Nowe zasady zgłaszania naruszeń bezpieczeństwa lub integralności sieci oraz usług telekomunikacyjnych

W związku z wejściem w dniu 27 września 2018 r. rozporządzeń Ministra Cyfryzacji:

- z dnia 20 września 2018 r. w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług (dalej rozporządzenie w sprawie kryteriów);
- z dnia 20 września 2018 r. w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług (rozporządzenie w sprawie formularza);
przedstawiamy Państwu ich podstawowy zakres, w jakim dotyczą one członków KIKE.
Oba rozporządzenia związane są z wejściem w życie w dniu 28 sierpnia 2018 r. ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz nowelizacji ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.
I. Rozporządzenie w sprawie kryteriów konkretyzuje, jakie naruszenia bezpieczeństwa i integralności sieci oraz usług telekomunikacyjnych uważane są za mające istotny wpływ na funkcjonowanie sieci i usług.
Zgodnie z rekomendacją i wytycznymi ENISA wskazano dwa rodzaje naruszeń:
1) dotyczyło ono co najmniej 10 000 użytkowników danej usługi telekomunikacyjnej i naruszenie skutkuje niedostępnością lub ograniczeniem dostępności sieci lub usług telekomunikacyjnych:
a) od 1 do 2 godzin, gdy naruszenie miało wpływ na więcej niż 15% użytkowników danej usługi,
b) powyżej 2 do 4 godzin, gdy naruszenie miało wpływ na więcej niż 10% użytkowników danej usługi,
c) powyżej 4 do 6 godzin, gdy naruszenie miało wpływ na więcej niż 5% użytkowników danej usługi,
d) powyżej 6 do 8 godzin, gdy naruszenie miało wpływ na więcej niż 2% użytkowników danej usługi,
e) powyżej 8 godzin, gdy naruszenie miało wpływ na więcej niż 1% użytkowników danej usługi;
lub
2) naruszenie skutkuje niedostępnością numerów alarmowych i liczba użytkowników przedsiębiorcy telekomunikacyjnego pozbawionych możliwości wykonywania połączeń z numerami alarmowymi przekroczyła:
a) 10 000 przez co najmniej 15 minut lub
b) 100 000 bez względu na długość niedostępności.
Zgodnie z nowymi przepisami Pt tego typu naruszenia należy niezwłocznie zgłaszać Prezesowi UKE wraz z informacjami o podjętych działaniach zapobiegawczych i środkach naprawczych oraz podjętych przez przedsiębiorcę działaniach wskazanych w art. 175 i art. 175c Pt.
 
II. Z kolei w rozporządzeniu w sprawie formularza dokonano poszerzenia danych, jakie należy wskazywać w zgłaszaniu naruszenia mającego istotny wpływ na funkcjonowanie usług i sieci.

Poniżej wskazujemy zmiany, jakie zaszły w formularzu:
1. W zakresie zgłoszenia usługi, na którą miało wpływ naruszenie usunięto pocztę elektroniczną, zamiast tego dodano MMS oraz rozpowszechnianie lub rozprowadzanie programów radiowych lub telewizyjnych (drogą satelitarną, w sieciach kablowych lub naziemnie);
2. W formularzu dodano szczegółowe wskazanie elementów infrastruktury, na które naruszenie wywarło wpływ (np. stacje bazowe, serwery DNS, systemy zasilania i inne);
3. Dość dużym zmianom uległ zakres informacji o przyczynie naruszenia:
• Dotychczasowa rubryka „Przyczyny naruszenia” zmieniła nazwę na „Kategoria naruszenia” ale jej katalog pozostał niezmieniony (klęska żywiołowa, błąd ludzki itd.);
• wskazano nowe szczegółowe „Przyczyny naruszenia” m.in. takie jak przecięcie czy kradzież kabli, kwestie pogodowe, atak fizyczny lub cyberatak, oraz szczegółowe problemy związane z eksploatacją sieci jak np. źle wprowadzone modyfikacje, przeciążenie, awaria czy wada procedury.
4. Uszczegółowieniu uległ również opis naruszenia poprzez dodanie:
• informacji o urządzeniach, systemach, aplikacjach etc., które spowodowały naruszenie,
• informacji o wypełnieniu wymaganych warunków pracy urządzeń, systemów, aplikacji etc, które spowodowały naruszenie.