Polska i EECC: Regulacje dla przedsiębiorców w zakresie komunikacji elektronicznej

Podczas gdy branża usług łączności elektronicznej wciąż czeka na zmiany legislacyjne związane z Ustawą o Komunikacji Elektronicznej, która jest głównym aktem implementującym Dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 11 Kodeksu Łączności (EECC) w Polsce Trwają zmiany do Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zawiera również regulacje wprowadzające istotne obowiązki dla przedsiębiorców prowadzących działalność w zakresie komunikacji elektronicznej.

Chociaż niniejszy artykuł koncentruje się głównie na zmianach w ustawie o Krajowym Systemie Cyberbezpieczeństwa, przedstawiamy również aktualny stan prawny Prawa o Komunikacji Elektronicznej.

Ustawa o zmianie ustawy o krajowym systemie bezpieczeństwa cybernetycznego

W dniu 25 marca 2022 r. na stronie Rządowego Centrum Legislacyjnego została opublikowana najnowsza nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw (Projekt z 15 marca 2022 r. i dalej „Projekt”). To jest siódma poprawka i nie jest jeszcze ostateczna.

Projekt od początku budził kontrowersje i to samo dotyczy najnowszej wersji. Najbardziej kontrowersyjną kwestią jest objęcie przedsiębiorców łączności elektronicznej krajowym systemem cyberbezpieczeństwa.

Projekt wskazuje, że EWWiS weszło w życie w 2018 r. i kładzie nacisk na bezpieczeństwo sieci i usług. EECC pozwala (w przeciwieństwie do poprzedniego rozporządzenia, tzw. dyrektywy ramowej) ujednolicić raportowanie i reagowanie na incydenty krajowe. Na taką możliwość (tj. ujednolicenie procedury zgłaszania incydentów w rozumieniu ustawy o Krajowym Systemie Cyberbezpieczeństwa w odniesieniu do incydentów zgłaszanych przez firmy telekomunikacyjne) wskazuje również opublikowane niedawno opracowanie NIS „Synergies in Cybersecurity Incident Reporting”. Grupa Współpracy we współpracy z agencją Unii Europejskiej ds. Cyberbezpieczeństwa i Komisją Europejską. Jak podkreślono w projekcie, badanie wprost wskazuje, że kraje mogą harmonizować praktyki z Dyrektywy NIS, EECC i Rozporządzenia eIDAS poprzez przyjęcie między innymi podobnej taksonomii do klasyfikacji incydentów i definiowania progów incydentów. Ponadto w projekcie podkreślono, że usługi objęte tymi trzema systemami prawnymi są społecznie krytyczne.

W szczególności nowe przepisy będą realizowały postanowienia art. 40, 41 i 94 EWG. Zmiany omówiono bardziej szczegółowo w dalszej części tego artykułu.

Przedsiębiorca Komunikacji Elektronicznej a Krajowy System Cyberbezpieczeństwa

Projekt proponuje dodanie nowego rozdziału, który reguluje obowiązki przedsiębiorców w zakresie komunikacji elektronicznej w zakresie stosowania przez nich środków elektronicznych w celu zapewnienia bezpieczeństwa sieci i usług. Podmioty podlegające zgodności zostały określone przez dodaną niedawno definicję operatora łączności elektronicznej jako operatora telekomunikacyjnego lub podmiotu świadczącego publicznie dostępną usługę łączności interpersonalnej niewykorzystującej numerów.

Projekt określa również obowiązki przedsiębiorców z zakresu komunikacji elektronicznej do podejmowania środków technicznych i organizacyjnych zapewniających poufność, integralność, dostępność i autentyczność wszystkich przetwarzanych danych. Przedsiębiorca powinien również zapewnić poziom bezpieczeństwa odpowiedni do zidentyfikowanego ryzyka, który przedsiębiorca powinien systematycznie oceniać. Ponadto w projekcie uwzględniono obowiązkowe środki techniczne i organizacyjne zgodnie z art. 94 EWWiS.

Należy zauważyć, że minister właściwy będzie mógł określić minimalny zakres środków technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa sieci i usług łączności elektronicznej lub wymagania dokumentacyjne z tym związane, biorąc pod uwagę rodzaj prowadzonej działalności w konkretnego przedsiębiorcy.

Projekt wprowadza również istotne regulacje dotyczące zakresu zaangażowania pracowników przedsiębiorcy w zakresie komunikacji elektronicznej. Zgodnie z proponowanym brzmieniem przedsiębiorca będzie musiał wyznaczyć dwóch pracowników, którzy będą odpowiadać za kontakty z krajowymi organami systemu cyberbezpieczeństwa. Wykluczeni są jednak mikro, mali i średni przedsiębiorcy.

W celu zapewnienia odpowiedniego poziomu kontroli realizacji obowiązków przez przedsiębiorcę, projekt przewiduje szereg uprawnień dla Prezesa UKE, w tym prawo Prezesa do wglądu w działania podejmowane przez operatora łączności elektronicznej w celu zapewnienia bezpieczeństwo sieci i ocena usług. W przypadku stwierdzenia nieprawidłowości Prezes może wymusić na operatorze zastosowanie dodatkowych środków bezpieczeństwa lub zlecić niezależnemu podmiotowi trzeciemu przeprowadzenie audytu operatora.

Projekt zawiera również szereg przepisów dotyczących sposobu, w jaki przedsiębiorca telekomunikacyjny musi zareagować w przypadku wykrycia incydentu telekomunikacyjnego. W szczególności przedsiębiorca musi sklasyfikować, zgłosić i zająć się incydentem telekomunikacyjnym oraz zapewnić dostęp i współpracę z CSIRT i Telco CSIR. W projekcie określono również dane o incydentach, które muszą być zawarte w zgłoszeniu istotnych incydentów telekomunikacyjnych.

Ponadto przedsiębiorca z branży łączności elektronicznej musi poinformować dotkniętych użytkowników o incydencie związanym z bezpieczeństwem, możliwych środkach, jakie mogą podjąć ci użytkownicy, oraz o kosztach. Przedsiębiorca musi również zgłosić, czy zdarzenie będzie miało wpływ na dostępność jego usług, jeżeli wpływ ten zostanie uznany za istotny.

Jeżeli incydent telekomunikacyjny jest poważny, Prezes UKE może zobowiązać przedsiębiorcę sektora komunikacji elektronicznej do opublikowania informacji o incydencie w arkuszu informacji publicznej UKE lub na stronie internetowej przedsiębiorcy, jeżeli opublikowanie informacji leży w interesie publicznym.

Ponadto, w przypadku wykrycia zagrożenia bezpieczeństwa sieci i usług, łączność operatora telekomunikacyjnego może zostać zablokowana, a świadczone przez niego usługi łączności elektronicznej przerwane lub ograniczone.

Inne kluczowe punkty projektu

Koncepcja Security Operations Centers (SOC) została wprowadzona do krajowego systemu cyberbezpieczeństwa. Jednostki te zastąpią dotychczasowe struktury odpowiedzialne za cyberbezpieczeństwo u operatorów ślusarskich. SOC to ustalone zespoły, które wykonują wszystkie funkcje monitorowania i zarządzania cyberbezpieczeństwem, zarówno wewnętrznie, jak i jako usługi na rzecz innych podmiotów. Kluczowi usługodawcy mogą tworzyć struktury SOC wewnętrznie w ramach swojej organizacji lub zawierać umowy z zewnętrznymi dostawcami usług SOC (zewnętrzne SOC). Struktury te będą przeprowadzać ocenę ryzyka oraz wykrywać i reagować na incydenty. Minister właściwy do spraw IT prowadzi listę SOC.

Projekt zawiera procedurę uznania dostawcy sprzętu lub oprogramowania dla kluczowych przedsiębiorstw gospodarki za dostawcę wysokiego ryzyka. Procedurą kieruje minister właściwy do spraw informatyki.

Przeprowadzając procedurę, minister uzyskuje opinię na temat dostawcy sprzętu lub oprogramowania oraz oferowanych przez niego produktów, usług i procesów teleinformatycznych. Opinia uwzględnia zarówno kwestie techniczne, jak i nietechniczne, które mogą mieć potencjalne konsekwencje dla bezpieczeństwa narodowego. Procedura kończy się, gdy podjęta zostanie oficjalna decyzja, czy dostawca jest uważany za dostawcę wysokiego ryzyka. Dostawca może odwołać się od decyzji do sądu administracyjnego.

Dlaczego taka procedura jest ważna? Jeżeli minister właściwy do spraw IT uzna dostawcę za dostawcę wysokiego ryzyka, krajowe organy systemów cyberbezpieczeństwa (głównie dostawcy usług kluczowych i dostawców usług cyfrowych) oraz operatorzy telekomunikacyjni (będący dużymi przedsiębiorstwami) muszą powstrzymać się od korzystania ze sprzętu lub oprogramowania dostarczonego przez – sprzedawcami ryzyka są sprzedawcami w ciągu siedmiu lat od wydania decyzji.

Z drugiej strony duże firmy telekomunikacyjne muszą w ciągu pięciu lat wycofać produkty, usługi i procesy ICT, jeśli spełniają one funkcje krytyczne zgodnie z załącznikiem 3 projektu. Obowiązek odstąpienia dotyczy wyłącznie produktów, usług i procesów teleinformatycznych określonych przez ministra właściwego do spraw informatyki (tj. nie wszystkich produktów, usług i procesów teleinformatycznych oferowanych przez dostawcę wysokiego ryzyka).

W szczególności kilku największych przedsiębiorców telekomunikacyjnych może przystąpić do postępowania jako strony, jeśli w poprzednim roku obrotowym osiągali przychody z działalności telekomunikacyjnej co najmniej 20 tys. Prezesa GUS na podstawie art. 20 ust. 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach. Przed wzięciem udziału w postępowaniu taki przedsiębiorca musi jednak złożyć odpowiedni wniosek.

Istnieją obawy co do „prógu wejścia” strony, który może przystąpić do sprawy, oszacowanej na 100 mln zł (około 22 mln euro).

Wdrożenie Europejskiego Kodeksu Komunikacji Elektronicznej

Polska jest jednym z 10 krajów europejskich, które Komisja Europejska pozwała do Trybunału Sprawiedliwości Unii Europejskiej za niepełną transpozycję EWWiS do prawa krajowego oraz za brak odpowiedniej polityki informacyjnej.

Polska wdrożyła niektóre postanowienia EWWiS. Należy pamiętać, że komentując Ustawę o Komunikacji Elektronicznej, mamy na myśli dwa akty prawne (tj. Ustawę o Komunikacji Elektronicznej oraz Ustawę Wykonawczą do Ustawy o Komunikacji Elektronicznej). Ustawy te wciąż są w trakcie procesu legislacyjnego, ale polscy urzędnicy oczekują, że ustawa o łączności elektronicznej wejdzie w życie w 2023 roku.

Ustawa Prawo o Komunikacji Elektronicznej zastąpi dotychczasową polską ustawę Prawo telekomunikacyjne. Świadczenie usług łączności interpersonalnej niewykorzystującej numerów jest uznawane za działalność w zakresie łączności elektronicznej objętą niniejszym rozporządzeniem obok tradycyjnej działalności telekomunikacyjnej (tj. świadczenie usług telekomunikacyjnych, udostępnianie sieci telekomunikacyjnych i świadczenie powiązanych usług). W związku z tym przedsiębiorcy oferujący takie usługi klasyfikowani są jako dostawcy usług łączności elektronicznej.

Dostawcy usług łączności interpersonalnej niewykorzystujących numerów, których dotyczy projektowana ustawa o łączności elektronicznej, podlegają kilku wcześniej nałożonym na inne firmy wymogom na mocy ustawy o telekomunikacji.

streszczenie

Przedsiębiorcy z dziedziny komunikacji elektronicznej stoją w obliczu istotnych zmian w swoich obowiązkach. O ile kierunek ustawy o łączności elektronicznej można przewidzieć, o tyle nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa może podlegać innym istotnym zmianom. Przewidujemy, że prace nad obiema ustawami będą się pokrywać w najbliższej przyszłości, aby zapewnić spójność.

Projekt wejdzie w życie 30 dni po jego ogłoszeniu. Przedstawiciele branży podnieśli kwestię rozbieżności w procesie klasyfikacji przedsiębiorstwa jako dostawcy wysokiego ryzyka i wezwali do dalszych konsultacji społecznych w sprawie projektu.