TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Plan działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń

Obowiązek posiadania planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń istnieje od początku obowiązywania ustawy prawo telekomunikacyjne, czyli od 2000 roku. Przypominamy jak go wypełnić.

Początkowo plan ten miał spełniać funkcję planu ciągłości działania. Ustawodawca uznał, że przedsiębiorca telekomunikacyjny spełnia bardzo ważną rolę w funkcjonowania społeczeństwa, dlatego musi dawać gwarancję bezawaryjnego funkcjonowania.

Wieloletnie funkcjonowanie przepisów określających zawartość i sposób sporządzania Planu działań spowodował, że obecnie jest to dość obszerny dokument, trudny do opracowania i nie zawsze wygodny w użytkowaniu.

Taki dokument w przedsiębiorstwie telekomunikacyjnym jest rzeczywiście potrzebny, jednak w naszym przekonaniu w formie innej niż aktualnie określają to przepisy.

Obowiązek, ale nie dla każdego

Niezależnie od poglądu na temat zasadności sporządzania Planu działań, taki obowiązek spoczywa na telekomach i jak widać, w projektowanych przepisach (czyli w PKE), nadal będzie istniał. Opisany jest w art. 176a ustawy prawo telekomunikacyjne oraz w rozporządzeniu Rady Ministrów z 19 sierpnia 2020 r. w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń.

Obowiązek posiadania planu działań spoczywa wyłącznie na niektórych przedsiębiorcach telekomunikacyjnych. Z obowiązku tego wyłączeni są ci, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były równe lub mniejsze niż 10 milionów złotych, a także przedsiębiorcy, którzy wykonują działalność telekomunikacyjną wyłącznie na obszarze mniejszym od granic administracyjnych jednego powiatu (z wyłączeniem miasta na prawach powiatu), polegającą wyłącznie na rozprowadzaniu lub rozpowszechnianiu programów radiofonicznych lub telewizyjnych albo polegającą wyłącznie na świadczeniu usług dostępu do sieci Internet za pośrednictwem sieci telekomunikacyjnej obsługującej do 1000 zakończeń sieci posiadających własny adres IP.

Ponadto obowiązek posiadania planu nie dotyczy przedsiębiorców telekomunikacyjnych wykonujących działalność telekomunikacyjną wykorzystując sieć innego podmiotu.

Ograniczenia powyższe nie dotyczą przedsiębiorców telekomunikacyjnych, którzy na podstawie decyzji administracyjnej MON wykonują zadania obronne na rzecz Sił Zbrojnych.

Jak wypełnić ten obowiązek?

W pierwszej kolejności należy wystąpić do ministra właściwego do spraw cyfryzacji (Minister Cyfryzacji), Prezesa UKE oraz każdego wojewody, na terenie którego województwa jest wykonywana działalność telekomunikacyjna, z wnioskiem o udzielenie informacji dotyczących zagrożeń występujących na obszarze prowadzenia działalności, potrzeb podmiotów państwowych w zakresie świadczenia, utrzymania i odtwarzania usług telekomunikacyjnych oraz dostępu telekomunikacyjnego.

Po otrzymaniu z urzędów odpowiednich informacji należy dokonać analizy zagrożeń oraz ich wpływ na bezpieczeństwo eksploatowanej infrastruktury lub świadczonych usług, potrzeb organów administracji publicznej oraz możliwości zaspokojenia tych potrzeb.

Po przeprowadzeniu takiej analizy należy opracować projekt Planu działań. Bez względu na obszar, na którym prowadzona jest działalność telekomunikacyjna, sporządza się jeden plan dla całego obszaru, np. jeden dla kilku województw.

Rozporządzenie dość precyzyjne określa zawartość Planu działań. Pragniemy zwrócić uwagę, że zawartość planu określona w Rozporządzeniu nie jest skorelowana z obowiązkami wynikającymi z przepisów prawa powszechnego. Jako przykład niech posłuży obowiązek (§7 ust 1 pkt 13 Rozporządzenia) opisu możliwości zasilania w energię elektryczną infrastruktury telekomunikacyjnej. Żaden przepis nie precyzuje obowiązków w tym zakresie. Konieczność zasilania zapasowego wynika z analizy potrzeb zapewnienia ciągłości działania.

Pamiętać należy, że w Planie działań musi znaleźć się opis wdrożonych środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci, usług danych lub przekazu komunikatów albo wskazanie dokumentu, w którym taki opis znajduje się. W praktyce oznacza to, że należy równolegle z opracowaniem planu działań należy opracować również dokumentację Zasad zapewnienie bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych.

Po sporządzeniu projektu Planu działań należy wysłać ten projekt do MC, UKE oraz wojewody lub wojewodów.

Praktyka implementacji

Na ogół po kilku dniach urzędy odpowiadają na wniosek o uzgodnienie Planu działań. Jeśli stwierdzą jakieś uchybienia nakazują uzupełnienia i ponowne przesłanie Planu.

Uzgodniony Plan działań należy wprowadzić do stosowania, w sposób przyjęty w przedsiębiorstwie. Może to być podpis osoby reprezentującej przedsiębiorstwo lub uchwała zarządu. Ważne jest aby Plan działań stał się formalnie obowiązującym dokumentem.

Jeden egzemplarz opracowanego, uzgodnionego i wdrożonego w przedsiębiorstwie Planu działań należy przesłać do UKE. W przypadku stwierdzenia braków w zawartości Planu działań, Prezes UKE wzywa przedsiębiorcę do ich usunięcia i wyznacza termin usunięcia tych braków.

Na wniosek MC lub wojewody należy przekazać wyciąg z Planu działań w zakresie zagadnień podlegających uzgodnieniom.

Tak opracowane, uzgodnione z właściwymi organami, wdrożony w przedsiębiorstwie Plan działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń, jest podstawą podejmowania działań po stwierdzeniu wystąpienia sytuacji szczególnych zagrożeń lub po uzyskaniu informacji o ich wystąpieniu od podmiotów i służ właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego.

Plan działań należy aktualizować nie rzadziej niż raz na trzy lata lub w przypadku zmian mających istotny wpływ na realizację Planu działań. 

Dariusz Fudala  Andrzej Fudala
Dariusz Fudala  Andrzej Fudala
Dariusz Fudala jest właścicielem firmy SayF, zaś Andrzej Fudala jej ekspertem ds. telekomunikacji

przeczytaj najnowszy numer isporfessional

Najnowsze