Dział 7A - Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych - Prawo telekomunikacyjne.
Dziennik Ustaw
Dz.U.2024.34 t.j.
Akt obowiązujący Wersja od: 10 stycznia 2024 r. do: 31 maja 2024 r.
DZIAŁ VIIA
Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych
Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych
Art. 175. [Środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów]
1.
Dostawca publicznie dostępnych usług telekomunikacyjnych, a jeżeli jest to konieczne - także operator publicznej sieci telekomunikacyjnej, są obowiązani podjąć środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów w związku ze świadczonymi usługami. Podjęte środki powinny zapewniać poziom bezpieczeństwa odpowiedni do stopnia ryzyka, przy uwzględnieniu najnowocześniejszych osiągnięć technicznych oraz kosztów wprowadzenia tych środków.2.
Dostawca usług jest obowiązany do informowania użytkowników o wystąpieniu szczególnego ryzyka naruszenia bezpieczeństwa sieci wymagającego podjęcia środków wykraczających poza środki techniczne i organizacyjne podjęte przez dostawcę usług, a także o istniejących możliwościach zapewnienia bezpieczeństwa i związanych z tym kosztach.Art. 175a. [Notyfikowanie Prezesowi UKE naruszenia bezpieczeństwa lub integralności sieci lub usług; przekazywanie informacji właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego]
1.
Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie informować Prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług, o podjętych działaniach zapobiegawczych i środkach naprawczych oraz podjętych przez przedsiębiorcę działaniach, o których mowa w art. 175 i art. 175c.1a.
Prezes UKE przekazuje informacje, o których mowa w ust. 1, jeżeli dotyczą one zdarzeń będących incydentami w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, CSIRT właściwemu dla zgłaszającego przedsiębiorcy telekomunikacyjnego, zgodnie z art. 26 ust. 5-7 tej ustawy, z wyłączeniem informacji stanowiących tajemnicę przedsiębiorstwa, zastrzeżonych na podstawie art. 9.1b.
Przekazanie, o którym mowa w ust. 1a, następuje w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej - przy użyciu innych dostępnych środków komunikacji.2.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wzór formularza do przekazywania informacji, o których mowa w ust. 1, kierując się koniecznością zapewnienia Prezesowi UKE informacji niezbędnych do właściwego realizowania jego obowiązków.2a.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, kryteria uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług, biorąc pod uwagę w szczególności wartość procentową użytkowników, na których naruszenie bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych miało wpływ, czas trwania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych powodującego niedostępność lub ograniczenie dostępności sieci lub usług telekomunikacyjnych oraz rekomendacje i wytyczne Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA).Art. 175b. [Notyfikowanie przez Prezesa UKE wystąpienia naruszenia bezpieczeństwa lub porządku publicznego]
1.
Prezes UKE informuje o wystąpieniu naruszenia bezpieczeństwa lub integralności sieci lub usług organy regulacyjne innych państw członkowskich oraz Europejską Agencję do spraw Bezpieczeństwa Sieci i Informacji (ENISA), jeżeli uzna charakter tego naruszenia za istotny.2.
Prezes UKE publikuje na stronie internetowej UKE informację, o której mowa w ust. 1, lub nakłada na przedsiębiorcę telekomunikacyjnego, w drodze decyzji, obowiązek jej podania do publicznej wiadomości, wskazując sposób jej publikacji, jeżeli uzna, że leży to w interesie publicznym.3.
Prezes UKE, w terminie do końca lutego każdego roku, przekazuje Komisji Europejskiej oraz Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji sprawozdanie za rok poprzedni zawierające informacje o naruszeniach i działaniach, o których mowa w ust. 1 i 2 oraz w art. 175a ust. 1.4.
Na podstawie informacji, o których mowa w art. 175a, uzyskanych od przedsiębiorców telekomunikacyjnych, Prezes UKE corocznie, w terminie do dnia 30 kwietnia opracowuje i przekazuje ministrowi właściwemu do spraw informatyzacji raport o zgłoszonych zagrożeniach i ewentualnych podjętych przez przedsiębiorców telekomunikacyjnych działaniach zapobiegawczych i środkach naprawczych.1.
Przedsiębiorca telekomunikacyjny, z uwzględnieniem art. 160 ust. 2, podejmuje proporcjonalne i uzasadnione środki mające na celu zapewnienie bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów związanych ze świadczonymi usługami, w tym:1)
eliminację przekazu komunikatu, który zagraża bezpieczeństwu sieci lub usług;2)
przerwanie lub ograniczenie świadczenia usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających bezpieczeństwu sieci lub usług.2.
Przedsiębiorca telekomunikacyjny informuje Prezesa UKE niezwłocznie, o podjęciu środków, o których mowa w ust. 1, jednak nie później niż w ciągu 24 godzin od ich podjęcia. W informacji zamieszcza się dane niezbędne do identyfikacji zagrożeń bezpieczeństwa sieci lub usług oraz przekazu komunikatów związanych ze świadczonymi usługami, ze wskazaniem podjętych środków naprawczych.3.
Prezes UKE może, w drodze decyzji, zakazać stosowania środków, o których mowa w ust. 1, jeżeli uzna, że nie są one proporcjonalne lub uzasadnione lub nie realizują celów, o których mowa w tym przepisie.4.
W przypadku podjęcia środków, o których mowa w ust. 1, przedsiębiorca telekomunikacyjny nie odpowiada za niewykonanie lub nienależyte wykonanie usług telekomunikacyjnych w zakresie wynikającym z podjętych środków. Przepisu nie stosuje się w przypadku wydania decyzji, o której mowa w ust. 3.5.
Przedsiębiorca telekomunikacyjny może informować innych przedsiębiorców telekomunikacyjnych i podmioty zajmujące się bezpieczeństwem teleinformatycznym o zidentyfikowanych zagrożeniach, o których mowa w ust. 1. Informacja może zawierać dane niezbędne do identyfikacji oraz ograniczenia zagrożenia.Art. 175d. [Delegacja ustawowa - minimalne szczegółowe środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom]
Minister właściwy do spraw informatyzacji może określić, w drodze rozporządzenia, minimalne środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom, o których mowa w art. 175a ust. 1 i art. 175c ust. 1, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług, biorąc pod uwagę wytyczne Komisji Europejskiej oraz Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji w tym zakresie.
Art. 175e. [Obowiązek publikacji informacji o potencjalnych zagrożeniach i rekomendowanych środkach ostrożności]
1.
Prezes UKE publikuje na stronie internetowej UKE aktualne informacje o:1)
potencjalnych zagrożeniach związanych z korzystaniem przez abonentów z usług telekomunikacyjnych;2)
rekomendowanych środkach ostrożności i najbardziej popularnych sposobach zabezpieczania telekomunikacyjnych urządzeń końcowych przed oprogramowaniem złośliwym lub szpiegującym;3)
przykładowych konsekwencjach braku lub nieodpowiedniego zabezpieczenia telekomunikacyjnych urządzeń końcowych.2.
Informacje, o których mowa w ust. 1, publikowane są przez przedsiębiorców telekomunikacyjnych na ich stronach internetowych.3.
Obowiązek, o którym mowa w ust. 2, może zostać zrealizowany przez umieszczenie na stronie internetowej odnośnika do miejsca na stronie internetowej UKE lub innego podmiotu zajmującego się bezpieczeństwem sieci, w którym zamieszczone są informacje wymagane zgodnie z ust. 1.