Przydzielanie zasobów radiowych też krytyczne dla bezpieczeństwa państwa

Według aktualnego projektu ustawy o krajowym systemie cyberbezpieczeństwa operatorzy w zależności od decyzji ministra ds. informatyzacji w zakresie uznania danego dostawcę za dostawcę wysokiego ryzyka, będą musieli z użycia wycofać wskazany sprzęt lub oprogramowanie pochodzący od dostawcy wysokiego ryzyka w terminie 7 lat od wydania decyzji administracyjnej.

Duzi przedsiębiorcy telekomunikacyjni będą musieli wycofać produkty, usługi i procesy ICT w ciągu 5 lat, jeżeli znajdują się one w zakresie funkcji krytycznych określonych w załączniku nr 3 do ustawy (na liście jest zarówno tzw. core, jak i radio).

Obowiązkowi wycofania będą podlegały produkty, usługi i procesy ICT wskazane w decyzji ministra, a więc nie wszystkie produkty, usługi i procesy ICT oferowane przez dostawcę wysokiego ryzyka.

W projekcie ustawy (w załączniku nr 3) określono w punktach kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług:

1.         Uwierzytelnianie urządzeń użytkowników i zarządzanie prawami dostępu.

2.         Przechowywanie danych kryptograficznych i identyfikacyjnych związanych z użytkownikami końcowymi.

3.         Zarządzanie łącznością ze urządzeniami użytkowników i przydzielanie zasobów radiowych.

4.         Ruting ruchu sieciowego pomiędzy urządzeniami użytkownika a sieciami i aplikacjami innych firm.

5.         Zarządzanie połączeniami ze sprzętem użytkownika i sesjami.

6.         Wdrażanie, zarządzanie i monitorowanie polityk dostępu do sieci.

7.         Przydzielanie elementu sieci dla połączeń z urządzeniami użytkowników.

8.         Rejestrowanie, autoryzacja i utrzymanie ciągłości usług sieciowych.

9.         Zabezpieczenia sieci przed oddziaływaniem aplikacji zewnętrznych.          

10.       Zabezpieczenia połączeń z innymi sieciami.

Według aktualnych informacji nie są planowane publiczne konsultacje nowej wersji – pomimo wielu zapisanych w niej zmian i nowości.