Art. 175. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych,
a jeżeli jest to konieczne – także operator publicznej sieci telekomunikacyjnej, są
obowiązani podjąć środki techniczne i organizacyjne w celu zapewnienia
bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów w związku ze
świadczonymi usługami. Podjęte środki powinny zapewniać poziom bezpieczeństwa
odpowiedni do stopnia ryzyka, przy uwzględnieniu najnowocześniejszych osiągnięć
technicznych oraz kosztów wprowadzenia tych środków.
2. Dostawca usług jest obowiązany do informowania użytkowników
o wystąpieniu szczególnego ryzyka naruszenia bezpieczeństwa sieci wymagającego
podjęcia środków wykraczających poza środki techniczne i organizacyjne podjęte
przez dostawcę usług, a także o istniejących możliwościach zapewnienia
bezpieczeństwa i związanych z tym kosztach.

Art. 175a. 1. Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie
informować Prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub
usług, które miało istotny wpływ na funkcjonowanie sieci lub usług, o podjętych
działaniach zapobiegawczych i środkach naprawczych oraz podjętych przez
przedsiębiorcę działaniach, o których mowa w art. 175 i art. 175c.
1a. Prezes UKE przekazuje informacje, o których mowa w ust. 1, jeżeli dotyczą
one zdarzeń będących incydentami w rozumieniu ustawy z dnia 5 lipca 2018 r. o
krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 oraz z 2019 r. poz. 2020 i
2248), CSIRT właściwemu dla zgłaszającego przedsiębiorcy telekomunikacyjnego,
zgodnie z art. 26 ust. 5–7 tej ustawy, z wyłączeniem informacji stanowiących
tajemnicę przedsiębiorstwa, zastrzeżonych na podstawie art. 9.
1b. Przekazanie, o którym mowa w ust. 1a, następuje w postaci elektronicznej, a
w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu
innych dostępnych środków komunikacji.
2. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia,
wzór formularza do przekazywania informacji, o których mowa w ust. 1, kierując się
koniecznością zapewnienia Prezesowi UKE informacji niezbędnych do właściwego
realizowania jego obowiązków.
2a. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia,
kryteria uznania naruszenia bezpieczeństwa lub integralności sieci lub usług
telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub
usług, biorąc pod uwagę w szczególności wartość procentową użytkowników, na
których naruszenie bezpieczeństwa lub integralności sieci lub usług
telekomunikacyjnych miało wpływ, czas trwania naruszenia bezpieczeństwa lub
integralności sieci lub usług telekomunikacyjnych powodującego niedostępność lub
ograniczenie dostępności sieci lub usług telekomunikacyjnych oraz rekomendacje i
wytyczne Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA).

Art. 175b. 1. Prezes UKE informuje o wystąpieniu naruszenia bezpieczeństwa
lub integralności sieci lub usług organy regulacyjne innych państw członkowskich
oraz Europejską Agencję do spraw Bezpieczeństwa Sieci i Informacji (ENISA), jeżeli
uzna charakter tego naruszenia za istotny.
2. Prezes UKE publikuje na stronie internetowej UKE informację, o której mowa
w ust. 1, lub nakłada na przedsiębiorcę telekomunikacyjnego, w drodze decyzji, obowiązek jej podania do publicznej wiadomości, wskazując sposób jej publikacji, jeżeli uzna, że leży to w interesie publicznym.
3. Prezes UKE, w terminie do końca lutego każdego roku, przekazuje Komisji
Europejskiej oraz Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji
sprawozdanie za rok poprzedni zawierające informacje o naruszeniach i działaniach,
o których mowa w ust. 1 i 2 oraz w art. 175a ust. 1.
4. Na podstawie informacji, o których mowa w art. 175a, uzyskanych od
przedsiębiorców telekomunikacyjnych, Prezes UKE corocznie, w terminie do dnia
30 kwietnia opracowuje i przekazuje ministrowi właściwemu do spraw informatyzacji
raport o zgłoszonych zagrożeniach i ewentualnych podjętych przez przedsiębiorców
telekomunikacyjnych działaniach zapobiegawczych i środkach naprawczych.

Art. 175c. 1. Przedsiębiorca telekomunikacyjny, z uwzględnieniem art. 160
ust. 2, podejmuje proporcjonalne i uzasadnione środki mające na celu zapewnienie
bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów związanych ze
świadczonymi usługami, w tym:
1) eliminację przekazu komunikatu, który zagraża bezpieczeństwu sieci lub usług;
2) przerwanie lub ograniczenie świadczenia usługi telekomunikacyjnej na
zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających
bezpieczeństwu sieci lub usług.
2. Przedsiębiorca telekomunikacyjny informuje Prezesa UKE niezwłocznie,
o podjęciu środków, o których mowa w ust. 1, jednak nie później niż w ciągu
24 godzin od ich podjęcia. W informacji zamieszcza się dane niezbędne do
identyfikacji zagrożeń bezpieczeństwa sieci lub usług oraz przekazu komunikatów
związanych ze świadczonymi usługami, ze wskazaniem podjętych środków
naprawczych.
3. Prezes UKE może, w drodze decyzji, zakazać stosowania środków, o których
mowa w ust. 1, jeżeli uzna, że nie są one proporcjonalne lub uzasadnione lub nie
realizują celów, o których mowa w tym przepisie.
4. W przypadku podjęcia środków, o których mowa w ust. 1, przedsiębiorca
telekomunikacyjny nie odpowiada za niewykonanie lub nienależyte wykonanie usług
telekomunikacyjnych w zakresie wynikającym z podjętych środków. Przepisu nie
stosuje się w przypadku wydania decyzji, o której mowa w ust. 3.
5. Przedsiębiorca telekomunikacyjny może informować innych przedsiębiorców
telekomunikacyjnych i podmioty zajmujące się bezpieczeństwem teleinformatycznym o zidentyfikowanych zagrożeniach, o których mowa w ust. 1. Informacja może zawierać dane niezbędne do identyfikacji oraz ograniczenia zagrożenia.

Art. 175d. Minister właściwy do spraw informatyzacji może określić, w drodze
rozporządzenia, minimalne środki techniczne i organizacyjne oraz metody
zapobiegania zagrożeniom, o których mowa w art. 175a ust. 1 i art. 175c ust. 1, jakie
przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia
bezpieczeństwa lub integralności sieci lub usług, biorąc pod uwagę wytyczne Komisji
Europejskiej oraz Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji
w tym zakresie.

Art. 175e. 1. Prezes UKE publikuje na stronie internetowej UKE aktualne
informacje o:
1) potencjalnych zagrożeniach związanych z korzystaniem przez abonentów
z usług telekomunikacyjnych;
2) rekomendowanych środkach ostrożności i najbardziej popularnych sposobach
zabezpieczania telekomunikacyjnych urządzeń końcowych przed
oprogramowaniem złośliwym lub szpiegującym;
3) przykładowych konsekwencjach braku lub nieodpowiedniego zabezpieczenia
telekomunikacyjnych urządzeń końcowych.
2. Informacje, o których mowa w ust. 1, publikowane są przez przedsiębiorców
telekomunikacyjnych na ich stronach internetowych.
3. Obowiązek, o którym mowa w ust. 2, może zostać zrealizowany przez
umieszczenie na stronie internetowej odnośnika do miejsca na stronie internetowej
UKE lub innego podmiotu zajmującego się bezpieczeństwem sieci, w którym
zamieszczone są informacje wymagane zgodnie z ust. 1.

Prawo telekomunikacyjne art. 175