Komitet Rady Ministrów ds. Cyfryzacji przyjął projekt rozporządzenia Ministra Cyfryzacji ws. minimalnych środków oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług.
Zgodnie z uzasadnieniem, obecnie przedsiębiorcy telekomunikacyjni sami decydują, jakie rodzaje środków technicznych i organizacyjnych chcą zastosować, aby zapewnić bezpieczeństwo sieci i usług telekomunikacyjnych. Brakuje jednolitych standardów prawnych, które działając w interesie obywateli, obligowałyby przedsiębiorców telekomunikacyjnych do stosowania konkretnych rodzajów rozwiązań w zakresie bezpieczeństwa - podkreśla się w uzasadnieniu projektu.
Według projektu, przedsiębiorca telekomunikacyjny dostarczający sieć 5G uwzględnia rekomendacje dotyczące bezpieczeństwa urządzeń informatycznych lub oprogramowania, o których mowa w ustawie o krajowym systemie cyberbezpieczeństwa, stosuje strategię skutkującą brakiem uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług i zapewnia podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych.
Zgodnie z projektem, przedsiębiorca telekomunikacyjny opracowuje i aktualizuje: dokumentację dotyczącą bezpieczeństwa i integralności sieci i usług, wykaz elementów "kluczowej infrastruktury" telekomunikacyjnej, identyfikuje zagrożenia, ocenia prawdopodobieństwo wystąpienia oddziaływania zagrożeń, zapewnia i stosuje środki minimalizujące skutki wystąpienia oddziaływań zagrożeń.
Dodatkowo przedsiębiorcy ustanawiają zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, zabezpieczają dostęp do kluczowej infrastruktury, monitorują ten dostęp, ustanawiają zasady bezpiecznego zdalnego przetwarzania danych, stosują wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń środki zabezpieczające dla poszczególnych kategorii danych.
Według nowych przepisów to przedsiębiorcy telekomunikacyjni zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług, identyfikuje zagrożenia, zapewniają monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności. Ustalają też wewnętrzne procedury zgłaszania naruszeń bezpieczeństwa lub integralności sieci lub usług.
Ocena bezpieczeństwa sieci i usług telekomunikacyjnych ma być przeprowadzana najrzadziej co dwa lata oraz po każdym stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym naruszeniem oraz wykryciu podatności zwiększającej poziom ryzyka wystąpienia takiego naruszenia.