दूरसंचार विभाग द्वारा गुरुवार को अधिसूचित और प्रभावी किए गए दूरसंचार साइबर सुरक्षा नियम, 2024 के मुताबिक सभी दूरसंचार संस्थाओं को किसी भी साइबर सुरक्षा घटना की जानकारी मिलने के छह घंटे के भीतर केंद्र सरकार को रिपोर्ट करना होगा। अफेक्टेड इनटाइटिटी को छह घंटे के भीतर अफेक्टेड सिस्टम के बारे में डिटेल और घटना का डिस्क्रिप्शन देना होगा, जैसा कि 2022 CERT-In दिशानिर्देशों के अनुसार जरूरी है।
इन नियमों को 29 अगस्त को पब्लिक कंसल्टेशन के लिए जारी किया गया था। ये नियम दूरसंचार संस्थाओं को साइबर घटनाओं को रोकने और उनका जवाब देने के उपायों को लागू करने के लिए जरूरी बनाते हैं। ये प्रीवेंशन ऑफ टैम्परिंग ऑफ द मोबाइल डिवाइस इक्विपमेंट आइडेंटिफिकेशन नंबर रूल 2017 की जगह लेंगे और इन्हें दूरसंचार अधिनियम, 2024 की धारा 22 और 56 (2) (v) के तहत जारी किया गया है।
सरकार ने मोबाइल फोन के सेलर्स को बिक्री से पहले भारत में बनाए गए या यहां इंपोर्ट किए गए इंटरनेशनल मोबाइल इक्विपमेंट आइडेंटिटी (IMEI) नंबर को अनिवार्य रूप से रजिस्टर करने का निर्देश दिया है। जारी अधिसूचना में कहा गया है कि केंद्र या केंद्र द्वारा अधिकृत कोई भी एजेंसी, ‘टेलीकॉम साइबर सिक्योरिटी सुनिश्चित करने के उद्देश्य से, केंद्र द्वारा बताए गए तरीके से, मैसेज के कंटेंट के अलावा, किसी टेलीकॉम यूनिट से ट्रैफिक डेटा और कोई अन्य डेटा मांग सकती है।’
अधिसूचित नियमों में सभी दूरसंचार संस्थाओं को देश में एक भारतीय मुख्य दूरसंचार सुरक्षा अधिकारी नियुक्त करने, दूरसंचार साइबर सुरक्षा नीति अपनाने और समय-समय पर दूरसंचार साइबर सुरक्षा ऑडिट करने का अधिकार दिया गया है। इन नियमों के लिए भी नियमों के डिजिटल इम्पलिमेंटेशन के लिए एक पोर्टल बनाने की जरूरत है। नए नियमों के तहत सुरक्षा घटना को ऐसी घटना के रूप में परिभाषित किया गया है, जिससे ‘टेलीकॉम साइबर सिक्योरिटी पर वास्तविक या संभावित खतरा हो’।
ड्राफ्टेड नियमों से हटकर, अधिसूचित नियमों में घटना के बारे में पता चलने के बाद 24 घंटे की समयसीमा तय की गई है। इसके भीतर टेलीकॉम यूनिट को घटना के बारे में अतिरिक्त जानकारियां देनी होगी। इन जानकारियों में प्रभावित यूजर्स की संख्या, घटना की अवधि, घटना से प्रभावित भौगोलिक क्षेत्र, नेटवर्क और सेवा किस हद तक प्रभावित हुई है, और यूनिट द्वारा प्रस्तावित उपचारात्मक उपाय शामिल हैं। ड्राफ्ट किए गए नियमों के विपरीत, संस्थाओं को ‘आर्थिक और सामाजिक गतिविधियों पर प्रभाव की सीमा’ बताने की जरूरी नहीं है।