Proiectul de lege privind adoptarea de măsuri referitoare la infrastructura de telecomunicaţii şi condiţiile implementării 5G, care va decide viitorul telecomunicaţiilor din ţara noastră, a stârnit multiple reacţii şi controverse.
Draftul legislativ aflat în dezbatere publică pe site-ul Ministerului Transportului, Infrastructurii şi Comunicaţiilor până pe 17 august, limitează accesul furnizorilor de echipamente 5G în piaţă, impunând ca pentru a putea participa la construirea reţelelor de telecomunicaţii 5G, companiile trebuie să îndeplinească simultan mai multe condiţii: să nu se afle sub controlul unui guvern străin sau în lipsa unui sistem juridic independent; să aibă o structură transparentă a acţionariatului; să nu aibă un istoric de conduită corporativă neetică; să se supună unui sistem juridic care impune practici corporative transparente.
Actul normativ pune în aplicare înţelegerea parafată în memorandumul România-SUA, privind reţelele 5G, semnat în 2019, care nu-i dau şanse gigantului tehnologic Huawei să participe la implementarea tehnologiei 5G prin furnizarea de echipamente.
Proiectul de lege a primit numeroase critici atât din partea specialiştilor şi analiştilor din domeniul telecomunicaţiilor, dar şi din partea gigantului tehnologic Huawei care consideră că draftul de lege nu se axează pe criterii tehnice, ci are în vedere partea politică.
De multe ori, modelele internaţionale de bune practici pot oferi ghidaj şi sprijin pentru a adopta un drum care să ducă la rezultate optime pentru ţara noastră.
Germania este recunoscută pentru riguarea sa şi poate sta drept model în multe domenii, iar industria telecomunicaţiilor nu face notă discordantă.
În plus, toate privirile sunt întoarse către Germania, care a preluat luna trecută preşedinţie Consiliului Uniunii Europene.
Proiectul legislativ al Germaniei privind tehnologia 5G publicat pe 11 august va fi în dezbatere până pe 30 septembrie, spre deosebire de ţara noastră care a are ca termen de dezbatere asupra actului normativ 4-17 august. De altfel, mulţi specialişti şi analişti din industrie consideră că ar fi fost necesară o perioadă de 1,5-2 luni pentru o dezbatere şi o analiză corectă a tuturor aspectelor legislative.
Totodată, Germania a pus practic în dezbatere un catalog privind criteriile tehnice de îndeplinit pentru reţelele telecom, fără o abordare politică.
Proiectul de lege din Germania impune participanţilor la implementarea tehnologiei 5G următoarele condiţii clare şi precise:
-Sursa de aprovizionare promite să lucreze îndeaproape cu clientul în domeniul tehnologiei de securitate, în special pentru a informa clientul cu privire la noile produse, noile tehnologii şi actualizările liniilor de produse existente în timp util;
-Sursa de furnizare garantează că nu va transmite informaţii despre relaţia sa contractuală cu utilizatorul sau cu oricare dintre instituţiile utilizatorului către terţi şi că sursa de aprovizionare se angajează să se asigure, prin măsuri organizatorice şi juridice, că informaţiile confidenţiale ale utilizatorilor sau ale utilizatorilor nu vor fi transferate în străinătate sau achiziţionate de agenţii străine, fie din proprie iniţiativă, fie de către terţi;
– Sursa de aprovizionare garantează că nu va transmite, din punct de vedere legal şi de fapt, informaţii confidenţiale despre utilizator sau informaţii confidenţiale despre utilizator unei terţe părţi. În special, nu există nicio obligaţie de a divulga sau de a pune la dispoziţia terţilor astfel de informaţii în momentul depunerii declaraţiei. Prezentul articol nu se aplică în cazul în care există o obligaţie legală de divulgare pentru a servi scopurilor investigaţiilor penale, cu excepţia cazului în care o astfel de obligaţie de divulgare se aplică agenţiilor străine de informaţii sau de securitate. În caz de incertitudine, sursa de furnizare îşi specifică obligaţiile legale de informare înainte de depunerea declaraţiei;
-Sursa de aprovizionare se angajează să notifice utilizatorul în scris imediat atunci când nu este în măsură să garanteze respectarea în continuare a obligaţiei declarate, în special atunci când apare sau este identificată o necesitate sau o altă obligaţie care îl poate împiedica să respecte obligaţia declarată;
-sursa de aprovizionare se angajează să furnizeze informaţii specifice cu privire la dezvoltarea produsului componentelor sistemului de securitate ale produselor sale în urma unei anchete;
-sursa de aprovizionare se angajează să investească numai personal de mare încredere în dezvoltarea şi producţia de componente critice ale sistemului de securitate;
-declaraţia privind sursa de aprovizionare este de acord să aprobe şi să sprijine pe deplin inspecţia de securitate şi analiza de penetrare a produselor sale, în măsura în care este necesar;
-sursa de furnizare garantează că produsele sale declarate nu conţin vulnerabilităţi instalate în mod deliberat şi nu le vor instala ulterior şi că toate vulnerabilităţile neintenţionate cunoscute au fost remediate sau vor fi remediate în viitorul apropiat şi vor fi eliminate imediat;
-sursa de aprovizionare se angajează să notifice imediat utilizatorul cu privire la orice vulnerabilităţi sau manipulări cunoscute şi nou cunoscute, astfel încât să se poată lua măsuri timpurii pentru a limita şi elimina posibilele consecinţe ale defectelor de calitate. În cazul în care un producător obţine informaţii care pot afecta siguranţa şi funcţionalitatea produselor sale sau pot afecta buna funcţionare a produselor, informaţiile sunt comunicate imediat utilizatorului. În plus, producătorul promite să ofere recomandări de soluţie imediată;
-sursa de aprovizionare declară dacă şi asigură în mod adecvat că componentele critice nu au caracteristici tehnice care ar putea avea un impact abuziv asupra securităţii, integrităţii, disponibilităţii sau funcţionalităţii infrastructurii critice (de exemplu, prin sabotaj, spionaj).
Modelul german al proiectului legislativ 5G, potrivit şi pentru noi?
Autorizarea participanţilor la implementarea tehnologiei 5G în Germania se face de către Autoritatea naţională responsabilă cu certificarea securităţii informatice a componentelor critice – Oficiul Federal pentru Securitatea Informaţiilor (BSI). BSI este, de asemenea, responsabil pentru acreditarea naţională a agenţiilor de testare în cadrul naţional de certificare a securităţii IT.
BSI, în colaborare cu Agenţia Federală a Reţelei, elaborează şi publică orientări tehnice (TR) pentru reţelele relevante din domeniul de aplicare al prezentei anexe. Acest TR conţine cerinţe de certificare pentru componentele cheie, inclusiv mediul de utilizare şi cerinţele de operare, care sunt cerinţe prealabile pentru certificarea validă.
În plus, acesta descrie cerinţele pentru furnizarea de dovezi de certificare în cadrul european de certificare (CSA). Următoarele secţiuni descriu procesul de identificare şi regulile de utilizare a componentelor-cheie pe baza listei funcţiilor-cheie din reţeaua de telecomunicaţii, conturată pe recomandările UE de analiză a riscurilor şi de punere în aplicare ale toolboxului 5G.
Această listă este realizată pe baza unei analize comune a riscurilor, de către BNetzA şi BSI, şi este actualizată în mod continuu, pe baza unei evaluări comune a celor două instituţii, în special în cazul în care premisa subiacentă se modifică. Rezultatele analizelor de risc naţionale sau internaţionale, ar fi cele ale ENISA sau OAREC, sunt, de asemenea, luate în considerare aici.
Potrivit documentului, producătorii, asociaţiile operatorilor publici de reţele de telecomunicaţii şi asociaţiile de furnizori de servicii de telecomunicaţii disponibili în mod deschis ar trebui să aibă posibilitatea de a-şi exprima opiniile.
Componentele care implementează parţial sau integral funcţiile critice trebuie identificate ca şi componente critice şi documentate. Operatorii de reţea care intenţionează să instaleze componente cheie ar trebui să raporteze BSI şi BnetzA, conform proeictului de lege din Germania. Această cerinţă trebuie pusă în aplicare în termen de un an de la data la care lista de funcţii esenţiale este lansată, mai prevede actul normativ aflat în dezbatere.
Totodată, componentele utilizate pentru implementarea funcţiilor cheie pot fi utilizate numai după ce testele de securitate informatică sunt efectuate de un organism de testare acreditat şi certificate de un organism de certificare acreditat în conformitate cu Regulamentul UE, mai are în vedere Germania.
De asemena, draftul de lege prevede ca în absenţa unui cadru de certificare adecvat, operatorii de reţea şi furnizorii de servicii obligaţi trebuie să ia temporar alte măsuri tehnice adecvate şi alte măsuri pentru a evita riscurile atunci când se utilizează componente critice.
În cadrul de certificare a produsului, cerinţele sunt adesea ridicate pentru mediul de utilizare sau pentru funcţionarea în siguranţă a produsului. Funcţionarea în condiţii de siguranţă este garantată numai dacă sunt respectate cerinţele din certificare sau conform descrierii producătorului, potrivit proiectului de lege.
În plus, Germania ia în calcul ca echipamentel care sunt sau au fost utilizate înainte de 31 decembrie 2025 trebuie să îndeplinească noile cerinţe, din momentul în care pe piaţă sunt disponibile două produse adecvate, certificate corespunzător, diferite ale producătorului şi nu mai târziu de 31 decembrie 2025. În cazul în care un produs necertificat este utilizat între această dată şi 31 decembrie 2025, partea responsabilă explică, dovedeşte şi înregistrează că nu se vor produce riscuri suplimentare şi că nu se vor produce daune de securitate aferente din partea responsabilă. Pentru componentele existente care nu mai sunt instalate, nu este necesară autentificarea ulterioară. Dacă o componentă critică care este deja utilizată în reţea nu este certificată sau a pierdut certificarea, aceasta trebuie înlocuită în reţea până în 2025. Acest lucru este valabil şi pentru componentele existente.
Agenţia Federală a Reţelei ia măsuri şi alte ordine în temeiul Legii telecomunicaţiilor pentru a asigura respectarea acestor cerinţe.
În proiectul de lege german se mai recomandă ca în planificarea şi construirea reţelelor de comunicaţii să se evite „structurile unice” utilizând componente de reţea şi de sistem de la diferiţi producători. Prin urmare, cel puţin două componente sau sisteme ale diferiţilor producători sunt utilizate în reţeaua centrală (coloana vertebrală şi reţeaua centrală), în reţeaua de transport şi în reţeaua de acces (reţea de acces radio/reţea de acces prin cablu), cu excepţia cazului în care operatorul reţelei mobile utilizează o componentă sau un sistem autodezvoltat. Acestea ar trebui să fie independente unele de altele şi să nu depindă în mod egal de terţi. În special, pe baza unei topologii de reţea implementate, funcţiile cheie ale reţelei şi elementele de reţea nu ar trebui să se bazeze pe un singur furnizor de componente cheie. Proiectarea topologiei reţelei trebuie să asigure diversitatea funcţiilor reţelei şi a EN care trebuie protejate. În viitor, utilizarea unor standarde deschise, ar fi Open RAN, va duce la dezvoltarea celor mai noi tehnologii şi va sprijini diversitatea.
Pentru a menţine funcţionalitatea reţelei, ar trebui elaborate măsuri pentru a compensa indisponibilitatea pe termen scurt a componentelor unui producător.
Având în vedere că viitorul telecomunicaţiilor depinde de forma în care noul proiect legislativ va fi adoptat, specialiştii consideră că este important să ne uităm şi la alte state care sunt în faţa noastră în ceea ce priveşte dezvoltarea, dar să urmărim propriul interes naţional.