Projekt nowelizacji KSC na tle regulacji w państwach UE

5G Toolbox ma kluczowe znaczenie przy wdrażaniu środków w celu zapewnienia bezpieczeństwa sieci i usług telekomunikacyjnych. Nie jest to jednak akt ustawodawczy zgodnie z TFUE – nie ma bowiem mocy prawnej i funkcjonuje jako tzw. soft law, tj. pewien zbiór działań zalecanych przez grupę współpracy NIS. Ze względu na brak harmonizacji środków w akcie ustawodawczym UE, praktyka wdrażania środków strategicznych i technicznych w poszczególnych państwach jest różna. Występują rozbieżności interpretacyjne co do środków bezpieczeństwa w poszczególnych państwach. Problematyczna jest także dyskusja geopolityczna związana z wyeliminowaniem sprzętu od dostawców pochodzących spoza państwa członkowskiego UE lub NATO z sieci operatorów telekomunikacyjnych, prowadzona z inicjatywy Stanów Zjednoczonych w ramach programu „Clean network”[xii]. Przywołana inicjatywa oraz rozbieżności interpretacyjne doprowadziły w niektórych państwach, m.in. w Polsce, Belgii, Chorwacji, Portugalii[xiii], do wstrzymania procesu selekcyjnego związanego z dystrybucją częstotliwości wykorzystywanych do świadczenia usług w technologii 5G.

Ocena bezpieczeństwa dostawców sprzętu i oprogramowania 5G w innych państwach UE

Wskazane już zostało, że 5G Toolbox nie jest aktem prawnie wiążącym, dlatego Państwa Członkowskie UE mają swobodę w zakresie sposobu wdrażania zawartych w nim propozycji. Warto więc przyjrzeć się wprowadzonym dotychczas rozwiązaniom, opartym na propozycjach wskazanych przez grupę współpracy NIS. W odróżnieniu od nowelizacji KSC, regulacje wprowadzone w innych państwach skupiają się przede wszystkim na samych produktach, zdefiniowanych jako „komponenty krytyczne” i ich wpływie na infrastrukturę krytyczną („kluczowe aktywa”), a nie ich producentach, czy też państwie ich pochodzenia.

Finlandia

W kontekście sposobu wdrożenia 5G Toolbox, należy w pierwszej kolejności zwrócić uwagę na rozwiązania wprowadzone w Finlandii. Od 1 stycznia 2021 r., do ustawy o komunikacji elektronicznej[xiv] wprowadzono nowe przepisy dotyczące wymagań cyberbezpieczeństwa infrastruktury telekomunikacyjnej.

W oparciu o nowe przepisy notyfikowane uprzednio do Komisji Europejskiej[xv], fiński organ regulacyjny TRAFICOM[xvi] uzyskał uprawnienie do zobowiązania właściciela lub użytkownika sieci telekomunikacyjnej do usunięcia sprzętu z części sieci uznanej za krytyczną. Przesłanką do wydania nakazu na konkretne urządzenia jest stwierdzenie przez regulatora zagrożenia dla bezpieczeństwa narodowego lub obronności.

Warto jednak podkreślić, że zakaz używania jakichkolwiek urządzeń ma charakter ostateczny. Wydanie decyzji poprzedza postępowanie konsultacyjne z operatorem zmierzające w pierwszej kolejności do wyeliminowania zidentyfikowanych nieprawidłowości, chyba że ich niezwłoczne usunięcie (zwłaszcza ze względu na wagę stwierdzonych nieprawidłowości) nie jest możliwe.[xvii] Decyzji może zostać nadany rygor natychmiastowej wykonalności. W ramach odwołania można jednak wnosić o wstrzymanie wykonalności decyzji.

Obowiązek identyfikacji krytycznych elementów sieci komunikacyjnych oraz przygotowanie odpowiedniej dokumentacji jest po stronie operatorów. Proces identyfikacji odbywa się przez pryzmat podstawowych funkcji sieciowych opartych o standardy ETSI i specyfikacje techniczne 3GPP, zdefiniowane przez TRAFICOM w rozporządzeniu z 19 maja 2021 r. dotyczącym krytycznych elementów w sieci komunikacyjnej[xviii].

W rezultacie ocena ryzyka dla bezpieczeństwa sieci skupia się na konkretnym sprzęcie stanowiącym element infrastruktury krytycznej, rozumianej jako najbardziej centralne węzły ruchu sieciowego, a nie charakterystyce dostawcy.

Organem decyzyjnym jest regulator, mający ekspercką wiedzę techniczną z zakresu komunikacji elektronicznej, przy udziale Komitetu Doradczego ds. Bezpieczeństwa Sieci, powołanego jako ciało doradcze do wdrażania i oceny bezpieczeństwa sieci. Składa się on z przedstawicieli organów rządowych, operatorów telekomunikacyjnych, głównych dostawców sprzętu i innych interesariuszy.

Treść Rozporządzenia została opracowana wspólnie ze wspomnianym Komitetem Doradczym ds. Bezpieczeństwa Sieci. Ten aspekt wdrożenia jest szczególnie istotny w kontekście przyjęcia środka strategicznego określonego w 5G Toolbox, jako SM03, tj. oceny wpływu dostawcy na „kluczowe” aktywa. W ten sposób w Finlandii zapewniono neutralną pod względem technologicznym definicję krytycznych elementów infrastruktury, przy aktywnym udziale wszystkich interesariuszy reprezentujących branżę telekomunikacyjną, zarówno z sektora prywatnego, jak i regulacyjnego. Rozporządzenie zawiera bowiem neutralną technologicznie, ogólną definicję podstawowych elementów składowych sieci telekomunikacyjnej, a także specyfikacje najnowszych technologii sieci łączności komórkowej, w szczególności sieci 4G i 5G. Warto również podkreślić, że ocena sprzętu odbywa się przede wszystkim w oparciu o kryteria techniczne i jest pozbawiona jakichkolwiek czynników o charakterze politycznym, które są niemierzalne.

PRZYPISY

[xii] The clean network, https://2017-2021.state.gov/the-clean-network/index.html (22.08.2021 r.)

[xiii] 5G European 5G Observatory, National 5g Spectrum Assignment, https://5gobservatory.eu/5g-spectrum/national-5g-spectrum-assignment/ (30.09.2021 r.)

[xiv] Ustawa o komunikacji elektronicznej z 7.11.2014 /917, „Laki sähköisen viestinnän palveluista”, https://finlex.fi/fi/laki/ajantasa/2014/20140917

[xv] Powiadomienie: 2021/0137/FIN, https://ec.europa.eu/growth/tools-databases/tris/index.cfm/en/search/?trisaction=search.detail&year=2021&num=137&mLang=PL(22.08.2021r.)

[xvi] Traficom, https://www.traficom.fi/en/(30.09.2021 r.)

[xvii] Art. 244a ust. 1 Ustawy o komunikacji elektronicznej

[xviii] Föreskrift om kommunikationsnätets kritiska delar, TRAFICOM 161584/03.04.05.00/2020, https://www.finlex.fi/fi/viranomaiset/normi/480001/47015 (30.09.2021 r.)