Ministerstwo Cyfryzacji w Dzienniku Ustaw opublikowało rozporządzenie dotyczące minimalnych środków technicznych i organizacyjnych, jakie dla zapewnienia cyberbezpieczeństwa sieci i usług, powinni stosować operatorzy.
Przepisy rozporządzenia skonstruowano w formie opisu procesu, a nie szczegółowej definicji typów stosowanych zabezpieczeń. Takie podejście gwarantuje brak nadmiernych obciążeń - konkretne środki będą zależeć od przeprowadzonych analiz ryzyka. Konstrukcja rozporządzenia została zaakceptowana przez rynek w trakcie konsultacji publicznych.
Wielu przedsiębiorców telekomunikacyjnych już dziś stosuje podobne podejście oraz środki, o których mowa w rozporządzeniu – mówi minister cyfryzacji Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa.
Większość obowiązków zawartych w nowych przepisach ma charakter organizacyjny, ale są i takie o charakterze technicznym. To m.in. zabezpieczenie i monitorowanie dostępu do kluczowej infrastruktury, środki zabezpieczające dla poszczególnych kategorii danych, stosowanie narzędzi monitorowania i dokumentowania funkcjonowania sieci.
Na podstawie rozporządzenia przedsiębiorcy telekomunikacyjni będą zobowiązani stosować nowe, dodatkowe środki dla zapewnienia bezpieczeństwa i integralności sieci 5G.
Przy doborze środków technicznych (urządzeń, oprogramowania i usług) będą musieli uwzględnić rekomendacje pełnomocnika rządu ds. cyberbezpieczeństwa.
Nowym wymaganiem dla operatorów sieci 5G jest także konieczność podejmowania działań skutkujących brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej, przy jednoczesnym zapewnieniu interoperacyjności usług.
Ponadto, ze względu na charakterystykę sieci 5G i kluczowe znaczenie dostępności jej usług, niezbędne będzie zapewnienie podwyższonej cyberodporności – czyli odporności na cyberzagrożenia mogące prowadzić do zakłóceń w sieciach i usługach.
Nakładane w rozporządzeniu na operatorów obowiązki oparto na wytycznych Europejskiej Agencji do spraw Cyberbezpieczeństwa (ENISA) dotyczących minimalnych środków bezpieczeństwa. Podobne regulacje funkcjonują także w innych państwach unijnych.
Rozporządzenie jest pierwszym krokiem do realizacji - dokonanych na poziomie unijnym przez państwa członkowskie i Komisję Europejską - uzgodnień dotyczących zestawu środków ograniczających ryzyka w obszarze cyberbezpieczeństwa sieci 5G.
Rozporządzenie wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia.
Wybrane zapisy rozporządzenia (całość do pobrania poniżej):
Przedsiębiorca telekomunikacyjny:
- opracowuje i aktualizuje dokumentację dotyczącą bezpieczeństwa i integralności sieci i usług
- opracowuje i aktualizuje wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy
- identyfikuje zagrożenia bezpieczeństwa lub integralności sieci lub usług
- ocenia prawdopodobieństwo wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
- zapewnia i stosuje środki minimalizujące skutki wystąpienia oddziaływań zagrożeń na bezpieczeństwo lub integralność sieci lub usług
- ustanawia zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, obejmujące przypisanie odpowiedzialności za kluczową infrastrukturę w zakresie odpowiednim do realizowanych zadań
- zabezpiecza dostęp do kluczowej infrastruktury, monitoruje ten dostęp i wskazuje środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu
- ustanawia zasady bezpiecznego zdalnego przetwarzania danych
- stosuje, wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń, środki zabezpieczające dla poszczególnych kategorii danych
- zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług, identyfikuje zagrożenia dla bezpieczeństwa tych sieci lub usług, związane z zawieranymi umowami
- zapewnia monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności sieci lub usług
- ustala wewnętrzne procedury zgłaszania naruszeń bezpieczeństwa lub integralności sieci lub usług, oraz umożliwia użytkownikom końcowym dokonywanie zgłoszeń wszelkich naruszeń bezpieczeństwa lub integralności sieci lub usług;
- przeprowadza ocenę bezpieczeństwa sieci i usług telekomunikacyjnych: a) co najmniej raz na dwa lata, b) po każdym: – stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług
- uwzględnia rekomendacje o krajowym systemie cyberbezpieczeństwa
- stosuje strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług
- zapewnia podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych