O ilustrare recentă este o propunere legislativă aflată în prezent în consultare în România. Proiectul de lege „privind adoptarea măsurilor referitoare la infrastructurile de informare și comunicații de interes național și condițiile de implementare a rețelelor 5G” transpune aparent un Memorandum de Înțelegere între România și SUA, conform căruia România a cedat solicitărilor din partea SUA de a ține anumiți furnizori chinezi departe de piața de telecomunicații 5G a UE.
Proiectul de lege privind reglementarea rețelelor 5G din România
Propunerea intenționează să creeze o cerință de autorizare prealabilă a furnizorilor de „infrastructuri de interes național, precum și pentru rețelele 5G”[1], pentru producătorii de echipamente de telecomunicații. Aprobarea ar fi acordată numai producătorilor (1) care nu sunt controlați de un guvern străin, în absența unui sistem legal independent (2) care au o structură transparentă de acționariat (3) care nu au un istoric de conduită corporativă nonetică și (4) care fac obiectul unui sistem juridic care necesită practici corporative transparente. Obiectivul mecanismului de aprobare este de a elimina ceea ce este identificat pe larg în propunere drept „riscuri pentru securitatea națională și / sau apărarea națională”. Riscul real pe care proiectul de lege încearcă să îl prevină nu este definit în continuare și criteriile de evaluare a cererii de autorizare sunt păstrate vag în acest moment. Primul ministru va decide în urma unui aviz al Consiliului Suprem de Apărare Națională (CSAT) „pe baza evaluărilor din perspectiva riscurilor, amenințărilor și a vulnerabilităților la adresa securității naționale și / sau a apărării naționale”. În calitate de corolar, operatorilor de rețele nu li se va permite să utilizeze tehnologie, software sau echipamente de la producători care nu sunt autorizați în conformitate cu legislația, iar tehnologia, software-ul sau echipamentele utilizate în prezent de la astfel de producători pot fi utilizate doar pentru alți 5 ani.
Protejarea securității naționale în temeiul normelor Tratatului UE
Deși protecția securității naționale rămâne o prerogativă a statelor membre ale UE, statele membre sunt în continuare obligate să respecte și să susțină principiile fundamentale ale Tratatului UE privind transparența, securitatea juridică și proporționalitatea. Aceste principii impun ca riscurile pentru securitatea națională să fie identificate cu precizie de către un stat membru, ca măsurile luate pentru a se proteja aceste riscuri să se bazeze pe criterii clare, transparente și obiective și ca orice măsuri luate să fie proporționale cu obiectivul pe care intenționează să îl atingă.
Excepția de siguranță publică disponibilă în temeiul Tratatului UE este, de obicei, interpretată în mod restrâns. Ea este disponibilă numai în cazul în care există o amenințare reală și suficient de gravă care afectează unul dintre interesele fundamentale ale societăți.
În acest caz, riscurile pentru rețea nu sunt definite, criteriile de evaluare a unei cereri de autorizare sunt vagi, iar cererea de autorizare necesită o declarație din partea solicitanților, care se referă exclusiv la considerente politice și care nu se bazează pe niciun criteriu tehnic. Acest lucru face ca procesul decizional să fie mai degrabă opac, complicând înțelegerea producătorului, precum și posibilitatea acestora de a contesta o decizie. În plus, domeniul de aplicare al legii este larg; procedura de autorizare se aplică nu numai întregii rețele 5G, ci și rețelelor 3G și 4G, toate fiind definite ca infrastructuri „de interes național”.
Abordarea modelului UE
La nivelul UE, statele membre și Comisia Europeană au convenit asupra unui set comun de măsuri în ianuarie 2020. Setul de instrumente al UE stabilește o abordare comună bazată pe „o evaluare obiectivă a riscurilor identificate și măsuri de atenuare proporționale” pentru a aborda riscurile de securitate legate de implementarea sistemului 5G. Măsurile trebuie luate pe baza unei game echilibrate de criterii tehnice și netehnice, a obligațiilor furnizorilor multipli și a măsurilor de evitare a dependențelor. În cazul în care măsurile merg până la excluderea anumitor furnizori din cauza profilului lor de risc, aceasta ar trebui, în general, să se limiteze la părțile cele mai critice și sensibile ale rețelei 5G.
În acest context, alte state membre au ales astfel mijloace mai puțin restrictive pentru a proteja securitatea rețelelor lor 5G în interesul securității naționale.
Guvernul german, de exemplu, a adoptat o abordare în conformitate cu principiile UE și cu setul de instrumente al UE.[i] Acesta a adoptat recent un „Catalog al cerințelor de securitate pentru funcționarea sistemelor de telecomunicații și prelucrare a datelor și pentru prelucrarea datelor cu caracter personal”[ii]. Acest catalog impune operatorilor de rețea diverse obligații, inclusiv instituirea de măsuri pentru garantarea integrității rețelelor și a sistemelor informatice, respectarea principiului neutralității rețelei, adoptarea de măsuri pentru protecția datelor cu caracter personal și utilizarea componentelor critice certificate. Operatorii trebuie, de asemenea, să certifice faptul că furnizorii lor respectă, de asemenea, aceste cerințe.
Catalogul cerințelor descrie măsurile tehnice de precauție și alte măsuri pentru a garanta un standard ridicat de securitate și de protecție a datelor, pentru a garanta confidențialitatea telecomunicațiilor și pentru a asigura o disponibilitate suficient de ridicată a rețelelor publice de telecomunicații și a serviciilor de telecomunicații accesibile publicului. Sunt definite cerințe de securitate suplimentare, iar măsurile de protecție suplimentare sunt specifice componentelor rețelei cu un potențial de risc crescut. Lista componentelor rețelei cu un potențial de risc crescut, care este anexată la catalog, este, în plus, supusă consultării publice. O componentă esențială a propunerii germane este „certificarea de securitate” tehnică prin intermediul unui organism recunoscut. În acest scop, Oficiul Federal pentru Securitatea Informațiilor va emite o nouă orientare tehnică cu titlul „Certificarea componentelor de telecomunicații”. Acest lucru este în conformitate cu poziția CE de a promova criterii tehnice comune și certificarea comună în întreaga Europă. Nu în ultimul rând, propunerea germană prevede, de asemenea, declarații pe proprie răspundere privind fiabilitatea din partea operatorilor.
Prin urmare, un sistem precum propunerile germane garantează că rețelele 5G nu sunt supuse interferențelor entităților străine, menținând în același timp un acces obiectiv, echitabil și nediscriminatoriu la rețelele sale 5G. O abordare echilibrată similară a fost urmată de alte câteva țări, ar fi Austria și Franța, în timp ce alte țări încă se gândesc la aceste probleme.
Comentarii
În conformitate cu principiile fundamentale ale dreptului UE, Comisia Europeană a aprobat o abordare bazată pe riscuri, iar statele membre trebuie să acționeze prin respectarea deplină a deschiderii pieței interne a UE.
Proiectul de lege elaborat de România, în forma sa actuală, se abate de la principiile generale ale dreptului UE, precum și de la abordarea comună convenită la nivelul UE. Numai o reglementare obiectivă, transparentă, echitabilă și, în special, proporțională a rețelelor 5G poate proteja securitatea națională împotriva riscurilor clar identificate la nivelul statelor membre, în conformitate cu legislația UE.
Măsurile statelor membre trebuie să abordeze problemele de securitate identificate în mod adecvat. Modalități mai puțin restrictive și mai eficiente de atenuare a riscurilor de securitate includ, de exemplu, stabilirea standardelor generale de securitate și verificarea, în mod ideal, prin standarde comune la nivelul UE, consolidarea cerințelor de interoperabilitate, angajamente referitoare la furnizori multipli din partea operatorilor de rețele, localizarea capacităților de producție, cerințe în ceea ce privește stocarea locală a datelor deosebit de sensibile, cerințele de a respecta standardele de siguranță ale produselor aplicabile local, precum și controlul accesului și gestionarea permisiunilor pentru diferite straturi de rețea.
Noile tehnologii necesită o reglementare prudentă și flexibilă, ținând pasul cu evoluția tehnologică constantă, fără a o împiedica. Având în vedere beneficiile potențiale uriașe pentru întreprinderi și consumatori, autoritățile de reglementare trebuie să calibreze cu atenție orice norme care vizează securitatea rețelelor 5G, astfel încât să continue să promoveze excelența tehnologică și să atragă investiții importante din punct de vedere strategic. Va fi esențial pentru CE să asigure o abordare armonizată a securității cibernetice în întreaga UE, atât eficace, cât și proporțională cu riscurile specifice.
[1] Cel mai recent draft publicat în 11 August 2020, https://www.bsi.bund.de/DE/Presse/Pressemittis eilungen/Presse2020/Sicherheitskatalog_5G_100820.html