Polityka i prawo
Rozporządzanie o bezpieczeństwie sieci 5G opublikowane
Dostosowanie się do rekomendacji pełnomocnika ds. cyberbezpieczeństwa oraz stosowanie urządzeń wielu dostawców w swoich sieciach to wymagania dla operatorów telekomunikacyjnych zamierzających wdrożyć sieć 5G. Ministerstwo Cyfryzacji opublikowało długo wyczekiwane rozporządzanie dot. temat bezpieczeństwa sieci 5G.
Ministerstwo Cyfryzacji opublikowało rozporządzanie w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług.
Rozporządzenie określa minimalne środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom, o których mowa w art. 175a ust. 1 i art. 175c ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług.
Na mocy rozporządzenia przedsiębiorca telekomunikacyjny opracowuje i aktualizuje dokumentację dotyczącą bezpieczeństwa i integralności sieci i usług oraz wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy, zwanych dalej „kluczową infrastrukturą.
Operator telekomunikacyjny ma również obowiązek identyfikacji zagrożenia bezpieczeństwa lub integralności sieci lub usług oraz oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług.
Rozporządzenia nakłada obowiązek na operatorów telekomunikacyjnych zapewnienia i stosowania środków minimalizujących skutki wystąpienia oddziaływań zagrożeń na bezpieczeństwo lub integralność sieci lub usług. Musi on również ustanowić zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, obejmujące przypisanie odpowiedzialności za kluczową infrastrukturę w zakresie odpowiednim do realizowanych zadań. Operator zabezpiecza dostęp do kluczowej infrastruktury, monitoruje ten dostęp i wskazuje środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu oraz ustanawia zasady bezpiecznego zdalnego przetwarzania danych. Operator stosuje, wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń, środki zabezpieczające dla poszczególnych kategorii danych. Również podczas zawierania umów mających istotny wpływ na funkcjonowanie sieci lub usług, operator musi identyfikować zagrożenia dla bezpieczeństwa tych sieci lub usług, związane z zawieranymi umowami.
Operator telekomunikacyjny zapewnia monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności sieci lub usług oraz ustala wewnętrzne procedury zgłaszania naruszeń bezpieczeństwa lub integralności sieci lub usług.
Rozporządzenie zobowiązuje również operatorów telekomunikacyjnych do przeprowadzenia oceny bezpieczeństwa sieci i usług telekomunikacyjnych co najmniej raz na dwa lata. Chyba, że stwierdzone zostanie naruszenie bezpieczeństwa o istotnym wpływie na funkcjonowanie sieci lub usług albo w przypadku wykryciu podatności zwiększającej poziom ryzyka wystąpienia naruszenia bezpieczeństwa.
Przedsiębiorca telekomunikacyjny dostarczający sieć piątej generacji uwzględnia rekomendacje pełnomocnika rządu ds. cyberbezpieczeństwa dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Operator stosuje strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług. Operator musi również zapewnić podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych. Rozporządzenie wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia.
Opublikowane rozporządzanie nie różni się znacząco od projektu rozporządzania z początku 2020 roku.