PLAY zdradził, co musi wprowadzić, aby spełnić wszystkie nowe wymagania związane z cyberbezpieczeństwem
Po rozstrzygnięciu aukcji 5G, PLAY otrzymał decyzję rezerwacyjną oraz „Wymagania dotyczące bezpieczeństwa i integralności infrastruktury telekomunikacyjnej i usług”.
Wprowadzono liczne nowe obowiązki związane z szeroko pojętym bezpieczeństwem teleinformatycznym.
Nowe obowiązki wygenerują znaczne koszty implementacyjne, ale PLAY w raporcie nie podaje na jakim poziomie będą to wydatki.
PLAY jest zobowiązany wdrożyć w terminie 12 miesięcy od dokonania rezerwacji:
- system zarządzania bezpieczeństwem informacji (SZBI) – wymagania normy PN-EN ISO/IEC 27001
- system zarządzania ciągłością działania (SZCD) – wymagania normy PN-EN ISO/IEC 22301 po wdrożeniu SZBI i SZCD, a następnie w odstępach nie dłuższych niż 2 lata, przedstawiania Prezesowi UKE wyników audytów SZBI i SZCD, przeprowadzanych przez niezależny podmiot. Konieczne jest wdrożenie środków organizacyjnych i technicznych ograniczających wpływ zagrożeń dla bezpieczeństwa i integralności sieci i usług telekomunikacyjnych, przewidzianych w standardach i specyfikacjach technicznych.
Wprowadzono także obowiązek stosowania redundancji kluczowej infrastruktury (w tym urządzeń, funkcji sieciowych i łączy) wspierającej ciągłość świadczenia usług telekomunikacyjnych z uwzględnieniem standardów (w szczególności bezpieczeństwa) i specyfikacji technicznych, zgodnie z którymi rozwijana jest sieć telekomunikacyjna.
Dodatkowe nowe obowiązki z zakresu bezpieczeństwa teleinformatycznego:
- ocena ryzyka naruszenia bezpieczeństwa i integralności sieci i usług, wpływu podmiotów współpracujących przy budowie sieci i jej eksploatacji, a także podmiotów dostarczających usługi, sprzęt lub oprogramowanie dla kluczowej infrastruktury.
- dostarczanie UKE wyników oceny ryzyka wraz z opisem sposobu postępowania ze zidentyfikowanymi ryzykami w terminie 6 miesięcy
- stosowanie strategii skutkującej brakiem uzależnienia się od jednego producenta sprzętu lub oprogramowania lub jednego dostawcy usług, wchodzącego w skład kluczowej infrastruktury, przy jednoczesnym zapewnieniu interoperacyjności usług,
- posiadanie we własnej strukturze organizacyjnej zespołów świadczących usługi Network Operations Center (NOC) i usługi Security Operations Center (SOC).
Kolejne nowe obowiązki w zakresie cyberbezpieczeństwa wprowadza Dyrektywa PE i Rady (UE) 2022/2555 z 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która zaimplementuje Dyrektywę do prawa krajowego jeszcze nie został ogłoszony.
Najważniejsze zmiany :
- obowiązek zapewnienia:mechanizmów i procesów analizy ryzyka
- wdrożona polityka bezpieczeństwa systemów informatycznych
- obsługa incydentów, w tym zapobieganie incydentom, wykrywanie ich i reagowanie na nie
- ciągłość działania i zarządzanie kryzysowe; bezpieczeństwo łańcucha dostaw
- bezpieczeństwo w zakresie pozyskiwania, rozwoju i utrzymania sieci i systemów informatycznych (w tym ujawnianie i obsługa podatności)
- procedury (testowania i audytu) służące do oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
- wykorzystanie kryptografii i szyfrowania
- szkolenia z zakresu cyberbezpieczeństwa.