Kolejna odsłona projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa

01.04.2022 12:11 przez Andrzej Fudala

Trochę niedalekiej historii dla przypomnienia

Na stronie Rządowego Centrum Legislacyjnego 23 marca 2022 roku umieszczono projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (oznaczony jako projekt z dnia 15 marca 2022 r.). 
Projekt ten poprzedzony był kilkoma projektami zmian tej ustawy m. in oznaczonym jako projekt z dnia 4 marca 2021 roku.
Natomiast w październiku 2021 na stronie KPRM zamieszczono projekt takiej ustawy, którego niestety nie znajdziemy na stronie RCL.
Projekty te znacznie różnią się między sobą zarówno w zakresie zmian ustawy o krajowym systemie cyberbezpieczeństwa oraz zmian innych ustaw.

Czemu do tej pory nie odbyła się chociaż jedna konsultacja społeczna ?

Analizując projekt zmian zawartych w tych projektach należy mieć na względzie to, że równolegle z pracami nad zmianą ustawy o KSC trwają pracę nad projektem ustawy Prawo Komunikacji Elektronicznej, ustawy wprowadzającej ustawę Prawo komunikacji elektronicznej oraz, że już opublikowano w Dzienniku Ustaw ustawę z dnia 23 marca 2022 r. o obronie Ojczyzny, a niektóre te same zagadnienia regulowane są (lub podejmowane próby takiej regulacji) w tych aktach prawnych.
Na pewno warto zaapelować do administracji rządowej aby tworząc akty prawne stosowały zasadę umieszczania zbieżnych przedmiotowo zagadnień w jednym akcie prawnym, bo analizując prawa i obowiązki przedsiębiorców telekomunikacyjnych trzeba zapoznać się nawet z kilkudziesięcioma aktami prawnymi.

Czego dotyczą zmiany w Krajowym Systemie Cyberbezpieczeństwa ?

Projekt ten jest dość obszernym dokumentem i dlatego szczegółowa analiza całej zawartości wymaga dużo czasu, dlatego na dokładniejszej analizie skupimy się w momencie gdy ustawa będzie procedowana w Sejmie lub Senacie. Teraz zajmiemy się tylko zagadnieniami, dotyczącymi głównie przedsiębiorców komunikacji elektronicznej, w tym przedsiębiorców telekomunikacyjnych.
Już pobieżna analiza tego projektu pozwala zauważyć, że wymaga on jeszcze dużo pracy. W wielu miejscach odwołuje się zarówno do obowiązującej ustawy Prawo Telekomunikacyjne jak i do ustawy Prawo Komunikacji Elektronicznej, która również jest jeszcze procedowana. W projekcie są również odwołania np. do ustawy o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców, która zostanie uchylona pod koniec kwietnia wraz z wejściem w życie Ustawy o obronie Ojczyzny.
W projekcie ustawy o zmianie KSC zawarto przepisy obejmujące obowiązkami przedsiębiorców telekomunikacyjnych a właściwie przedsiębiorców komunikacji elektronicznej, których definicja pojawiła się w projekcie ustawy Prawo komunikacji elektronicznej (PKE), a obecnie umieszczono ją w projekcie ustawy o zmianie KSC.
Przepisy projektu KSC określają między innymi zadania i obowiązki przedsiębiorców komunikacji elektronicznej w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów, zasady wyznaczania operatora strategicznej sieci bezpieczeństwa oraz jego prawa o obowiązki, zasady powoływania i funkcjonowania Spółki Polskie 5G oraz finasowanie strategicznej sieci bezpieczeństwa.

Rozszerzenie składu Krajowego Systemu Cyberbezpieczeństwa

Projekt przewiduje rozszerzenie podmiotów tworzących krajowy system cyberbezpieczeństwa m. in. o przedsiębiorców komunikacji elektronicznej, zespół CSIRT Telco, zewnętrzny SOC (operacyjne centrum bezpieczeństwa).
Oznacza to, że obowiązkami wynikającymi z przepisów o cyberbezpieczeństwie objęto również przedsiębiorców telekomunikacyjnych, którzy dotychczas byli wyłączeni spod rządów ustawy o KSC (z małym wyjątkiem).

Obowiązki przedsiębiorcy komunikacji elektronicznej w zapewnieniu cyberbezpieczeństwa

Przedsiębiorca komunikacji elektronicznej w ramach zapewnienia cyberbezpieczeństwa będzie zobowiązany do realizacji przedsięwzięć polegających na systematycznym przeprowadzeniu szacowanie ryzyka wystąpienia sytuacji szczególnego zagrożenia a w zależności od wyników tego szacowania podejmować właściwe środki techniczne i organizacyjne zapewniające poufność, integralność, dostępność i autentyczność przetwarzanych danych, minimalizujące w wpływ wystąpienie sytuacji szczególnego zagrożenia na sieci telekomunikacyjne, usługi komunikacji elektronicznej lub podmioty korzystające z tych sieci lub usług.
Działanie te będą musiały być dokumentowane w planie działań w sytuacji szczególnego zagrożenia lub, jeśli taki plan nie jest sporządzany, w formie odrębnej dokumentacji.
Bardzo podobne obowiązki przedsiębiorców telekomunikacyjnych zawarto w obowiązującej już ustawie Prawo Telekomunikacyjne (Dział VIIA „Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych”) oraz w rozporządzeniu w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług, o którym pisaliśmy m.in. w artykule Tutaj
Również w przypadku omawianego projektu przewiduje się możliwość wydania rozporządzenia określającego minimalny zakres środków wymaganych do realizacji ww. obowiązków.
Prezes UKE, może dokonywać oceny (kontroli) realizacji wyżej opisanych obowiązków, a w przypadku stwierdzenia, że obowiązki te nie są realizowane może nałożyć na przedsiębiorcę karę pieniężną.

Blokowanie przesyłania komunikatu lub ograniczenia świadczenia usług

Projekt przewiduje nadanie przedsiębiorcy komunikacji elektronicznej uprawnień do możliwości blokowania przesyłania komunikatów lub ograniczenia albo przerwanie świadczenia usługi komunikacji elektronicznej w przypadku stwierdzenia zagrożenia bezpieczeństwu sieci i usług komunikacji elektroniczne.

Uprawnienia podobne przewidywał projekt PKE oraz aktualnie obowiązujące Prawo telekomunikacyjne.

W projekcie zmiany KSC zrezygnowano z obowiązku informowania Prezesa UKE o podjęciu ww. działań oraz z uprawnień Prezesa UKE do zakazania stosowania takich środków. To wydaje się jako słuszne, gdyż praktyka wskazuje, że był to przepis martwy.

Szkoda jednak, że zrezygnowano z zapisu zwalniającego przedsiębiorcę z odpowiedzialności za niewykonanie lub nienależyte wykonanie usług telekomunikacyjnych w przypadku podjęcia środków przeciwdziałających zagrożeniu bezpieczeństwa sieci i usług komunikacji elektronicznej.

Brak takiego zapisu nie pozbawia przedsiębiorcy zwolnienia z odpowiedzialności za niewykonanie lub nienależyte wykonanie usług w takim przypadku, jednak przepis taki wykluczyłby potrzebę interpretacji w zakresie niezbędnym do uzasadnienie wprowadzenia takich blokad lub ograniczeń.

Utworzenie Strategicznej Sieci Bezpieczeństwa oraz wyznaczenie jej operatora

Zmiana projektowanych przepisów dotyczących operatora strategicznej sieci bezpieczeństwa (OSSB) w porównaniu z wersją projektu z dnia 12 października 2021 r. polega głównie na zmianie określenia zakresów świadczonych usług Ministrowi Obrony Narodowej.

W projekcie z dnia 12 października 2021 r. było to utrzymanie, rozbudowa i modyfikacja sieci teleinformatycznej na potrzeby obsługi Sił Zbrojnych Rzeczypospolitej Polskiej oraz zestawienia i utrzymania łączy dostępowych do tej sieci. O tej wersji projektu pisaliśmy Tutaj

W projekcie z dnia 15 marca 2022 r. OSSB obowiązany jest do świadczenia usług Ministrowi Obrony Narodowej w zakresie dzierżawy łączy telekomunikacyjnych na potrzeby Sił Zbrojnych Rzeczypospolitej Polskiej oraz jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych a także zestawienia i utrzymania tych łączy.

Zmiana ta prawdopodobnie spowodowana jest określeniem właściwości organizatora wojskowego systemu telekomunikacyjnego wskazanego przez Ministra Obrony Narodowej na podstawie ustawy o obronie Ojczyzny.

Uprawnienia Prezesa UKE do analizy cen oferowanych przez OSSB

Kolejna zmiana wprowadzona w nowym projekcie polega na nadaniu Prezesowi UKE uprawnień do analizy cen usług telekomunikacyjnych stosowanych przez OSSB. Analizę taką Prezes UKE może wykonać z urzędu lub na wniosek podmiotu korzystającego z usług OSSB.

Prezes UKE będzie mógł podjąć działania wobec OSSB jedynie w przypadku stwierdzenia, że ceny usług telekomunikacyjnych oferowanych przez OSSB przekraczają wartość rynkową.

Niestety projekt ustawy nie nadaje Prezesowi UKE uprawnień do interwencji w przypadku oferowanie cen niższych niż ceny rynkowe.

Zjawiskiem niekorzystnym dla przedsiębiorców telekomunikacyjnych może być oferowanie przez OSSB cen niższych niż ceny rynkowe. Powołanie OSSB oraz nadanie mu uprawnień opisanych w nowym projekcie zmiany KSC może mieć bardzo duży (raczej negatywny) wpływ na funkcjonowanie rynku telekomunikacyjnego.