Dlaczego operatorzy telekomunikacyjni muszą być szczególnie czujni w kontekście wdrożenia NIS2?

Firmy telekomunikacyjne pełnią rolę fundamentu infrastruktury cyfrowej – ich sieci i usługi łączności elektronicznej zapewniają dostęp do Internetu, komunikację biznesową i możliwość świadczenia usług online całemu społeczeństwu. Z tego powodu w dyrektywie NIS2 operatorzy telekomunikacyjni zostali uznani za podmioty ważne lub kluczowe w zależności od rodzaju podmiotu, a także wielkości prowadzonego przez nich przedsiębiorstwa. Zgodnie z art. 3 ust. 1 lit. a) dyrektywy NIS2 podmiotami kluczowymi są podmioty przekraczające kryteria przewidziane dla średnich przedsiębiorstw (posiadają status dużych przedsiębiorców), którzy kwalifikują się do sektorów kluczowych wymienionych w załączniku nr 1 do dyrektywy NIS2. W tym załączniku  wymienieni są m.in. w sektorze infrastruktury cyfrowej dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej.

Podmioty ważne i kluczowe

Zgodnie z art. 3 ust. 1 lit. b) dyrektywy NIS2 podmiotami kluczowymi są także dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej (czyli operatorzy telekomunikacyjni), które kwalifikują się jako średnie przedsiębiorstwa.

Zgodnie z art. 3 ust. 2 dyrektywy NIS2 podmiotami ważnymi są podmioty, które kwalifikują się do sektorów kluczowych lub sektorów ważnych, a nie zostały na gruncie dyrektywy NIS2 uznane wprost za podmioty kluczowe. Zatem, jeśli w załączniku nr 1 do dyrektywy NIS2 wśród wskazanych  w sektorze kluczowym „Infrastruktura cyfrowa” podmiotów znajdują się także dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej, to ci dostawcy, którzy nie są dużymi lub średnimi przedsiębiorcami, zgodnie z art. 2 lit. a) pkt (i) dyrektywy NIS2 powinni zostać zakwalifikowani jako podmioty ważne (mikroprzedsiebiorcy i mali przedsiębiorcy).

Zakłócenie działania sieci telekomunikacyjnych może doprowadzić do paraliżu działania innych sektorów (np. energetyki, finansów, służby zdrowia), dlatego rządy i organy regulujące przywiązują do nich szczególną uwagę w kontekście cyberbezpieczeństwa.

W praktyce oznacza to, że operatorzy telekomunikacyjni będą musieli wdrożyć zaawansowane mechanizmy ochrony – silne systemy monitorowania sieci, redundancję łączy, aktualizacje oprogramowania i regularne testy penetracyjne. Do tego dochodzą obowiązki raportowania incydentów cybernetycznych (np. masowych awarii sieci, ataków DDoS, włamań do systemów sterowania) do odpowiednich zespołów reagowania (np. CSIRT) oraz współpracy z organami państwowymi. Nowe prawo wzmocni wymagania w zakresie cyberbezpieczeństwa, dlatego firmy telekomunikacyjne muszą być przygotowane, aby nie tylko spełnić wymogi formalne, ale faktycznie podnieść odporność swoich sieci.

Rekomendacje przygotowawcze dla operatorów telekomunikacyjnych

Aby sprostać nadchodzącym przepisom i ograniczyć ryzyko sankcji, firmy telekomunikacyjne powinny podjąć działania operacyjne i organizacyjne, m.in.:

• Audyt systemów bezpieczeństwa – Przeprowadzić całościowy przegląd infrastruktury IT/OT (serwery, urządzenia sieciowe, systemy klienckie) pod kątem potencjalnych słabości.
• Identyfikacja i klasyfikacja zasobów – Sporządzić szczegółową listę krytycznych zasobów informacyjnych (systemów, aplikacji i danych) oraz przypisać im poziomy poufności i krytyczności.
• Opracowanie planów reagowania na incydenty – Plan powinien określać role i zadania personelu w razie ataku (od identyfikacji i zgłoszenia incydentu, przez analizę i ograniczenie szkód, po przywrócenie działania systemów).
• Szkolenia pracowników – Przeprowadzić szkolenia dla zespołów technicznych i kadry zarządzającej z zakresu nowych obowiązków (świadomość incydentów, procedury zgłoszeń, bezpieczeństwo łańcucha dostaw).
• Monitorowanie zmian prawnych i przygotowanie na kontrole – Stałe śledzenie prac legislacyjnych (np. na stronach RCL lub gov.pl) pozwoli odpowiednio wcześniej dostosować procedury. Firmy powinny być gotowe na kontrole organów nadzoru (np. NASK/CSIRT lub UKNF w kontekście DORA), co oznacza utrzymywanie pełnej dokumentacji bezpieczeństwa i dowodów zgodności z przepisami.

Systematyczna realizacja powyższych działań nie tylko ułatwi formalne wypełnienie wymagań NIS2/DORA, lecz przede wszystkim realnie wzmocni bezpieczeństwo sieci telekomunikacyjnych.