ANALIZĂ MORGAN LEWIS Securitate cibernetică europeană pentru 5G: Statele membre au abordări foarte diferite

Analiză MORGAN LEWIS - Securitate cibernetică europeană pentru 5G: Statele membre au abordări foarte diferite.

Odată cu iminenta lansare a noilor reţele mobile 5G, Uniunea Europeană (UE) şi statele membre încearcă să încadreze şi să protejeze în mod adecvat punerea în aplicare a acestei noi tehnologii-cheie. În plus, alte ţări încearcă, de asemenea, să influenţeze statele membre ale UE în abordarea securităţii cibernetice, ceea ce pare să fi determinat unele state membre să acţioneze împotriva poziţiilor aprobate în comun la nivelul UE şi chiar să încalce principiile fundamentale ale dreptului UE.

O ilustrare este abordarea din România. Proiectul de lege privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G transpune aparent un memorandum semnat între România şi Statele Unite, în conformitate cu care România pare să fi cedat solicitării venite din partea Statelor Unite să menţină anumiţi furnizori chinezi în afara pieţei telecomunicaţiilor 5G din UE.

PROIECT DE LEGE PRIVIND REŢELELE 5G ÎN ROMÂNIA

Propunerea intenţionează să creeze o cerinţă de autorizare prealabilă pentru producătorii de echipamente de telecomunicaţii care fac parte din "infrastructuri de interese naţionale, precum şi reţele 5G." [1] Proiectul presupune ca aprobarea să se acorde numai producătorilor care (1) nu sunt controlaţi de un guvern străin în absenţa unui sistemul juridic independent, (2) au o structură transparentă de acţionariat, (3) nu au un istoric de conduită corporativă neetică şi (4) sunt supuşi unui sistem juridic care necesită practici corporative transparente.

Obiectivul mecanismului de aprobare este de a elimina ceea ce este larg identificat în propunere drept "riscuri pentru securitatea naţională şi/sau apărarea naţională." Riscul real pe care proiectul de lege încearcă să îl prevină nu este definit în continuare şi nu sunt stabilite criteriile de evaluare, iar detaliile privind cererea de autorizare sunt vagi. Primul ministru român va decide mai departe în baza unui aviz al Consiliului Suprem de Apărare Naţională (CSAT) "bazat pe evaluări din perspectivă de riscuri, ameninţări şi vulnerabilităţi pentru securitatea naţională şi / sau apărarea naţională". Ca un corolar, operatorilor de reţea nu li se va permite să utilizeze tehnologie, software sau echipamente de la producători care nu sunt autorizaţi în conformitate cu legea şi tehnologia, software-ul sau echipamentele utilizate în prezent de la astfel de producători pot fi utilizate numai pentru alţi cinci ani.

PROTEJAREA SECURITĂŢII NAŢIONALE ÎN conformitate cu regulile tratatului UE

Deşi protecţia securităţii naţionale rămâne o prerogativă a statelor membre ale UE, statele membre sunt în continuare obligate să respecte principiile fundamentale ale transparenţei, securitatea juridică a Tratatului UE şi proporţionalitatea. Aceste principii necesită ca riscurile pentru securitatea naţională să fie identificate cu precizie de către un stat membru; că măsurile luate pentru protejarea acestor riscuri se bazează pe criterii clare, transparente şi obiective; şi că toate măsurile luate sunt proporţionale cu obiectivul pe care intenţionează să-l atingă.

Excepţia de securitate publică disponibilă în temeiul Tratatului UE este de obicei interpretată în mod restrâns. Este disponibilă numai acolo unde există o ameninţare autentică şi suficient de gravă care afectează unul dintre interesele fundamentale ale societăţii.

În acest caz, riscurile pentru reţea nu sunt definite, criteriile pentru evaluarea unei cereri de autorizare sunt vagi, iar cererea de autorizare necesită o declaraţie a solicitanţilor, care se referă exclusiv la considerente politice şi nu se bazează pe niciun criteriu tehnic. Acest lucru face ca procesul de luare a deciziilor să fie destul de opac, ceea ce complică înţelegerea producătorilor, precum şi posibilitatea acestora de a face apel la o decizie. În plus, domeniul de aplicare al legii este larg: autorizarea procedurii se aplică nu numai întregii reţele 5G, ci şi reţelelor 3G şi 4G, toate fiind definite ca infrastructuri "de interes naţional".

În consecinţă, proiectul de lege românesc se abate de la principiile transparenţei, securităţii juridice, nediscriminării şi proporţionalităţii, care sunt principii fundamentale ale Tratatului UE şi aplicabile legislaţiei în domeniul telecomunicaţiilor.

MODELUL DE ABORDARE AL UE

La nivelul UE, statele membre şi Comisia Europeană au convenit asupra unui set de instrumente şi măsuri commune la nivelul UE în ianuarie 2020 (EU Toolbox). Acesta stabileşte o abordare comună bazată pe "o evaluare obiectivă de riscuri identificate şi măsuri proporţionale de atenuare" pentru a aborda riscurile de securitate legate de implementarea 5G. Măsurile trebuie luate pe baza unui mix echilibrat de criterii tehnice şi non-tehnice, obligaţii referitoare la furnizori multipli şi măsuri care evită dependenţele. Dacă măsurile merg până la excluderea anumitor furnizori datorită profilului de risc realizat pe această bază, acest lucru ar trebui, în general, să fie limitat la

Părţile critice şi sensibile ale reţelei 5G.

În acest context, alte state membre au ales astfel mijloace mai puţin restrictive pentru a proteja securitatea din reţelele lor 5G în interesul securităţii naţionale. Guvernul german, de exemplu, a adoptat o abordare în conformitate cu principiile UE şi cu UE Toolbox. Acesta a adoptat recent un catalog de cerinţe de securitate pentru operarea telecomunicaţiilor şi sisteme de prelucrare a datelor şi pentru prelucrarea datelor cu caracter personal. [2] Acest catalog impune diverse sarcini asupra operatorilor de reţele, inclusiv instituirea de măsuri pentru garantarea integrităţii reţelei şi sisteme informatice, respectarea principiului neutralităţii tehnologice, adoptarea de măsuri pentru protecţia datelor cu caracter personal şi utilizarea componentelor critice certificate. Operatorii sunt, de asemenea, obligaţi să certifice faptul că furnizorii lor respectă şi aceste cerinţe. Catalogul de cerinţe descrie precauţii tehnice şi alte măsuri pentru a garanta un nivel ridicat al standardelor de securitate şi protecţie a datelor, pentru a garanta confidenţialitatea telecomunicaţiilor şi a asigura o disponibilitate suficient de ridicată a reţelelor publice de telecomunicaţii. Sunt definite cerinţe suplimentare de securitate şi protecţie, măsurile fiind specifice componentelor reţelei cu potenţial crescut de risc. Lista componentelor de reţea cu potenţial crescut de risc, care este anexată la catalog, este de asemenea furnizată.

[3] O componentă esenţială a propunerii germane este "certificarea securităţii tehnice" printr-un organism recunoscut. În acest scop, Oficiul Federal pentru Securitatea Informaţiilor va emite un ghid tehnic suplimentar cu titlul "Certificarea componentelor de telecomunicaţii". Aceasta este în conformitate cu poziţia Comisiei Europene de a promova criterii tehnice comune şi certificarea comună, precum şi neutralitatea tehnologică în toată Europa. Nu în ultimul rând, propunerea germană prevede, de asemenea, declaraţii pe proprie răspundere de fiabilitate şi încredere de la operatori. Drept urmare, un sistem precum cel din propunerea germană asigură că reţelele 5G nu sunt supuse interferenţelor nejustificate ale entităţilor străine, menţinând în acelaşi timp un acces obiectiv, corect şi nediscriminatoriu la reţelele 5G. O abordare echilibrată similară a fost urmată de alte câteva ţări, în timp ce alte ţări sunt încă în proces de analiză.

Comentariu

În conformitate cu principiile fundamentale ale dreptului UE, Comisia Europeană şi statele membre au aprobat o abordare bazată deplin pe riscuri, iar statele membre trebuie să acţioneze "respectând pe deplin deschiderea Pieţei interne a UE". [4] Proiectul de lege din România aşa cum este astăzi se abate de la principiile generale ale dreptului UE ca abordare comună convenită la nivelul UE. Cu toate acestea, numai o reglementare obiectivă, transparentă, corectă şi, în special, proporţională a reţelelor 5G poate duce la protejarea securităţii naţionale împotriva riscurilor identificate în mod clar la nivelul statelor membre, în conformitate cu legislaţia UE.

Măsurile statelor membre trebuie să abordeze problemele de securitate identificate în mod adecvat şi să fie în conformitate cu obiectivul pe care încearcă să-l atingă. În acest caz, sunt disponibile modalităţi mai puţin restrictive decât proiectul de lege din România, pentru atenuarea riscurilor de securitate. Acestea includ, de exemplu, stabilirea unor standarde şi verificări generale de securitate mai înalte, în mod ideal, prin intermediul standardelor comune la nivelul UE, consolidarea cerinţelor de interoperabilitate, angajamentele flexibile din partea operatorilor de reţele în cee ace priveşte furnizorii multipli, localizarea capacităţilor de producţie, cerinţe în ceea ce priveşte stocarea locală, în special pentru date sensibile şi cerinţe pentru a respecta standardele de siguranţă ale produsului aplicabile local, precum şi controlul accesului şi gestionarea permisiunilor pentru diferite straturi de reţea.

Noile tehnologii necesită o reglementare prudentă şi flexibilă, ţinând pasul cu tehnologiile în constantă evoluţie, fără a o împiedica. Având în vedere beneficiile extraordinare pentru companii şi consumatori, autorităţile de reglementare trebuie să calibreze cu atenţie orice reguli care vizează securitatea reţelelor 5G pentru a continua să promoveze excelenţa tehnologică şi să atragă investiţii importante din punct de vedere strategic. Va fi critic pentru Comisia Europeană să asigure o abordare armonizată a securităţii cibernetice în întreaga UE şi să garanteze că prevalează bunele practici: o abordare europeană independentă a securităţii 5G, care este atât eficientă, cât şi proporţională cu riscurile specifice.

(C)