Germania și Austria: Precursorii măsurilor de securitate 5G?

Având în vedere că securitatea cibernetică este tratată ca parte a securității naționale, iar potrivit art. 4 alin. (2) din Tratatul privind Uniunea Europeană² „securitatea națională rămâne responsabilitatea exclusivă a fiecărui stat”, prin regulile propuse in EU Toolbox se urmărește coordonarea măsurilor implementate la nivel național în Uniunea Europeană³. Reamintim că acest document elaborat de grupul de Cooperare NIS propune atât măsuri stategice, cât și măsuri tehnice pentru limitarea riscurilor de securitate cibernetică.

În privința măsurilor strategice, în EU Toolbox se menționează că în unele state au fost implementate deja, iar altele pregătesc o legislație similară, context în care coordonarea între statele membre sau coordonarea la nivelul Uniunii Europene ar fi benefică⁴.

Ne propunem în continuare să facem o analiză succintă a măsurilor în curs de implementare sau deja implementate prin diverse acte normative în alte țări europene, având în vedere faptul că este de așteptat ca România să urmeze exemplul altor țări în procesul de aliniere la cerințele cuprinse în EU Toolbox.

În ceea ce privește România, în data de 21 mai 2020, a fost constituit un grup de lucru interinstituțional pentru elaborarea unui raport privind punerea în aplicare a măsurilor-cheie identificate din setul de instrumente al UE pentru atenuarea eficace a riscurilor și asigurarea securității rețelelor 5G⁵. Acest grup de lucru nu a făcut, încă, publice lucrările sale în acest domeniu.

Însă, la nivelul Uniunii Europene, state precum Germania și Austria au propus deja instrumente de implementare a acestor măsuri în legislația internă pentru atenuarea eficace a riscurilor și asigurarea securității rețelelor 5G.

Astfel, Agenția Federală a Rețelelor de Electricitate, Gaz, Telecomunicații, Poștă și Transport Feroviar din Germania a supus dezbaterii publice „Catalogul cerințelor de securitate pentru operarea sistemelor de telecomunicații și procesare a datelor cât și pentru prelucrarea datelor personale”⁶(“Catalogul Cerințelor de Securitate din Germania”), care, de asmenea, acordă un rol important operatorilor de comunicații în asigurarea securității rețelelor.

Principalele prevederi ale Catalogului Cerințelor de Securitate din Germania impun operatorilor să adopte:

a.     măsuri de securitate cu privire la angajați;

b.     măsuri pentru securitatea fizică a echipamentelor și a rețelelor (fiind prevăzute expres măsuri cu privire la controlul accesului și a intrării în sistemele de rețea și informații);

c.     măsuri de comunicare și de raportare a incidentelor de securitate;

d.     proceduri de monitorizare și testare, inclusiv simulări pentru situații de urgență;

e.     măsuri de securitate pentru protejarea datelor cu caracter personal.

f.      măsuri pentru garantarea integrității și disponibilității sistemelor de rețea și informații;

În plus, Catalogul Cerințelor de Securitate din Germania, stabilește în sarcina operatorilor obligații cu privire la:

a.     folosirea componentelor critice certificate;

b.     monitorizarea securității;

c.     respectarea principiului neutralității internetului;

d.     mecanisme criptografice și de management al cheilor;

e.     ceritificarea componentelor pentru realizarea funcțiilor critice;

f.      certificarea credibilității producătorilor și a furnizorilor.

Interesant este modul în care Germania a prevăzut verificarea celei din urmă cerințe, privind certificarea credibilității producătorilor și a furnizorilor. Normele germane prevăd că pentru verificarea credibilității producătorului, furnizorii vor completa o declarație de încredere al cărei conținut minim este stabilit de actul normativ menționat mai sus, dar, care poate fi completat cu anumite criterii de către operatori.

Totodată, Catalogul Cerințelor de Securitate din Germania mai identifică o altă posibilă metodă de verificare a operatorilor și furnizorilor, lăsând Agenției Federale a Rețelelor de Electricitate, Gaz, Telecomunicații, Poștă și Transport Feroviar posibilitatea de a dispune ca aceștia să fie supuși unui audit realizat de un organism independent calificat sau de o autoritate națională competentă, potrivit dispozițiilor art. 109 alin. (7) din TKG⁷.

Și în Austria a fost supus dezbaterii publice, în data de 24 aprilie 2020, de către Autoritatea de Reglementare în Domeniul Telecomunicațiilor - Rundfunk und Telekom Regulierungs-GmbH (RTR) – („Autoritatea de Reglementare”) proiectul ordonanței referitoare la obligațiile minime de securitate a operatorilor de rețele de comunicații electrionice⁸.

Proiectul de ordonanță propus în Austria instituie în sarcina operatorilor (a) un set comun de reguli aplicabile tuturor rețelelor de telecomunicații și (b) obligații particulare pentru protejarea securtității rețelelor 5G.

Astfel, printre regulile stabilite în sarcina operatorilor, regăsim:

      a.     obligația de a notifica un incident de securitate care are un impact semnificativ asupra securității rețelei de comunicații;

      b.     obligația de a concepe și de a implementa o politică de securitate care să asigure un nivel adecvat de securitate în raport cu riscurile existente;

      c.     o serie de obligații pentru operatorii de rețele 5G cu mai mult de 100.000 de utilizatori, cum ar fi:

►  să depună un raport de audit în mod regulat;

►  să depună o declarație de conformitate care să ateste respectarea unor standarde internaționale precum 3GPP, expres menționate în anexa acestui ordin;

►  să asigure funcționarea centrului de operaţiuni de reţea și a centrului de operațiuni de securitate în Uniunea Europeană;

►  să monitorizeze efectiv toate componentele critice și părțile sensibile ale rețelelor 5G prin centrul de operaţiuni de reţea și prin centrul de operațiuni de securitate;

►  să prevină schimbarea neautorizată a rețelelor sau a componentelor;

►  să asigure protecția fizică a componentelor critice și sensibile ale rețelelor 5G;

►  să restrângă accesul la personalul competent și calificat, supus anterior unor verificări de securitate;

►  să folosească instrumente adecvate să asigure integritatea software când sunt operate actualizări software;

►  să stabilească o stategie care să asigure furnizarea infrastructurii de către mai mulți furnizori, inclusiv prin luarea în considerare a constrângerilor tehnice și a cerințelor de interoperabilitate în diferite părți alte rețelelor 5G.

Asemenea măsurilor de securitate impuse operatorilor de date cu caracter personal⁹ și a celor prevăzute de Codul European al Comunicațiilor Electronice¹⁰, Autoritatea de Reglementare din Austria subliniază faptul că trebuie avut în vedere de către operatori „standardul stadiului actual al tehnologiei” („state of the art”), astfel că, politica de securitate informațională va cuprinde cel puțin:

►  măsuri de management al riscului;

►  măsuri de securitate cu privire la angajați;

►  măsuri de securitate fizice;

►  monitorizare, auditare și testare.

Din punctul de vedere al Autorității de Reglementare din Austria, pentru implementarea unui mecanism de evaluare a furnizorilor în raport de criteriile menționate în setul de măsuri pentru reducerea risicurilor de securitate a rețelelor 5G, este necesar un alt temei legal, respectiv, adoptarea unui alt act normativ de către autoritățile competente. Cu privire la strategia de asigurare a mai multor furnizori, proiectul de ordonanță din Austria menționează evitarea sau limitarea dependenței față de un furnizor considerat riscant.

Măsurile descrise mai sus, adoptate sau în curs de adoptare în cele două țări europene au ca scop stabilirea de criterii transparente și obiective pentru verificarea participanților la piața echipamentelor 5G.

Într-un alt material pe care l-am publicat am prezentat rezerve cu privire la compatibilitatea unor măsuri de excludere sau de limitare a accesului unor competitori pe piață din perspectiva obligațiilor internaționale asumate de către Uniunea Europeană și de către statele membre¹¹.

Între timp, în spațiul public s-a exprimat și opinia că măsurile de limitare sau restrângere a furnizorilor de echipamente par a încalca principiile enunțate de legislatia europeană și națională în domeniul telecomunicațiilor, respectiv principiile obiectivității, transparenței, proproționalității și al nediscriminării.¹²

Cele două acte normative propuse în Austria și Germania dovedesc, însă, că EU Toolbox poate fi implementat asigurându-se, totodată, și menținerea concurenței pe piața produselor și serviciilor pentru construirea și întreținerea rețelelor 5G, precum și respectarea principiilor mai sus enumerate.

Astfel, pe de-o parte, sunt constituite măsuri de prevenire a accesului neutorizat la rețele, iar pe de altă parte, sunt instituite și reguli de certificare obiectivă a echipamentelor ce ar urma să fie încorporate în rețeaua de telecomunicații, pârghii prin care să poată fi realizată o evaluare continuă de către operatori sau autorități a securității rețelelor de telecomunicații.

În concluzie, implementarea măsurilor de securitate cibernetică rămâne o chestiune de competență a statelor membre. Însă, pentru asigurarea unei implementări coordonate și a asigurării unor condiții similare de implementare a tehnologiei 5G la nivelul Uniunii Europene, menite să asigure predictibilitate, precum și pentru evitarea fragmentării piețelor, ar fi preferabil ca actele normative adoptate de statele membre să conțină măsuri similare celor deja adoptate sau aduse la cunoștința publicului, spre consultare.

De altfel, necesitatea evitării fragmentării piețelor prin instituirea unor bariere administrative restrictive a fost subliniată și de către Thierry Breton, Comisarul European pentru Piata Internă, care a declarat într-un comunicat recent că: „Rețelele wireless 5G reprezintă un pilon al dezvoltării socioeconomice a Europei, deoarece vor permite furnizarea de noi servicii în sectorul sănătății și al îngrijirilor medicale, al energiei, al transporturilor, al educației și în multe alte domenii. Importanța acestora este și mai evidentă în momentul de față, întrucât rețelele vor juca un rol esențial în redresarea noastră în urma crizei provocate de coronavirus. Împreună cu statele membre, trebuie să deschidem calea pentru introducerea la timp a tehnologiei 5G, fără bariere administrative restrictive, lucru care va aduce cu sine o cerere semnificativă din partea industriei noastre și va amplifica inovarea și competitivitatea la nivel european¹³”.