Операторите на јавни електронски комуникациски мрежи треба да ги преземаат сите соодветни чекори за да го обезбедат интегритетот на нивните мрежи и истовремено, континуитетот на услугите кои ги обезбедуваат со тие мрежи.
Имајќи го предвид техничкиот напредок, овие мерки треба да обезбедат ниво на безбедност кое е соодветно на настанатиот ризик. Овие мерки особено треба да се преземаат за да се спречи и минимизира влијанието на безбедносните инциденти врз корисниците и меѓусебно поврзаните мрежи.
Согласно одредбите од Законот за електронски комуникации (член 166, член 167) операторите на јавни електронски комуникациски мрежи се должни да преземаат соодветни технички и организациони мерки со цел соодветно да управуваат со ризиците за безбедноста на мрежите и услугите.
Агенцијата може од операторите да бара:
- Да и достават потребни информации за процена на безбедноста и/или интегритетот на нивните услуги и мрежи, вклучително и усвоените политики за безбедност
- Да обезбедат безбедносна ревизија која ја врши квалификувано независно тело или надлежен државен орган и резултатите од истата да ги направат достапни за Агенцијата. Трошоците за ревизијата ги плаќа операторот.
Заради спроведување на одредбите од ЗЕК операторите на јавни електронски комуникациски мрежи или јавни електронски комуникациски услуги треба да усвојат и имплементираат политика за безбедност со која ќе се утврди ранливоста на системот, надзорот и спроведување превентивни и корективни мерки, како и мерки за ублажување на инциденти по безбедноста и интегритетот на мрежите.
Политиката за безбедност која што треба да ја усвојат операторите, треба да ги опфаќа минимум следните подрачја:
- Менаџирање со генералните безбедносни ризици,
- Заштита на крајните корисници,
- Одржување на достапноста на мрежата,
- Безбедност и интегритет на личните податоци
Операторите се должни веднаш, но не подоцна од 24 часа од моментот на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежите или услугите, по електронски пат на електронската пошта incident@aec.mk на Агенцијата да и достават известување за истото.
Операторите треба да ја известат Агенцијата за електронски комуникации за нарушување на безбедноста или губење на интегритетот на мрежите и услугите согласно следните прагови:
- Нарушувањето трае повеќе од 1 час, а процентот за засегнати корисници е повеќе од 15% од вкупниот број на корисници на операторот;
- Нарушувањето трае повеќе од 2 часа, а процентот за засегнати корисници е повеќе од 10% од вкупниот број на корисници на операторот;
- Нарушувањето трае повеќе од 4 часа, а процентот за засегнати корисници е повеќе од 5% од вкупниот број на корисници на операторот;
- Нарушувањето трае повеќе од 6 часа, а процентот за засегнати корисници е повеќе од 2% од вкупниот број на корисници на операторот;
- Нарушувањето трае повеќе од 8 часа, а процентот за засегнати корисници е повеќе од 1% од вкупниот број на корисници на операторот;
Праговите се однесуваат за следниве услуги посебно:
- Фиксна телефонија
- Мобилна телефонија
- Фиксен интернет
- Мобилен интернет
При известувањата за настанати нарушувања на безбедноста или губење на интегритетот на мрежите и услугите на операторите треба да се користи образецот дефиниран во Прилог 1.
Во случај на нарушување на безбедноста на личните податоци, операторот на јавни електронски комуникациски услуги, е должен веднаш, но не подоцна од 24 часа од моментот на утврдување на нарушувањето на безбедноста на личните податоци, да достави до Агенцијата за електронски комуникации (incident@aec.mk) и Дирекцијата за заштита на личните податоци (incident@privacy.mk) известување за нарушување на безбедноста на личните податоци. Известувањето треба да ги содржи информациите дефинирани во Прилог 2.
Ако нарушувањето на безбедноста на личните податоци може негативно да влијае на личните податоци или приватноста на претплатникот или на друго физичко лице, операторот на јавни електронски комуникациски услуги е должен, исто така, да го извести односниот претплатник или физичкото лице. Известувањето треба да ги содржи информациите дефинирани во Прилог 3
Доколку операторот има директни договорни односи со крајните корисници, а не може успешно да ги идентификува сите физички лица кои имаат негативни ефекти од нарушувањето на безбедноста на личните податоци, тогаш операторот треба да ги извести лицата преку национален или регионален медиум не подоцна од 24 часа од моментот на утврдување на нарушувањето на безбедноста на личните податоци. Известувањето треба да ги содржи информациите дефинирани во Прилог 3.
Операторите на јавни електронски комуникациски услуги се должни да водат регистар на нарушувањата на безбедноста на личните податоци кој ги содржи фактите и причините за нарушување на безбедноста на личните податоци, последиците предизвикани од таквото нарушување, како и преземените мерки за безбедност на личните податоци што и овозможува на Агенцијата и Дирекцијата за заштита на личните податоци да ја проверат усогласеноста на операторот со одредбите од ЗЕК и Правилникот за обезбедување на безбедност и интегритет на јавните електронски комуникациски мрежи и услуги и активностите кои што операторите треба да ги преземат при нарушување на безбедноста на личните податоци.
ДОКУМЕНТИ – БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА МРЕЖИ И УСЛУГИ
- Правилник за изменување и дополнување на Правилникот за безбедност и интегритет на јавните електронски комуникациски мрежи и услуги и активности кои што операторите треба да ги преземат при нарушување на безбедноста на личните податоци
- ПРАШАЛНИК ЗА БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЈАВНИТЕ ЕЛЕКТРОНСКИ КОМУНИКАЦИСКИ МРЕЖИ И УСЛУГИ И ЗАШТИТА НА ЛИЧНИТЕ ПОДАТОЦИ
- Прилог 3 – Содржина на известувањето за нарушување на безбедноста на личните податоци што операторот го доставува до претплатникот или физичкото лице
- Прилог 2 – Содржина на известувањето за нарушување на безбедноста на личните податоци што операторот го доставува до АЕК и ДЗЛП
- Прилог 1 – Образец за известување на безбедносни инциденти
- ПРАВИЛНИК ЗА ОБЕЗБЕДУВАЊЕ НА БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЈАВНИТЕ ЕЛЕКТРОНСКИ КОМУНИКАЦИСKИ МРЕЖИ И УСЛУГИ И АКТИВНОСТИ КОИ ШТО ОПЕРАТОРИТЕ ТРЕБА ДА ГИ ПРЕЗЕМАТ ПРИ НАРУШУВАЊЕ НА БЕЗБЕДНОСТА НА ЛИЧНИТЕ ПОДАТОЦИ