Projekt nowelizacji KSC na tle regulacji w państwach UE

Reasumując, model fiński charakteryzują dwie zasadnicze cechy - stosunkowo wysoki poziom wiedzy eksperckiej po stronie organu administracji – bowiem organem odpowiedzialnym za ocenę ewentualnego ryzyka jest regulator oraz współpraca administracji z sektorem prywatnym.

Niemcy

Kolejnym przykładem państwa, które wdrożyło środki bezpieczeństwa w zakresie sieci telekomunikacyjnych są Niemcy. Zgodnie z przepisami nowelizującymi niemiecką ustawę prawo telekomunikacyjne, zw. TKMoG[xix]oraz ustawę o Urzędzie Federalnym ds. Bezpieczeństwa Technologii Informacyjnych oraz o systemach informatycznych, zw. BSI-Gesetz 2.0[xx], które wejdą w życie 1 grudnia 2021 r., środki ograniczające ryzyko naruszenia bezpieczeństwa sieci telekomunikacyjnych będą stosowane do komponentów krytycznych.

Definicja komponentów krytycznych sieci telekomunikacyjnej, jako służących realizacji funkcji krytycznych, została zawarta w BSI-Gesetz 2.0[xxi]. Identyfikacja takich urządzeń będzie prowadzona przez operatorów telekomunikacyjnych w oparciu o funkcje krytyczne opracowane przez regulatora BNetzA w porozumieniu z Federalnym Urzędem ds. Bezpieczeństwa Informacji (BSI)[xxii], zgodnie z załącznikiem nr 2 do Katalogu wymagań bezpieczeństwa działania systemów telekomunikacyjnych i systemów przetwarzania danych oraz danych osobowych.[xxiii] Urządzenia zdefiniowane jako krytyczne będą mogły być wykorzystywane w sieciach telekomunikacyjnych pod warunkiem uzyskania certyfikacji bezpieczeństwa IT. Weryfikacja bezpieczeństwa komponentu ma być oceniana przez neutralną jednostkę kontrolną w ramach procedury certyfikacyjnej zgodnie z unijnym Aktem o Cyberbezpieczeństwie[xxiv]. Krajowym organem odpowiedzialnym za certyfikację w Niemczech w rozumieniu art. 58 Aktu o Cyberbezpieczeństwie został ustanowiony Federalny Urząd ds. Bezpieczeństwa Informacji (BSI).[xxv]

Certyfikacja krytycznych elementów infrastruktury ma zacząć obowiązywać do 31 grudnia 2025 r. W przypadku, gdy krytyczny element, używany w sieci, nie będzie certyfikowany lub straci certyfikat, musi zostać wymieniony do 2025 r. Dotyczy to również zapasowych elementów infrastruktury.[xxvi]

Niezależnie od obowiązku uzyskania certyfikacji komponentów krytycznych w oparciu o BSI-Gesetz 2.0, Federalne Ministerstwo Spraw Wewnętrznych, Budownictwa oraz Społeczeństwa może odmówić zgody na zainstalowanie krytycznego komponentu w sytuacji, gdy korzystanie z niego negatywnie wpłynie na porządek publiczny lub bezpieczeństwo Republiki Federalnej Niemiec.[xxvii]Zgodnie z dodanym § 9b BSI-Gesetz 2.0, w celu weryfikacji wpływu na porządek publiczny lub bezpieczeństwo należy zweryfikować czy:

  • producent bezpośrednio lub pośrednio jest kontrolowany przez rząd, w tym inne agencje rządowe lub siły zbrojne państwa trzeciego,
  • producent był już lub jest zaangażowany w czynności, które miały negatywny wpływ na społeczeństwo, porządek lub bezpieczeństwo Republiki Federalnej Niemiec lub innych państw członkowskich UE, Europejskiego Stowarzyszenia Wolnego Handlu lub Traktatu Północnoatlantyckiego lub ich instytucji,
  • wykorzystanie krytycznego komponentu jest zgodne z celami polityki bezpieczeństwa Republiki Federalnej Niemiec, Unii Europejskiej lub Traktatu Północnoatlantyckiego.”

W celu weryfikacji wymagań zgodności z porządkiem publicznym lub bezpieczeństwem, Ministerstwo weryfikuje kompleksową deklarację wiarygodności wystawioną przez producenta komponentów. Konkretna treść deklaracji powinna być ustalana wspólnie z operatorem telekomunikacyjnym. Za naruszenia deklaracji powinny być przewidziane sankcje. Przykładowy wykaz zawartości deklaracji wiarygodności danego dostawcy lub producenta („źródła zaopatrzenia”) został określony w Katalogu wymagań bezpieczeństwa.[xxviii]

W przedstawionym niemieckim modelu zapewnienia cyberbezpieczeństwa infrastruktury telekomunikacyjnej kluczowe są kwestie techniczne. Opiera się on przede wszystkim na badaniu bezpieczeństwa komponentów pod względem technicznym, czyli weryfikacji bezpieczeństwa tej infrastruktury za pomocą mierzalnych kryteriów, a podstawą wprowadzenia sprzętu do obrotu jest proces certyfikacji. Jak zostało opisane powyżej, proces weryfikacyjny może odnosić się także do oceny profilu samego dostawcy. Niemniej jednak ta weryfikacja ma raczej charakter drugorzędny, niedecydujący w kontekście wyboru dostawcy komponentów, co istotnie zmniejsza możliwość zastosowania politycznych, praktycznie nieweryfikowalnych kryteriów wykluczenia dostawcy.

PRZYPISY

[xix] Gesetz zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz), Dziennik nr 35 z 28.06.2021, s 1858, https://www.bundesanzeiger-verlag.de/ (30.09.2021 r.)

[xx] Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Dziennik Nr 25 z 27.05.2021, s.  1122, https://www.bundesanzeiger-verlag.de/ (30.09.2021 r.)

[xxi] Art. 1 ust. 2 lit f) BSI-Gesetz 2.0

[xxii] § 167 ust. 1 TKMoG

[xxiii] Załącznik nr 2 do Katalogu wymagań bezpieczeństwa działania systemów telekomunikacyjnych i systemów przetwarzania danych oraz danych osobowych, pkt 2.2 https://www.bundesnetzagentur.de/EN/Areas/Telecommunications/Companies/ServicerProviderObligation/PublicSafety/Catalogue/Catalogue_node.html(30.09.2021 r.)

[xxiv] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013, Dokument 32019R0881, https://eur-lex.europa.eu/eli/reg/2019/881 (30.09.2021 r.)

[xxv] Art. 1 ust. 20 BSI-Gesetz 2.0

[xxvi] Załącznik nr 2 do „Katalogu wymagań …” pkt 2.4.

[xxvii] Art. 1 ust. 20 BSI-Gesetz 2.0 (nowy par 9b)

[xxviii] Załącznik nr 2 do „Katalogu wymagań …” pkt 3