Ministerstwo Cyfryzacji w czwartkowym komunikacie wyraża zadowolenie z wydanej 26 marca br. przez Komisję Europejską rekomendacji dotyczącej cyberbezpieczeństwa sieci 5G.
— Przyjęliśmy Rekomendację z zadowoleniem oraz jednocześnie z satysfakcją, bo znalazły się tam przekazywane przez nas postulaty dotyczące certyfikacji, kontroli cyklu życia, wymiany informacji i doświadczeń między krajami i zamierzamy się do niej zastosować. Wielokrotnie powtarzaliśmy, że kwestia bezpieczeństwa sieci 5G powinna być rozstrzygnięta na poziomie Unii Europejskiej. Dlatego cieszymy się, że Komisja przejęła rolę koordynatora w tym procesie – podkreśla Karol Okoński, wiceminister cyfryzacji i Pełnomocnik Rządu ds. Cyberbezpieczeństwa, cytowany w komunikacie.
Polska - podobnie jak wszystkie państwa członkowskie - do 30 czerwca br. musi zakończyć przegląd wymagań bezpieczeństwa i systemu zarządzania ryzykiem związanym z 5G. Kompletne analizy należy przesłać Komisji najpóźniej do 15 lipca br. Następnie na podstawie informacji uzyskanych od wszystkich państw członkowskich oraz po własnych analizach, Komisja wraz z ENISA przygotują do 1 października br. kompleksowy raport, w którym wskazane zostaną wszelkie ryzyka dla bezpieczeństwa europejskiego sektora cyfrowego, w szczególności sieci 5G”, czytamy w komunikacie MC.
Według resortu cyfryzacji, warunkiem zapewnienia bezpieczeństwa i stabilności sieci 5G jest przeprowadzenie odpowiedniej analizy ryzyka. – W ramach oceny ryzyka powinniśmy uwzględniać zarówno aspekty techniczne (podatności, zapewnienie bezpiecznego łańcucha dostaw) jak i pozostałe, dotyczące aspektów prawnych oraz sposobu zarządzania po stronie potencjalnych dostawców; co do aspektów technicznych w jak największym stopniu powinna być wykorzystana certyfikacja – powiedział Karol Okoński. W ocenie pełnomocnika rządu, trzeba zdawać sobie sprawę, że przygotowanie odpowiednich profili bezpieczeństwa oraz odpowiednich laboratoriów i procesów dla oceny urządzeń i oprogramowania dla sieci 5G będzie wymagać czasu, co nie pozwoli zastosować tego podejścia w krótkim terminie. To samo dotyczy Rozporządzenia dotyczącego screeningu inwestycji zagranicznych, które w pełni wejdzie w życie dopiero w listopadzie 2020 r.
Ministerstwo zaznacza, że w jak największym stopniu należy wykorzystać już istniejące przepisy wynikające z Rozporządzeń i Dyrektyw, dotyczących sektora telekomunikacyjnego oraz cyberbezpieczeństwa, choć jak zastrzega MC, Polska rozważa dostosowanie krajowych przepisów, by móc skuteczniej zarządzać cyberbezpieczeństwem infrastruktury krytycznej. Resort przypomina też, że w rekomendacjach podkreślono, że państwa członkowskie w dalszym ciągu mają prawo do wdrażania takich rozwiązań prawnych i technicznych, które są krytyczne z punktu widzenia bezpieczeństwa państwa.
— Popieramy decyzję Komisji, żeby w pełni korzystać z wiedzy i doświadczeń nagromadzonych w wyspecjalizowanych instytucjach i agencjach unijnych, takich ENISA, EUROPOL oraz wzajemnej koordynacji w ramach unijnych grup, jak BEREC (Grupa Europejskich Regulatorów Komunikacji Elektronicznej) oraz utworzonych na mocy Dyrektywy NIS: Grupy Współpracy oraz Sieć CSIRT – mówi wiceminister cyfryzacji.
MC podkreśla, że Komisja natychmiast zaczęła wdrażać rekomendacje, o czym świadczy powołanie dedykowanego zespołu zadaniowego w Grupie Współpracy, który zajmie się wypracowaniem do końca 2019 r. wspólnych, unijnych mechanizmów w zakresie skutecznej identyfikacji środków służących zapewnieniu cyberbezpieczeństwa technologii 5G i ograniczenia ryzyk z tym związanych.
W ocenie resortu, wymaga to koordynacji na poziomie całej UE, ale jednocześnie sytuacja wyjściowa poszczególnych krajów (dostawcy w sieciach 4G, kalendarz aukcji na częstotliwości dla sieci 5G, gotowość i potencjał do przeprowadzenia certyfikacji, aktualne przepisy krajowe) różni się zasadniczo. Zdaniem MC, oznacza to, że założenia i minimalny oczekiwany poziom bezpieczeństwa powinien być maksymalnie wspólny w UE, ale podejmowane działania mogą się znacząco różnić.
Jak zaznacza Ministerstwo, Polska kontynuuje analizę rozpoczętą w ubiegłym roku i po jej zakończeniu (w II kwartale br.), będzie podejmować działania doraźne zgodne z bieżącym stanem prawnym, jednocześnie proponując średnio i długoterminowe działania, będące zbieżne z rekomendacjami KE.