PLAY zdradził, co musi wprowadzić, aby spełnić wszystkie nowe wymagania związane z cyberbezpieczeństwem

Po rozstrzygnięciu aukcji 5G, PLAY otrzymał decyzję rezerwacyjną oraz „Wymagania dotyczące bezpieczeństwa i integralności infrastruktury telekomunikacyjnej i usług”.

Wprowadzono liczne nowe obowiązki związane z szeroko pojętym bezpieczeństwem teleinformatycznym.

Nowe obowiązki wygenerują znaczne koszty implementacyjne, ale PLAY w raporcie nie podaje na jakim poziomie będą to wydatki.

PLAY jest zobowiązany wdrożyć w terminie 12 miesięcy od dokonania rezerwacji:

- system zarządzania bezpieczeństwem informacji (SZBI) – wymagania normy PN-EN ISO/IEC 27001

- system zarządzania ciągłością działania (SZCD) – wymagania normy PN-EN ISO/IEC 22301 po wdrożeniu SZBI i SZCD, a następnie w odstępach nie dłuższych niż 2 lata, przedstawiania Prezesowi UKE wyników audytów SZBI i SZCD, przeprowadzanych przez niezależny podmiot. Konieczne jest wdrożenie środków organizacyjnych i technicznych ograniczających wpływ zagrożeń dla bezpieczeństwa i integralności sieci i usług telekomunikacyjnych, przewidzianych w standardach i specyfikacjach technicznych.

Wprowadzono także obowiązek stosowania redundancji kluczowej infrastruktury (w tym urządzeń, funkcji sieciowych i łączy) wspierającej ciągłość świadczenia usług telekomunikacyjnych z uwzględnieniem standardów (w szczególności bezpieczeństwa) i specyfikacji technicznych, zgodnie z którymi rozwijana jest sieć telekomunikacyjna.

Dodatkowe nowe obowiązki z zakresu bezpieczeństwa teleinformatycznego:

- ocena ryzyka naruszenia bezpieczeństwa i integralności sieci i usług, wpływu podmiotów współpracujących przy budowie sieci i jej eksploatacji, a także podmiotów dostarczających usługi, sprzęt lub oprogramowanie dla kluczowej infrastruktury.

- dostarczanie UKE wyników oceny ryzyka wraz z opisem sposobu postępowania ze zidentyfikowanymi ryzykami w terminie 6 miesięcy

- stosowanie strategii skutkującej brakiem uzależnienia się od jednego producenta sprzętu lub oprogramowania lub jednego dostawcy usług, wchodzącego w skład kluczowej infrastruktury, przy jednoczesnym zapewnieniu interoperacyjności usług,

- posiadanie we własnej strukturze organizacyjnej zespołów świadczących usługi Network Operations Center (NOC) i usługi Security Operations Center (SOC).

Kolejne nowe obowiązki w zakresie cyberbezpieczeństwa wprowadza Dyrektywa PE i Rady (UE) 2022/2555 z 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która zaimplementuje Dyrektywę do prawa krajowego jeszcze nie został ogłoszony.

Najważniejsze zmiany :

• obowiązek zapewnienia:mechanizmów i procesów analizy ryzyka
• wdrożona polityka bezpieczeństwa systemów informatycznych
• obsługa incydentów, w tym zapobieganie incydentom, wykrywanie ich i reagowanie na nie
• ciągłość działania i zarządzanie kryzysowe; bezpieczeństwo łańcucha dostaw
• bezpieczeństwo w zakresie pozyskiwania, rozwoju i utrzymania sieci i systemów informatycznych (w tym ujawnianie i obsługa podatności)
• procedury (testowania i audytu) służące do oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
• wykorzystanie kryptografii i szyfrowania
• szkolenia z zakresu cyberbezpieczeństwa.