Chodzi o projektowane rozporządzenie w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług.

Według resortu cyfryzacji, rozporządzenie, które zostanie wydane na podstawie art. 175d Prawa telekomunikacyjnego, nie nakłada nowych obowiązków na operatorów, a jedynie precyzuje istniejące.

Resort wskazuje w uzasadnieniu, że ten sam cel zabezpieczenia sieci w wielu przypadkach można osiągnąć zarówno środkami organizacyjnym, jak i technicznymi. "Biorąc pod uwagę, że rozporządzenie skierowane jest do operatorów o różnej skali prowadzonej działalności, w rozporządzeniu wskazano cel zabezpieczenia. Środki do osiągnięcia celu zabezpieczenia pozostawione są do wyboru przez operatora" - napisano.

Według MC, przedsiębiorcy powinni identyfikować zagrożenia wspomagając się dokumentami Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), oceniać prawdopodobieństwo oddziaływania tych zagrożeń na bezpieczeństwo oraz zapewniać i stosować środki minimalizujące skutki oddziaływania tych zagrożeń.

Reklama

Resort zaznaczył też w uzasadnieniu, że specyfika sieci 5G wymaga przygotowania odrębnych środków bezpieczeństwa i integralności sieci.

Ponadto wskazano, że dokonując zarządzania ryzykiem, przedsiębiorcy powinni brać pod uwagę rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa.

Rekomendacje te - jak zwraca uwagę uzasadnienie - dotyczą stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. "Nie oznaczają one automatycznie konieczności pozbycia się sprzętu z sieci – wskazują jedynie na możliwe zagrożenia wynikające ze stosowania określonych urządzeń" - napisali autorzy projektu rozporządzenia. Wskazali także, iż rekomendacje te mogą mieć również charakter pozytywny (wskazywać zalecany sprzęt) oraz wskazywać określony sposób korzystania (np. rodzaje systemów, w których zaleca się korzystać z określonego sprzętu lub oprogramowania).

Zdaniem MC, operatorzy powinni również unikać uzależnienia od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług oraz wykorzystaniu najnowocześniejszych osiągnięć technicznych. "Konieczne jest rozważenie dywersyfikacji elementów sieci telekomunikacyjnej. Oczywistym jest, że w niektórych przypadkach będzie to niemożliwe bądź bardzo utrudnione – stąd wskazuje się na dążenie do unikania uzależnienia, a nie wskazuje się w procentowy sposób, ile urządzeń powinno być od różnych producentów" - napisano w uzasadnieniu projektu rozporządzenia.

Projektowane rozporządzenie wskazuje na konieczność podwyższania odporności(resilience) sieci i usług, nie wskazując konieczności redundancji poszczególnych elementów sieci. "Projektodawca nie wskazuje w tym miejscu szczegółowych metod, gdyż można to osiągnąć na różne sposoby – np. redundancję sprzętu czy zapewnienie roamingu krajowego" - uważają jego autorzy.

Projektowane rozporządzenie miałoby wejść w życie po upływie 6 miesięcy od daty ogłoszenia, co pozwoli dostosować się przedsiębiorcom do wdrożenia poszczególnych środków. (PAP)

autor: Małgorzata Werner-Woś