Prawo telekomunikacyjne
Stan prawny aktualny na dzień: 05.11.2024
Dz.U.2024.0.34 t.j. - Ustawa z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne
Obserwuj akt
DZIAŁ VIIa. Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych
2. Dostawca usług jest obowiązany do informowania użytkowników o wystąpieniu szczególnego ryzyka naruszenia bezpieczeństwa sieci wymagającego podjęcia środków wykraczających poza środki techniczne i organizacyjne podjęte przez dostawcę usług, a także o istniejących możliwościach zapewnienia bezpieczeństwa i związanych z tym kosztach.
(Art.175 bezpieczeństwo przekazu komunikatów utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
1a. Prezes UKE przekazuje informacje, o których mowa w ust. 1, jeżeli dotyczą one zdarzeń będących incydentami w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, CSIRT właściwemu dla zgłaszającego przedsiębiorcy telekomunikacyjnego, zgodnie z art. 26 negocjacje umowy o dostępie telekomunikacyjnym ust. 5–7 tej ustawy, z wyłączeniem informacji stanowiących tajemnicę przedsiębiorstwa, zastrzeżonych na podstawie art. 9 zastrzeżenie informacji zawierających tajemnicę przedsiębiorstwa.
1b. Przekazanie, o którym mowa w ust. 1a, następuje w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.
2. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wzór formularza do przekazywania informacji, o których mowa w ust. 1, kierując się koniecznością zapewnienia Prezesowi UKE informacji niezbędnych do właściwego realizowania jego obowiązków.
2a. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, kryteria uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług, biorąc pod uwagę w szczególności wartość procentową użytkowników, na których naruszenie bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych miało wpływ, czas trwania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych powodującego niedostępność lub ograniczenie dostępności sieci lub usług telekomunikacyjnych oraz rekomendacje i wytyczne Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA).
(Art.175 bezpieczeństwo przekazu komunikatów utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
2. Prezes UKE publikuje na stronie internetowej UKE informację, o której mowa w ust. 1, lub nakłada na przedsiębiorcę telekomunikacyjnego, w drodze decyzji, obowiązek jej podania do publicznej wiadomości, wskazując sposób jej publikacji, jeżeli uzna, że leży to w interesie publicznym.
3. Prezes UKE, w terminie do końca lutego każdego roku, przekazuje Komisji Europejskiej oraz Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji sprawozdanie za rok poprzedni zawierające informacje o naruszeniach i działaniach, o których mowa w ust. 1 i 2 oraz w art. 175a zawiadomienie Prezesa UKE o naruszeniu sieci lub usług ust. 1.
4. Na podstawie informacji, o których mowa w art. 175a zawiadomienie Prezesa UKE o naruszeniu sieci lub usług, uzyskanych od przedsiębiorców telekomunikacyjnych, Prezes UKE corocznie, w terminie do dnia 30 kwietnia opracowuje i przekazuje ministrowi właściwemu do spraw informatyzacji raport o zgłoszonych zagrożeniach i ewentualnych podjętych przez przedsiębiorców telekomunikacyjnych działaniach zapobiegawczych i środkach naprawczych.
(Art.175b poinformowanie o wystąpieniu naruszenia utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
1)
eliminację przekazu komunikatu, który zagraża bezpieczeństwu sieci lub usług;
2)
przerwanie lub ograniczenie świadczenia usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających bezpieczeństwu sieci lub usług.
2. Przedsiębiorca telekomunikacyjny informuje Prezesa UKE niezwłocznie, o podjęciu środków, o których mowa w ust. 1, jednak nie później niż w ciągu 24 godzin od ich podjęcia. W informacji zamieszcza się dane niezbędne do identyfikacji zagrożeń bezpieczeństwa sieci lub usług oraz przekazu komunikatów związanych ze świadczonymi usługami, ze wskazaniem podjętych środków naprawczych.
3. Prezes UKE może, w drodze decyzji, zakazać stosowania środków, o których mowa w ust. 1, jeżeli uzna, że nie są one proporcjonalne lub uzasadnione lub nie realizują celów, o których mowa w tym przepisie.
4. W przypadku podjęcia środków, o których mowa w ust. 1, przedsiębiorca telekomunikacyjny nie odpowiada za niewykonanie lub nienależyte wykonanie usług telekomunikacyjnych w zakresie wynikającym z podjętych środków. Przepisu nie stosuje się w przypadku wydania decyzji, o której mowa w ust. 3.
5. Przedsiębiorca telekomunikacyjny może informować innych przedsiębiorców telekomunikacyjnych i podmioty zajmujące się bezpieczeństwem teleinformatycznym o zidentyfikowanych zagrożeniach, o których mowa w ust. 1. Informacja może zawierać dane niezbędne do identyfikacji oraz ograniczenia zagrożenia.
(Art. 175c podejmowanie środków zapewniających bezpieczeństwo utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
2. Przedsiębiorca telekomunikacyjny informuje Prezesa UKE niezwłocznie, o podjęciu środków, o których mowa w ust. 1, jednak nie później niż w ciągu 24 godzin od ich podjęcia. W informacji zamieszcza się dane niezbędne do identyfikacji zagrożeń bezpieczeństwa sieci lub usług oraz przekazu komunikatów związanych ze świadczonymi usługami, ze wskazaniem podjętych środków naprawczych.
3. Prezes UKE może, w drodze decyzji, zakazać stosowania środków, o których mowa w ust. 1, jeżeli uzna, że nie są one proporcjonalne lub uzasadnione lub nie realizują celów, o których mowa w tym przepisie.
4. W przypadku podjęcia środków, o których mowa w ust. 1, przedsiębiorca telekomunikacyjny nie odpowiada za niewykonanie lub nienależyte wykonanie usług telekomunikacyjnych w zakresie wynikającym z podjętych środków. Przepisu nie stosuje się w przypadku wydania decyzji, o której mowa w ust. 3.
5. Przedsiębiorca telekomunikacyjny może informować innych przedsiębiorców telekomunikacyjnych i podmioty zajmujące się bezpieczeństwem teleinformatycznym o zidentyfikowanych zagrożeniach, o których mowa w ust. 1. Informacja może zawierać dane niezbędne do identyfikacji oraz ograniczenia zagrożenia.
(Art. 175c podejmowanie środków zapewniających bezpieczeństwo utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
(Art. 175d rozporządzenie w sprawie minimalnych środków i metod zapobiegania zagrożeniom utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
1)
potencjalnych zagrożeniach związanych z korzystaniem przez abonentów z usług telekomunikacyjnych;
2)
rekomendowanych środkach ostrożności i najbardziej popularnych sposobach zabezpieczania telekomunikacyjnych urządzeń końcowych przed oprogramowaniem złośliwym lub szpiegującym;
3)
przykładowych konsekwencjach braku lub nieodpowiedniego zabezpieczenia telekomunikacyjnych urządzeń końcowych.
2. Informacje, o których mowa w ust. 1, publikowane są przez przedsiębiorców telekomunikacyjnych na ich stronach internetowych.
3. Obowiązek, o którym mowa w ust. 2, może zostać zrealizowany przez umieszczenie na stronie internetowej odnośnika do miejsca na stronie internetowej UKE lub innego podmiotu zajmującego się bezpieczeństwem sieci, w którym zamieszczone są informacje wymagane zgodnie z ust. 1.
(Art. 175e publikacja informacji na stronie interentowej utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
2. Informacje, o których mowa w ust. 1, publikowane są przez przedsiębiorców telekomunikacyjnych na ich stronach internetowych.
3. Obowiązek, o którym mowa w ust. 2, może zostać zrealizowany przez umieszczenie na stronie internetowej odnośnika do miejsca na stronie internetowej UKE lub innego podmiotu zajmującego się bezpieczeństwem sieci, w którym zamieszczone są informacje wymagane zgodnie z ust. 1.
(Art. 175e publikacja informacji na stronie interentowej utraci moc z dniem wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)