Stanowisko Konfederacji Lewiatan wobec projektów rozporządzeń Ministra Cyfryzacji

2018-07-25

Stanowisko Konfederacji Lewiatan wobec projektów rozporządzeń Ministra Cyfryzacjiw sprawie:

1) kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług;
2) wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie
sieci lub usług.

I. Kwestie ogólne:

Ministerstwo Cyfryzacji przedstawiło dwa projekty aktów wykonawczych do ustawy prawo telekomunikacyjne, a które wynikają ze zmian wprowadzanych ustawą o krajowym systemie cyberbezpieczeństwa.

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w art. 81 wprowadza zmiany w ustawie Prawo telekomunikacyjne polegające m.in. na dodaniu ust. 2a do art. 175a, zawierającego nowe upoważnienie ustawowe do wydania rozporządzenia określającego kryteria uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług. Jednocześnie dodany przepis ma wpływ na kształt i zawartość dotychczasowego formularza, który służył do przekazywania Prezesowi informacji o naruszeniach.

Co należy wyraźnie podkreślić już na samym początku, to ilość danych jaką należy dostarczyć
w oparciu o nowy formularz do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług  jest bardzo duża i niezwykle pracochłonna dla przedsiębiorców. Przyjmując nowy wzór może warto byłoby zredukować lub wyeliminować pkt. opisowe pozostawiając tylko konieczność dokonania „zaznaczeń" w formularzu (tzw. checkboxy). Uproszczenie obowiązków związanych z raportowaniem wydaje się wpisywać w trend określony w rządowej Strategii na rzecz Odpowiedzialnego Rozwoju, w której wskazuje się m.in. że „Konieczne jest wdrożenie działań organizacyjnych, które ułatwią, uproszczą oraz podniosą jakość kontaktów z administracją publiczną, a w konsekwencji prowadzenie aktywności gospodarczej w kraju." (SOR str. 80).

Jeśli chodzi o rozporządzenie dotyczące kryteriów to wymaga ono dopracowania i ponownej redakcji par. 2, w którym zawarto warunki uznania naruszenia za istotnie wpływające na funkcjonowanie sieci i usług telekomunikacyjnych, gdyż zaproponowana przez projektodawców konstrukcja tworzy niejasny algorytm, który będzie przecież podstawą dla przedsiębiorców do wykonania istotnych obowiązków.   

II. Kwestie szczegółowe:

Ad. 1) Projekt rozporządzenia Ministra Cyfryzacji w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług

Odnosząc się do podstawowej kwestii, a więc wskazanego algorytmu z par. ,2 to należy wskazać, że w zdaniu wprowadzającym do wyliczenia warunków, których spełnienie ma kwalifikować naruszenie za istotne to należałoby doprecyzować, czy określenie „użytkowników" dotyczy „użytkowników danej usługi", czy też „ użytkowników danego przedsiębiorcy".

Ponadto dość kłopotliwa jest zależność warunków ze zdania wprowadzającego wobec określonych w pkt. 1) i 2) par. 2 tj.

„ § 2. Naruszenie bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych ma istotny wpływ na funkcjonowania sieci lub usług telekomunikacyjnych, w przypadku gdy miało wpływ na co najmniej 10 000 użytkowników i zostanie spełniony jeden z poniższych warunków:

1) naruszenie skutkuje niedostępnością lub ograniczeniem dostępności sieci lub usług telekomunikacyjnych:

a) od 1 do 2 godzin, gdy naruszenie miało wpływ na więcej niż 15% użytkowników danej usługi,

b) od 2 do 4 godzin, gdy naruszenie miało wpływ na więcej niż 10% użytkowników danej usługi,

c) od 4 do 6 godzin, gdy naruszenie miało wpływ na więcej niż 5% użytkowników danej usługi,

2) iloczyn, wyrażonego w godzinach, czasu trwania naruszenia oraz liczby użytkowników na których naruszenie miało wpływ przekroczył 1 000 000" 

Dla przykładu jeśli naruszenie miało wpływ na mniej niż 10 000 użytkowników (przyjmijmy 9999), to czy przedsiębiorca nie tworzy w ogóle raportu w sytuacji kiedy awaria będzie trwała nawet 100 godzin (iloczyn 9999 użytkowników * 100 godzin = 999 900 < 1 000 000)? Co w takim razie
z warunkiem ze zdania wprowadzającego, który odnosi się do liczby 10.000?

Taka konstrukcja przepisu wprowadza zbyt duże niejasności. Należy go przeformułować, aby jasno wskazywał sytuację i warunki w których należy uznawać przedmiotowe naruszenia za istotne.  

Ad. 2) Projekt rozporządzenia Ministra Cyfryzacji w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług

Cześć problemów wynikających z przedstawionych zapisów i nowego formularza wymaga szczegółowego omówienia, co do planowanej praktyki wykonywania przedmiotowych obowiązków. Niezbędne byłoby więc  spotkanie warsztatowe operatorów/izb branżowych
z Ministerstwem Cyfryzacji oraz przedstawicielami Urzędu Komunikacji Elektronicznej. Najlepiej, aby odbyło się ono jeszcze w toku trwających konsultacji a nie dopiero po publikacji.

Rozporządzenie w sprawie kryteriów, jak również w sprawie formularza w jednym przypadku wskazują na „ogólną liczbę użytkowników", a w innym na „użytkowników danej usługi" np:

W rozporządzeniu o formularzach:

„3. Informacje o wpływie naruszenia

a) liczba użytkowników, na których naruszenie miało wpływ, według wyliczeń przedsiębiorcy (należy wskazać liczbę użytkowników, którzy w konsekwencji naruszenia zostali pozbawieni możliwości korzystania z usług, w tym wykonywania połączeń z numerami alarmowymi);

b) wartość procentowa z ogólnej liczby użytkowników danego przedsiębiorcy, jaką stanowią użytkownicy, na których naruszenie wywarło wpływ, według wyliczeń przedsiębiorcy"

W rozporządzeniu o kryteriach:

„1) naruszenie skutkuje niedostępnością lub ograniczeniem dostępności sieci lub usług telekomunikacyjnych:

a) od 1 do 2 godzin, gdy naruszenie miało wpływ na więcej niż 15% użytkowników danej usługi,..."

Takie rozróżnienie, wraz z koniecznością obliczenia szeregu iloczynów czasu i ilości będzie powodowało konieczność wprowadzenia wielu algorytmów, w sytuacji rozległej infrastruktury, zróżnicowanych usługach i znaczącej ilości użytkowników. Warto byłoby spróbować uprościć te kryteria, a także zapewnić ich spójność w obydwóch aktach wykonawczych.

Ponadto w związku z rozszerzeniem zakresu informacji o naruszeniu (MMS, usługi telewizyjne)
i nowymi warunkami  do określania wystąpienia naruszenia („udział procentowy użytkowników danej usługi") prawdopodobnie będzie należało stworzyć grupy usług, w ramach których będzie kalkulowane wystąpienie naruszenia, np. fix głosowe (np. PSTN, WLR, VoIP), fix data (np. FTTH, iDSL, BSA), telewizja (różne technologie np. DTH, IPTV). Tym samym, również z tego powodu, sposób raportowania do UKE staje się jeszcze bardziej skompilowany.

Konfederacja Lewiatan, KL/271/122/AM/2018

Pobierz stanowisko>>>