- Taki zapis jest odpowiednio wyważony i faktycznie daje możliwość oceny przez przedsiębiorcę ryzyka i dostosowanie dostępnych rozwiązań do realnych potrzeb, nie wymuszając stosowania rozwiązań nadmiarowych.
- PKE doprecyzowuje, że środki techniczne i organizacyjne, które zapewnić ma przedsiębiorca mogą dotyczyć w szczególności:
◦ bezpieczeństwa infrastruktury lub usług,
◦ procedur postępowania w przypadku wystąpienia incydentu bezpieczeństwa,
◦ odtwarzania usług lub sieci, oraz
◦ monitorowania i kontroli sieci i usług;
– przy czym minimalny zakres tych środków i sposób ich dokumentowania określać ma rozporządzenie wykonawcze Ministra Cyfryzacji. Owo rozporządzenie, oparte na obecnie obowiązującym art. 175d Prawa telekomunikacyjnego zostało ogłoszone 29 czerwca 2020 r.
- W PKE pojawia się istotne pojęcie „incydentu bezpieczeństwa”, rozumianego jako każde zdarzenie, które ma rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci lub usług. Stosowane środki techniczne i organizacyjne mają chronić przed takimi incydentami i zawierać procedury na wypadek ich wystąpienia. Niepokojące jest, że definicja obejmuje każde, nawet najdrobniejsze zdarzenie, mające niekorzystny wpływ na bezpieczeństwo. Pojawia się pytanie, czy faktycznie nawet drobne – nie mające istotnego znaczenia – zdarzenia powinny być objęte tą definicją, rodzącą konkretne konsekwencje dla przedsiębiorców telekomunikacyjnych?
- W przypadku wystąpienia incydentu bezpieczeństwa przedsiębiorca telekomunikacyjny będzie zobowiązany powiadomić Prezesa Urzędu Komunikacji Elektronicznej o jego wystąpieniu, podjętych działaniach zapobiegawczych i środkach naprawczych. By uniknąć konieczności raportowania każdego, nawet najdrobniejszego zdarzenia mającego niekorzystny skutek dla bezpieczeństwa sieci lub usług, Minister Cyfryzacji otrzymał uprawnienie do wydania rozporządzenia wykonawczego, określającego kryteria incydentu (takie jak liczbę użytkowników dotkniętych incydentem, czas trwania, zasięg geograficzny), podlegającego zgłoszeniu. Podobna regulacja obowiązuje obecnie na gruncie Prawa telekomunikacyjnego.
- Przedsiębiorca zobowiązany będzie do publikowania na stronie internetowej informacji o potencjalnych zagrożeniach związanych z korzystaniem z usług, rekomendowanych środkach ochronnych i sposobach zabezpieczenia urządzeń końcowych oraz konsekwencjach braku zabezpieczenia takich urządzeń. Podobny obowiązek, choć w węższym zakresie i z możliwością odwołania do informacji publikowanych na stronie UKE, istnieje także w Prawie telekomunikacyjnym. Nowością jest konieczność podawania do publicznej wiadomości informacji o incydencie bezpieczeństwa i jego wpływie na dostępność usług (jeśli ma znaczący wpływ na świadczone usługi). Dotąd było to konieczne, gdy tak zadecydował Prezes UKE.
- W praktyce najistotniejsze znaczenie ma rozporządzenie Ministra Cyfryzacji z 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Konkretyzuje ono bowiem owe enigmatyczne pojęcie „technicznych i organizacyjnych środków”, jakie powinien zapewnić przedsiębiorca telekomunikacyjny, by zabezpieczyć sieć i usługi. Zawiedzie się jednak ten, kto oczekuje, że lektura rozporządzenia dostarczy gotowych rozwiązań i wskazówek, jakie środki w poszczególnych przypadkach należy stosować. Ustawodawca dostarczył przedsiębiorcom jedynie listę działań, jakie muszą podjąć, pozostawiając decyzję co do tego, które rozwiązania techniczne powinny zostać wdrożone. Rozporządzenie ogranicza się do wskazania, że przedsiębiorca musi między innymi:
