Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – jakie nowe obowiązki dla instytucji publicznych?

Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. z 2023 r.. poz. 1703), zwaną dalej Uzdke ma na celu walczyć z różnymi wyłudzeniami, m. in: phishingiem, dystrybucją smishingu, spoofingiem e-mail, CLI spoofingiem.

Cytowana na wstępie  Uzdke w art. 24 ust. 1, wymusza na dostawcach poczty elektronicznej dla co najmniej 500 000 użytkowników lub dla podmiotu publicznego korzystanie z mechanizmów: SPF (ang. Sender Policy Framework), DMARC (ang. Domain-based Message Authentication, Reporting & Conformance), DKIM (ang. DomainKeys Identified Mail). Ust. 6 tego artykułu stanowi, że dostawca poczty elektronicznej dla podmiotu publicznego oferuje pocztę elektroniczną umożliwiającą stosowanie metod uwierzytelniania wieloskładnikowego. Takie uwierzytelnianie to metoda, w której użytkownik, aby dostać się do strzeżonych zasobów jak np. konta online, sieci VPN, bądź aplikacji mobilnej, musi zweryfikować się na co najmniej dwa różne sposoby.

Art. 24 ust. 2 Uzdke stanowi, że Podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej mechanizmy, o których mowa w ust. 1. Oznacza to, że jeżeli dostawca poczty elektronicznej nie spełnia standardów, o których mowa w ust. 1 i 6, to podmiotowi publicznemu nie będzie wolno korzystać z takiego dostawcy poczty elektronicznej.

Nie może umknąć uwagi, że Uzdke w tym zakresie weszła  w życie z dniem 25 września 2023 r., jednakże mocą art. 40. 1 Uzdke dostawca poczty elektronicznej, który świadczy pocztę elektroniczną na podstawie umowy, której stroną jest podmiot publiczny, obowiązującej w dniu wejścia w życie ustawy, jest obowiązany w terminie 3 miesięcy od dnia wejścia w życie Uzdke do spełnienia obowiązku, o którym mowa w art. 24 ust. 1. Oznacza to, że termin ważny dla instytucji publicznych mija 25 grudnia 2023 r.

 Jeżeli dostawca poczty elektronicznej nie spełni wymagań w ww. terminie, umowa, o której mowa w ust. 1, może zostać jednostronnie rozwiązana przez podmiot publiczny, a dostawcy poczty elektronicznej nie przysługują roszczenia z tego tytułu. Świadczy to o tym, że ustawodawca zabezpieczył podmioty publiczne i nie tylko oraz dał możliwość rozwiązania umowy bez zachowania terminu wypowiedzenia i zapewnił, że nie przysługują dostawcy z tego powodu roszczenia, jeżeli nie zapewni on bezpiecznej poczty elektronicznej.

Mocą art. 41 Uzdke w terminie 6 miesięcy od dnia wejścia w życie ustawy dostawca poczty elektronicznej, który zawarł umowę z podmiotem publicznym o świadczenie poczty elektronicznej, przedstawi ofertę poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego, chyba że świadczona przez tego dostawcę poczta elektroniczna już umożliwia stosowanie tych metod.

Kontrolę w tym zakresie będzie sprawował CSIRT NASK (Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie) oraz UKE (Urząd Komunikacji Elektronicznej).

Co to oznacza dla instytucji publicznych. Jesteśmy zobowiązani monitorować czy nasz dostawca poczty elektronicznej spełnia wymogi z art. 24 ust. 1 i 6 Uzdke. Jeżeli w ustawowym terminie nie dostosuje się to nie możemy z usług dostawcy korzystać, gdyż dopuszczamy się, tzw. nadużycia w komunikacji elektronicznej. W prawdze więcej kar może nałożyć UKE na dostawcę, jednakże zgodnie z art. 27 ust. 8 Uzdke jeżeli przemawia za tym zakres lub charakter naruszenia, Prezes UKE może, w drodze decyzji, nałożyć karę pieniężną na kierownika podmiotu publicznego, który korzysta z usług wysyłania krótkich wiadomości tekstowych (SMS) integratora usług SMS niewpisanego w wykazie, o którym mowa w art. 14 ust. 1 Uzdke. Kara pieniężna wówczas jest (ustawodawca użył sformułowania „jest” nie „może”) nakładana w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego przez Prezesa Głównego Urzędu Statystycznego, w ostatnim komunikacie, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych.

Czy nasz dostawca spełnia wymogi, które są przedmiotem naszych rozważań? Możemy to w prosty sposób sprawdzić za pomocą linku dedykowanego na stronie CSIRT NASK: https://bezpiecznapoczta.cert.pl/. Jest to narzędzie, aby chronić użytkowników poczty elektronicznej i ułatwić instytucjom sprawdzenie poprawności konfiguracji mechanizmów zapewniających jej bezpieczeństwo. Należy kliknąć zielony kafelek „Wyślij e-mail”. Aby zweryfikować konfigurację poczty, musimy wysłać dowolną wiadomość e-mail na podany tam adres. Jest to prosta obsługa. Następnie ukażą się nam wyniki testów mechanizmów zabezpieczeń naszej poczty email: SPF, DMARC i DKIM. Jest to dla nas także przydatna „ściągawka”, aby wiedzieć o czym rozmawiać z naszym dostawcą poczty elektronicznej.

Autor: dr Agnieszka Gazda

Stan prawny na dzień: 13 listopada 2023 r.