Bezpieczeństwo sieci i usług w Europejskim Kodeksie Łączności Elektronicznej

Zgodnie z punktem 5 preambuły dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (wersja przekształcona) z dnia 11 grudnia 2018 r. (Dz. Urz. UE. L Nr 321, s. 36) („EKŁE”), celem tej dyrektywy jest stworzenie ram prawnych dla zapewnienia swobody w zakresie dostarczania sieci i usług łączności elektronicznej, podlegających wyłącznie warunkom określonym w niniejszej dyrektywie oraz ograniczeniom zgodnie z art. 52 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej, a w szczególności środkom podejmowanym w związku z polityką państwową, bezpieczeństwem publicznym oraz zdrowiem publicznym, oraz spójne z art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej.

W preambule EKŁE znajdują się postanowienia, które wyjaśniają uregulowania dotyczące bezpieczeństwem sieci i usług a znajdujące się w EKŁE. Problematyka związana z bezpieczeństwem sieci i usług jest uregulowana w EKŁE jednak w ograniczonym zakresie. Zgodnie bowiem z art. 1 ust. 3 lit c) EKŁE, postanowienia niniejszej dyrektywy pozostają bez uszczerbku dla działań podejmowanych przez państwa członkowskie do celów zachowania porządku publicznego i bezpieczeństwa publicznego oraz obronności. W punkcie 6 preambuły EKŁE wyjaśniono, że dyrektywa ta pozostaje bez uszczerbku dla uprawnień każdego z państw członkowskich do podejmowania środków, mających na celu zapewnienie ochrony jego podstawowych interesów w zakresie bezpieczeństwa, zapewnienie porządku publicznego i bezpieczeństwa publicznego oraz umożliwienie wykrywania lub ścigania przestępstw i prowadzenia dochodzeń w ich sprawie, mając na uwadze, że wszelkie ograniczenia korzystania z praw i wolności uznanych w Karcie, w szczególności jej art. 7, 8 i 11, takie jak ograniczenia dotyczące przetwarzania danych, muszą być przewidziane prawem, przestrzegać istoty praw i wolności oraz podlegać zasadzie proporcjonalności zgodnie z art. 52 ust. 1 Karty. Kwestie więc dotyczące bezpieczeństwa sieci i usług powinny znajdować się w przepisach krajowych, jednakże przepisy te powinny być zgodne z regulacjami UE, a w szczególności z EKŁE oraz Kartą.

EKŁE wyjaśnia co należy rozumieć pod pojęciem „szkodliwe zakłócenia” oraz „bezpieczeństwo sieci i usług”. Zgodnie z art. 2 pkt 20 EKŁE, „szkodliwe zakłócenia” oznaczają zakłócenia, które zagrażają funkcjonowaniu usług radionawigacyjnych lub innych usług związanych z bezpieczeństwem lub które w inny sposób poważnie pogarszają, utrudniają lub wielokrotnie zakłócają usługę radiokomunikacyjną odbywającą się zgodnie z obowiązującymi przepisami międzynarodowymi, unijnymi lub krajowymi. Natomiast „bezpieczeństwo sieci i usług” oznacza zdolność sieci i usług łączności elektronicznej do odpierania, na danym poziomie pewności, wszelkich działań naruszających dostępność, autentyczność, integralność lub poufność tych sieci i usług, przechowywanych, przekazywanych lub przetwarzanych danych lub związanych z nimi usług oferowanych przez te sieci lub usługi łączności elektronicznej lub dostępnych za ich pośrednictwem (art. 2 pkt 21 EKŁE).

EKŁE wśród celów rozporządzenia wymienia m.in. wspieranie interesów obywateli Unii poprzez zapewnianie łączności i powszechnej dostępności i korzystania z sieci o bardzo wysokiej przepustowości, w tym sieci stacjonarnych, ruchomych i bezprzewodowych, oraz usług łączności elektronicznej, poprzez dbanie o bezpieczeństwo sieci i usług oraz poprzez zapewnianie wysokiego i powszechnego poziomu ochrony użytkowników końcowych dzięki niezbędnym przepisom sektorowym (art. 3 ust. 2 lit d) EKŁE). Kwestiom bezpieczeństwa jest poświęcony tytuł V EKŁE, zatytułowany „Bezpieczeństwo”. W tytule tym znajdują się dwa artykuły (art. 40-41). Zgodnie z art. 40 ust. 1 EKŁE, państwa UE są zobowiązane zapewnić, aby dostawcy udostępniający publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej podejmowały właściwe i proporcjonalne środki techniczne i organizacyjne w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług. Środki te muszą zapewniać poziom bezpieczeństwa proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu wiedzy i technologii. W szczególności powinny być wprowadzone środki, obejmujące, w stosowanych przypadkach, szyfrowanie, zapobiegające wpływowi i minimalizujące wpływ, jaki na użytkowników i na inne sieci i usługi mogą mieć przypadki stwarzające zagrożenie bezpieczeństwa. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ułatwia zgodnie z rozporządzeniem koordynację państw członkowskich, aby uniknąć powstawania rozbieżnych krajowych wymogów, które mogą tworzyć ryzyko dla bezpieczeństwa i bariery dla rynku wewnętrznego.

Według art. 40 ust. 2 EKŁE, państwa UE są zobowiązane zapewnić, aby podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej powiadamiały bez zbędnej zwłoki właściwy organ o incydentach związanych z bezpieczeństwem, które miały znaczący wpływ na funkcjonowanie sieci lub usług. Aby określić istotność wpływu danego incydentu związanego z bezpieczeństwem, uwzględnia się w szczególności następujące parametry, gdy są dostępne:
a) liczbę użytkowników, których dotyczy incydent związany z bezpieczeństwem;
b) czas trwania incydentu związanego z bezpieczeństwem;
c) geograficzny zasięg obszaru dotkniętego incydentem związanym z bezpieczeństwem;
d) zakres wpływu na funkcjonowanie sieci lub usługi;
e) zakres wpływu na działalność ekonomiczną i społeczną.

W stosownych przypadkach dany właściwy organ informuje właściwe organy innych państw członkowskich oraz ENISA. W przypadku gdy właściwy organ uzna, że ujawnienie incydentu związanego z bezpieczeństwem leży w interesie publicznym, może podać tę informację do wiadomości publicznej lub nałożyć taki obowiązek na podmioty.

Raz w roku właściwy organ przekazuje Komisji i ENISA sprawozdanie podsumowujące otrzymane zgłoszenia i działania podjęte zgodnie z niniejszym ustępem.

Państwa UE powinny zapewnić, aby w przypadku szczególnego i znacznego zagrożenia wystąpieniem incydentu związanego z bezpieczeństwem w publicznych sieciach łączności elektronicznej lub w ramach dostępnych publicznie usług łączności elektronicznej podmioty udostępniające takie sieci lub świadczące takie usługi informowały swoich użytkowników, na których takie zagrożenie może mieć wpływ, o wszelkich możliwych środkach ochronnych lub naprawczych, które użytkownicy mogą podjąć. W stosownych przypadkach podmioty powinny informować swoich użytkowników również o samym zagrożeniu (art. 40 ust. 3 EKŁE).

Przepisy art. 40 EKŁE nie naruszają przepisów rozporządzenia 2016/679 oraz dyrektywy 2002/58/WE (art. 40 ust. 4 EKŁE).

Komisja Europejska, w jak największym stopniu powinna uwzględniać opinię ENISA, może przyjąć akty wykonawcze określające szczegółowo techniczne i organizacyjne środki, o których mowa w art. 40 ust. 1 EKŁE, a także okoliczności, format i procedury stosowane w odniesieniu do wymogów dotyczących zgłoszenia na podstawie art. 40 ust. 2 EKŁE. Opierają się one w jak najszerszym zakresie na normach europejskich i międzynarodowych i nie uniemożliwiają państwom członkowskim przyjmowania dodatkowych wymogów służących osiągnięciu celów określonych w art. 40 ust. 1 EKŁE. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 118 ust. 4 EKŁE (art. 40 ust. 5 EKŁE).

Postanowienia art. 41 EKŁE dotyczą wdrożenia i egzekwowania postanowień dotyczących bezpieczeństwa sieci i usług. Zgodnie z art. 41 ust. 1 EKŁE państwa UE powinny zapewnić, aby w celu wdrożenia art. 40 EKŁE właściwe organy były uprawnione do wydawania wiążących instrukcji – w tym instrukcji dotyczących środków wymaganych, aby zaradzić incydentowi związanemu z bezpieczeństwem lub aby zapobiec wystąpieniu takiego incydentu, gdy zidentyfikowano znaczne zagrożenie, oraz terminów wdrożenia – podmiotom udostępniającym publiczne sieci łączności elektronicznej lub świadczącym publicznie dostępne usługi łączności elektronicznej.

Według art. 41 ust. 2 EKŁE państwa UE powinny zapewnić, aby właściwe organy były uprawnione do wymagania od podmiotów udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej:
a) dostarczania informacji potrzebnych do oceny bezpieczeństwa ich sieci i usług, w tym do oceny udokumentowanych polityk bezpieczeństwa; oraz
b) poddania się audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany niezależny podmiot lub właściwy organ i udostępnienia właściwemu organowi wyników takiego audytu. Koszty wspomnianego audytu ponosi dostawca.

Państwa UE powinny zapewnić, aby właściwe organy posiadały wszelkie uprawnienia niezbędne do badania przypadków nieprzestrzegania wymogów oraz ich wpływu na bezpieczeństwo sieci i usług (art. 41 ust. 3 EKŁE). Powinny także zapewnić w celu wdrożenia przepisów art. 40 EKŁE, aby właściwe organy dysponowały uprawnieniami pozwalającymi im zwracać się o pomoc do Zespołu Reagowania na Incydenty związane z Bezpieczeństwem Komputerowym wyznaczonego na podstawie art. 9 dyrektywy 2016/1148 w związku z problemami wchodzącymi w zakres zadań CSIRT zgodnie z pkt 2 załącznika I do tej dyrektywy (art. 41 ust. 4 EKŁE).

Właściwe organy, w stosownych przypadkach oraz zgodnie z prawem krajowym, powinny konsultować się i współpracować z odpowiednimi krajowymi organami ścigania, właściwymi organami w rozumieniu art. 8 ust. 1 dyrektywy 2016/1148 oraz krajowymi organami ds. ochrony danych (art. 41 ust. 5 EKŁE).

Zgodnie z punktem 94 preambuły EKŁE, dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej (lub zarówno sieci, jak i usług) powinni mieć obowiązek wprowadzania środków w celu ochrony bezpieczeństwa, odpowiednio, sieci lub usług, a także w celu zapobieżenia skutkom incydentów związanych z bezpieczeństwem lub minimalizacji tych skutków. Środki te powinny zapewniać poziom bezpieczeństwa sieci i usług proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu wiedzy i technologii. Przy opracowywaniu środków bezpieczeństwa należy brać pod uwagę co najmniej wszystkie stosowne aspekty następujących kwestii:
- w odniesieniu do bezpieczeństwa sieci i urządzeń – bezpieczeństwo fizyczne i bezpieczeństwo środowiska, bezpieczeństwo dostaw, kontrola dostępu do sieci i integralność sieci;
- w odniesieniu do postępowania w przypadku incydentów związanych z bezpieczeństwem – procedury postępowania w przypadku incydentu związanego z bezpieczeństwem, zdolności wykrywania incydentów, zgłaszanie incydentów związanych z bezpieczeństwem i informowanie o nich;
- w odniesieniu do zarządzania ciągłością działalności – strategię ciągłości usług i plany awaryjne, zdolności w zakresie przywracania gotowości do pracy po katastrofie;
- w odniesieniu zaś do monitorowania, kontroli i testowania – strategie monitorowania i rejestrowania, ćwiczenia w zakresie planów awaryjnych, testowanie sieci i usług, oceny bezpieczeństwa i monitorowanie zgodności; oraz zgodność z normami międzynarodowymi.

Według punktu 95 preambuły EKŁE, z uwagi na rosnące znaczenie usług łączności interpersonalnej niewykorzystujących numerów należy zapewnić aby podlegały one również odpowiednim wymogom bezpieczeństwa zgodnie z ich specyficznym charakterem i istotną rolą w gospodarce. Dostawcy usług powinni również zapewnić poziom bezpieczeństwa proporcjonalny do istniejącego ryzyka. Ze względu na to, że dostawcy usługi interpersonalnej łączności niewykorzystujące numerów zazwyczaj nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach, stopień ryzyka w przypadku takich usług można uznać za niższy pod pewnymi względami niż w przypadku tradycyjnych usług łączności elektronicznej. Dlatego też, jeżeli tylko jest to uzasadnione aktualną oceną ryzyka dla bezpieczeństwa, środki podejmowane przez dostawców usługi interpersonalnej łączności niewykorzystujące numerów powinny być łagodniejsze. Takie samo podejście powinno być stosowane odpowiednio do usług łączności interpersonalnej wykorzystującej numery, jeżeli dostawca nie sprawuje rzeczywistej kontroli nad transmisją sygnału.

Dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej są zobowiązani poinformować użytkowników o szczególnych i istotnych zagrożeniach dla bezpieczeństwa oraz o środkach, które mogą podejmować w celu ochrony bezpieczeństwa łączności, na przykład przez zastosowanie szczególnych rodzajów oprogramowania lub technologii szyfrowania. Wymóg informowania użytkowników o takich zagrożeniach nie powinien zwalniać danego dostawcy usług z obowiązku podjęcia na własny koszt odpowiednich i natychmiastowych środków w celu zaradzenia wszelkim zagrożeniom bezpieczeństwa oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi. Udzielanie użytkownikowi takich informacji na temat zagrożeń bezpieczeństwa powinno odbywać się bezpłatnie (punktu 96 preambuły EKŁE).

Zgodnie z punktem 97 preambuły EKŁE, aby zagwarantować bezpieczeństwo sieci i usług, a także bez uszczerbku dla uprawnień państw członkowskich w zakresie zapewniania ochrony ich podstawowych interesów bezpieczeństwa i bezpieczeństwa publicznego, oraz aby umożliwić wykrywanie lub ściganie przestępstw i prowadzenie dochodzeń w ich sprawie, należy promować korzystanie na przykład z szyfrowania – w stosownych przypadkach pełnego szyfrowania transmisji – a w razie konieczności, szyfrowanie powinno być obowiązkowe zgodnie z zasadami bezpieczeństwa i prywatności domyślnie i już w fazie projektowania.

Właściwe organy powinny zapewniać utrzymanie integralności i dostępności publicznych sieci łączności elektronicznej. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji powinna przyczyniać się do zwiększania poziomu bezpieczeństwa łączności elektronicznej, poprzez między innymi zapewnianie wiedzy i doradztwa, oraz propagować wymianę najlepszych praktyk. Właściwe organy powinny dysponować niezbędnymi środkami do wykonywania swoich obowiązków, w tym uprawnieniami do uzyskiwania informacji niezbędnych do oceny poziomu bezpieczeństwa sieci lub usług. Powinny być również uprawnione do pozyskiwania kompleksowych i wiarygodnych danych na temat przypadków rzeczywistych zagrożeń bezpieczeństwa, które wywarły znaczący wpływ na funkcjonowanie sieci lub usług. W stosownych przypadkach powinny udzielać im pomocy Zespoły Reagowania na Incydenty związane z Bezpieczeństwem Komputerowym (CSIRT) utworzone na podstawie dyrektywy (UE) 2016/1148 Parlamentu Europejskiego i Rady. W szczególności CSIRT mogą mieć obowiązek, by dostarczać właściwym organom informacji o ryzyku i incydentach związanych z bezpieczeństwem zagrażających publicznym sieciom łączności elektronicznej i publicznie dostępnym usługom łączności elektronicznej i zalecać metody radzenia sobie z tymi problemami (punkt 98 preambuły EKŁE).

Punkt 148 preambuły EKŁE dotyczy interoperacyjności. Pojęcie interoperacyjności usług oznacza zdolność sieci telekomunikacyjnych do efektywnej współpracy w celu zapewnienia wzajemnego dostępu użytkowników do usług świadczonych w tych sieciach. Jest to określony stan zdolności sieci do współdziałania przy wykonywaniu usług, osiągany dzięki odpowiednim rozwiązaniom technicznym i współpracy operatorów. Istotne znaczenie ma także współpraca wytwórców urządzeń telekomunikacyjnych, a szczególnie wytwórców urządzeń końcowych. Pojęcie interoperacyjności usług funkcjonuje od dawna w unijnym porządku prawnym, ale nie zostało zdefiniowane. Kontekst, w jakim się pojawia, wskazuje, że określa ono stan polegający na możliwości niezakłóconego korzystania z usług telekomunikacyjnych przez użytkowników różnych sieci i urządzeń. Główny element definicji interoperacyjności usług związany jest z kwestią współpracy sieci telekomunikacyjnych, choć ostatecznym celem jest możliwość korzystania z usług. Ostatecznym celem wymogów dotyczących interoperacyjności jest zatem niezakłócony, wzajemny dostęp użytkowników połączonych sieci do usług świadczonych w tych sieciach. Interoperacyjność usług jest, zgodnie z ustawą, przesłanką podejmowania niektórych decyzji regulacyjnych, rozstrzygania sporów między przedsiębiorcami w sprawie dostępu do sieci, wytyczną do uwzględnienia przy wydawaniu przepisów wykonawczych, wreszcie przesłanką kształtowania praw i obowiązków w stosunkach umownych między przedsiębiorcami telekomunikacyjnymi. Preambuła wyjaśnia, że interoperacyjność stanowi korzyść dla użytkowników końcowych i jest ważnym celem, do którego realizacji zmierzają niniejsze uregulowania prawne. Wspieranie interoperacyjności to jedno z zadań krajowych organów regulacyjnych i innych właściwych organów określonych w niniejszych uregulowaniach ramowych. Te uregulowania ramowe zobowiązują także Komisję do opublikowania listy norm lub specyfikacji dotyczących świadczenia usług, technicznych interfejsów lub funkcji sieciowych, w celu wspierania procesu harmonizacji w dziedzinie łączności elektronicznej. Państwa członkowskie powinny zachęcać do stosowania opublikowanych norm lub specyfikacji w takim zakresie, w jakim jest to niezbędne dla zwiększenia interoperacyjności usług i swobody wyboru dla użytkowników.

Zgodnie z punktem 264 preambuły EKŁE, bez uszczerbku dla spoczywającego na dostawcy istotnego obowiązku związanego z bezpieczeństwem na podstawie niniejszej dyrektywy, umowa powinna precyzować, jaki rodzaj działań dostawca może podjąć w razie wystąpienia zdarzeń naruszających bezpieczeństwo, zagrożeń takimi zdarzeniami lub podatnością na wystąpienie takich wydarzeń. Ponadto umowa powinna również precyzować wszelkie ustalenia dotyczące możliwości kompensacji lub zwrotu pieniędzy, jeśli dostawca w nieadekwatny sposób zareaguje na incydent związany z bezpieczeństwem, w tym jeżeli do zgłoszonego dostawcy incydentu związanego z bezpieczeństwem dochodzi z powodu znanych luk bezpieczeństwa w oprogramowaniu lub sprzęcie komputerowym, w związku z czym producent lub programista udostępnił poprawki, a dostawca nie zastosował ich ani nie podjął żadnych innych odpowiednich środków zaradczych.

Według punktu 294 preambuły EKŁE, w przypadku gdy zapewniany jest skuteczny i spełniający najwyższy poziom bezpieczeństwa danych kontakt ze wszystkimi zainteresowanymi użytkownikami końcowymi, niezależnie od miejsca lub państwa członkowskiego ich zamieszkania, państwa członkowskie powinny mieć możliwość wprowadzenia transmisji publicznych ostrzeżeń za pośrednictwem publicznie dostępnych usług łączności elektronicznej innych niż usługi ruchomej łączności interpersonalnej wykorzystujące numery i innych niż usługi transmisji wykorzystywane do celów nadawczych lub za pośrednictwem aplikacji mobilnej przesyłanej za pomocą usług dostępu do internetu. W celu informowania użytkowników końcowych przyjeżdżających do danego państwa członkowskiego o istnieniu takich publicznych systemów ostrzegania państwo to powinno zapewnić, by ci użytkownicy końcowi otrzymywali automatycznie za pomocą SMS, niezwłocznie i bezpłatnie, łatwo zrozumiałe informacje dotyczące sposobu otrzymywania ostrzeżeń publicznych, w tym za pomocą ruchomych urządzeń końcowych nieobsługujących usług dostępu do internetu. Publiczne ostrzeżenia inne niż oparte na usługach ruchomej łączności interpersonalnej wykorzystujących numery powinny być przekazywane użytkownikom końcowym w sposób łatwy do otrzymania. W przypadku gdy publiczny system ostrzegania opiera się na aplikacji, nie powinna ona wymagać od użytkowników końcowych logowania się lub rejestrowania w danym organie ani u danego dostawcy aplikacji. Dane dotyczące lokalizacji użytkowników końcowych powinny być używane zgodnie z dyrektywą 2002/58/WE. Transmisja publicznych ostrzeżeń powinna być bezpłatna dla użytkowników końcowych.

Prof. zw. dr hab. Maciej Rogalski