę o krajowym systemie cyberbezpieczeństwa nowymi mechanizmami prewencji ogólnej (specjalne działania ochronne), natomiast ustawę - Prawo telekomunikacyjne uzupełnić o nowy mechanizm prewencji indywidualnej (zgłaszanie zbycia infrastruktury telekomunikacyjnej)". "Są to niezbędne elementy nadzoru, których dotychczas tym aktom prawnym brakowało do osiągnięcia pełnej skuteczności" - napisano.

Do ustawy prawo telekomunikacyjne zostanie wpisany obowiązek zgłaszania prezesowi UKE przez przedsiębiorcę telekomunikacyjnego zamiaru zbycia infrastruktury telekomunikacyjnej. W przypadku, kiedy zbycie infrastruktury telekomunikacyjnej mogłoby, w ocenie służb specjalnych, stanowić zagrożenie dla bezpieczeństwa państwa, prezes UKE będzie mógł złożyć sprzeciw wobec takiej transakcji.

Do ustawy o krajowym systemie cyberbezpieczeństwa zostanie wprowadzony katalog dopuszczalnych specjalnych środków ochronnych:

- ostrzeżenie;

- wpis na listę podmiotów stanowiących zagrożenie dla cyberbezpieczeństwa;

- środki zabezpieczające.

"Są one stopniowane w zależności od poziomu ingerencji. Ostrzeżenia są najłagodniejsze i są stosowane przed wystąpieniem incydentu; wpis na listę podmiotów stanowiących zagrożenie dla cyberbezpieczeństwa pozwala na wskazanie konkretnych przedsiębiorców, których działania budzą zastrzeżenia z punktu widzenia krajowego systemu cyberbezpieczeństwa; wreszcie - środki zabezpieczające, które nakazują podmiotom określone zachowanie, wspierające obsługę incydentu krytycznego" - podano.

W ocenie Ministerstwa Cyfryzacji, które przygotowuje projekt "narzędzia takie powinny pozwalać na ustalenie czy dostawca jest kontrolowany przez obcy rząd bez możliwości odwołania się do niezawisłego sądu, czy dostawca ma przejrzystą strukturę własności, czy - w swojej historii - wykazywał się etycznym postępowaniem korporacyjnym oraz czy podlega on porządkowi prawnemu, w który zapewnia przejrzystość działalności firm".

(ISBnews)