Analiză MORGAN LEWIS – Securitate cibernetică europeană pentru 5G: Statele membre au abordări foarte diferite

Odată cu iminenta lansare a noilor rețele mobile 5G, Uniunea Europeană (UE) și statele sale membre încearcă să încadreze și să protejeze în mod adecvat punerea în aplicare a acestei noi tehnologii-cheie. În plus, țările străine încearcă, de asemenea, să influențeze statele membre ale UE în abordarea securității cibernetice, ceea ce pare să fi determinat unele state membre să acționeze împotriva pozițiilor aprobate în comun la nivelul UE și chiar să încalce principiile fundamentale ale dreptului UE.

O ilustrare recentă este propunerea legislativă aflată în prezent în consultare în România. Proiectul de lege privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național și condițiile implementării rețelelor 5G transpune aparent un memorandum semnat între România și Statele Unite, în conformitate cu care România pare să fi cedat solicitării venite din partea Statelor Unite să mențină anumiți furnizori chinezi în afara pieței telecomunicațiilor 5G din UE.

PROIECT DE LEGE PRIVIND REȚELELE 5G ÎN ROMÂNIA

Propunerea intenționează să creeze o cerință de autorizare prealabilă pentru producătorii de echipamente de telecomunicații care fac parte din „infrastructuri de interese naționale, precum și rețele 5G.” [1] Proiectul presupune ca aprobarea să se acorde numai producătorilor care (1) nu sunt controlați de un guvern străin în absența unui sistemul juridic independent, (2) au o structură transparentă de acționariat, (3) nu au un istoric de conduită corporativă neetică și (4) sunt supuși unui sistem juridic care necesită practici corporative transparente.

Obiectivul mecanismului de aprobare este de a elimina ceea ce este larg identificat în propunere drept „riscuri pentru securitatea națională și / sau apărarea națională.” Riscul real pe care proiectul de lege încearcă să îl prevină nu este definit în continuare și nu sunt stabilite criteriile de evaluare, iar detaliile privind

cererea de autorizare sunt vagi în acest moment. Primul ministru român va decide mai departe în baza unui aviz al Consiliului Suprem de Apărare Națională (CSAT) „bazat pe evaluări din perspectivă de riscuri, amenințări și vulnerabilități pentru securitatea națională și / sau apărarea națională”. Ca un corolar, operatorilor de rețea nu li se va permite să utilizeze tehnologie, software sau echipamente de la producători care nu sunt autorizați în conformitate cu legea și tehnologia, software-ul sau echipamentele utilizate în prezent de la astfel de producători pot fi utilizate numai pentru alți cinci ani.

PROTEJAREA SECURITĂȚII NAȚIONALE ÎN conformitate cu regulile tratatului UE

Deși protecția securității naționale rămâne o prerogativă a statelor membre ale UE, statele membre sunt în continuare obligate să respecte principiile fundamentale ale transparenței, securitatea juridică a Tratatului UE și proporționalitatea. Aceste principii necesită ca riscurile pentru securitatea națională să fie identificate cu precizie de către un stat membru; că măsurile luate pentru protejarea acestor riscuri se bazează pe criterii clare, transparente și obiective; și că toate măsurile luate sunt proporționale cu obiectivul pe care intenționează să-l atingă.

Excepția de securitate publică disponibilă în temeiul Tratatului UE este de obicei interpretată în mod restrâns. Este disponibilă numai acolo unde există o amenințare autentică și suficient de gravă care afectează unul dintre interesele fundamentale ale societății.

În acest caz, riscurile pentru rețea nu sunt definite, criteriile pentru evaluarea unei cereri de autorizare sunt vagi, iar cererea de autorizare necesită o declarație a solicitanților, care se referă exclusiv la considerente politice și nu se bazează pe niciun criteriu tehnic. Acest lucru face ca procesul de luare a deciziilor să fie destul de opac, ceea ce complică înțelegerea producătorilor, precum și posibilitatea acestora de a face apel la o decizie. În plus, domeniul de aplicare al legii este larg: autorizarea procedurii se aplică nu numai întregii rețele 5G, ci și rețelelor 3G și 4G, toate fiind definite ca infrastructuri „de interes național”.

În consecință, proiectul de lege românesc se abate de la principiile transparenței, securității juridice,

nediscriminării și proporționalității, care sunt principii fundamentale ale Tratatului UE și aplicabile

legislației în domeniul telecomunicațiilor.

MODELUL DE ABORDARE AL UE

La nivelul UE, statele membre și Comisia Europeană au convenit asupra unui set de instrumente și măsuri commune la nivelul UE în ianuarie 2020 (EU Toolbox). Acesta stabilește o abordare comună bazată pe „o evaluare obiectivă de riscuri identificate și măsuri proporționale de atenuare” pentru a aborda riscurile de securitate legate de implementarea 5G. Măsurile trebuie luate pe baza unui mix echilibrat de criterii tehnice și non-tehnice, obligații referitoare la furnizori multipli și măsuri care evită dependențele. Dacă măsurile merg până la excluderea anumitor furnizori datorită profilului de risc realizat pe această bază, acest lucru ar trebui, în general, să fie limitat la

Părțile critice și sensibile ale rețelei 5G. În acest context, alte state membre au ales astfel mijloace mai puțin restrictive pentru a proteja securitatea din rețelele lor 5G în interesul securității naționale.

Guvernul german, de exemplu, a adoptat o abordare în conformitate cu principiile UE și cu UE

Toolbox. Acesta a adoptat recent un catalog de cerințe de securitate pentru operarea telecomunicațiilor și sisteme de prelucrare a datelor și pentru prelucrarea datelor cu caracter personal. [2] Acest catalog impune diverse sarcini asupra operatorilor de rețele, inclusiv instituirea de măsuri pentru garantarea integrității rețelei și sisteme informatice, respectarea principiului neutralității tehnologice, adoptarea de măsuri pentru protecția datelor cu caracter personal și utilizarea componentelor critice certificate. Operatorii sunt, de asemenea, obligați să certifice faptul că furnizorii lor respectă și aceste cerințe. Catalogul de cerințe descrie precauții tehnice și alte măsuri pentru a garanta un nivel ridicat al standardelor de securitate și protecție a datelor, pentru a garanta confidențialitatea telecomunicațiilor și a asigura o disponibilitate suficient de ridicată a rețelelor publice de telecomunicații. Sunt definite cerințe suplimentare de securitate și protecție, măsurile fiind specifice componentelor rețelei cu potențial crescut de risc. Lista componentelor de rețea cu potențial crescut de risc, care este anexată la catalog, este de asemenea furnizată.

[3] O componentă esențială a propunerii germane este „ certificarea securității tehnice

”printr-un organism recunoscut. În acest scop, Oficiul Federal pentru Securitatea Informațiilor va emite un ghid tehnic suplimentar cu titlul „Certificarea componentelor de telecomunicații”. Aceasta este în conformitate cu poziția Comisiei Europene de a promova criterii tehnice comune și certificarea comună, precum și neutralitatea tehnologică în toată Europa.

Nu în ultimul rând, propunerea germană prevede, de asemenea, declarații pe proprie răspundere de fiabilitate și încredere de la operatori. Drept urmare, un sistem precum cel din propunerea germană asigură că rețelele 5G nu sunt supuse interferențelor nejustificate ale entităților străine, menținând în același timp un acces obiectiv, corect și nediscriminatoriu la rețelele 5G. O abordare echilibrată similară a fost urmată de alte câteva țări, în timp ce alte țări sunt încă în proces de analiză.

COMENTARIU

În conformitate cu principiile fundamentale ale dreptului UE, Comisia Europeană și statele membre au aprobat o abordare bazată deplin pe riscuri, iar statele membre trebuie să acționeze „respectând pe deplin deschiderea Pieței interne a UE”. [4] Proiectul de lege din România așa cum este astăzi se abate de la principiile generale ale dreptului UE ca abordare comună convenită la nivelul UE. Cu toate acestea, numai o reglementare obiectivă, transparentă, corectă și, în special, proporțională a rețelelor 5G poate duce la protejarea securității naționale împotriva riscurilor identificate în mod clar la nivelul statelor membre, în conformitate cu legislația UE.

Măsurile statelor membre trebuie să abordeze problemele de securitate identificate în mod adecvat și să fie în conformitate cu obiectivul pe care încearcă să-l atingă. În acest caz, sunt disponibile modalități mai puțin restrictive decât proiectul de lege din România, pentru atenuarea riscurilor de securitate. Acestea includ, de exemplu, stabilirea unor standarde și verificări generale de securitate mai înalte, în mod ideal, prin intermediul standardelor comune la nivelul UE, consolidarea cerințelor de interoperabilitate, angajamentele flexibile din partea operatorilor de rețele în cee ace privește furnizorii multipli, localizarea capacităților de producție, cerințe în ceea ce privește stocarea locală, în special pentru date sensibile și cerințe pentru a respecta standardele de siguranță ale produsului aplicabile local, precum și controlul accesului și gestionarea permisiunilor pentru diferite straturi de rețea.

Noile tehnologii necesită o reglementare prudentă și flexibilă, ținând pasul cu tehnologiile în constantă evoluție, fără a o împiedica. Având în vedere beneficiile extraordinare pentru companii și consumatori, autoritățile de reglementare trebuie să calibreze cu atenție orice reguli care vizează securitatea rețelelor 5G pentru a continua să promoveze excelența tehnologică și să atragă investiții importante din punct de vedere strategic. Va fi critic pentru Comisia Europeană să asigure o abordare armonizată a securității cibernetice în întreaga UE și să garanteze că prevalează bunele practici: o abordare europeană independentă a securității 5G, care este atât

Eficientă, cât și proporțională cu riscurile specifice.

AUTORI

Andrew D. Lipman, Christina Renner, Cécile Manong

“Articol sustinut de Huawei”

[1] Articolul 4 al propunerii.

[2] Cel mai recent proiect publicat la 11 august 2020.

[3] Lista funcțiilor critice pentru rețelele și serviciile publice de telecomunicații cu un risc crescut

potențial (supliment la anexa 2 la catalogul cerințelor de securitate), publicat în comun de către

Oficiul Federal pentru Securitatea Informațiilor și Agenția Federală a Rețelelor.

[4] Comisia Europeană, rețele sigure 5G, întrebări și răspunsuri în EU Toolbox