ANALIZĂ MORGAN LEWIS Securitate cibernetică europeană pentru 5g - statele membre au abordări foarte diferite

Andrew D. Lipman, Christina Renner şi Cecile Manong, de la Casa de avocatură MORGAN LEWIS
Companii / 25 august 2020

 Securitate cibernetică europeană pentru 5g - statele membre au abordări foarte diferite

Odată cu iminenta lansare a noilor reţele mobile 5G, Uniunea Europeană (UE) şi statele sale membre încearcă să încadreze şi să protejeze în mod adecvat punerea în aplicare a acestei noi tehnologii-cheie. În plus, ţările străine încearcă, de asemenea, să influenţeze statele membre ale UE în abordarea securităţii cibernetice, ceea ce pare să fi determinat unele state membre să acţioneze împotriva poziţiilor aprobate în comun la nivelul UE şi chiar să încalce principiile fundamentale ale dreptului UE.

O ilustrare recentă este propunerea legislativă aflată în prezent în consultare în România. Proiectul de lege privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G transpune aparent un memorandum semnat între România şi Statele Unite, în conformitate cu care România pare să fi cedat solicitării venite din partea Statelor Unite să menţină anumiţi furnizori chinezi în afara pieţei telecomunicaţiilor 5G din UE.

Proiect de lege privind reţelele 5g în România

Propunerea intenţionează să creeze o cerinţă de autorizare prealabilă pentru producătorii de echipamente de telecomunicaţii care fac parte din "infrastructuri de interese naţionale, precum şi reţele 5G." [1] Proiectul presupune ca aprobarea să se acorde numai producătorilor care (1) nu sunt controlaţi de un guvern străin în absenţa unui sistemul juridic independent, (2) au o structură transparentă de acţionariat, (3) nu au un istoric de conduită corporativă neetică şi (4) sunt supuşi unui sistem juridic care necesită practici corporative transparente.

Obiectivul mecanismului de aprobare este de a elimina ceea ce este larg identificat în propunere drept "riscuri pentru securitatea naţională şi / sau apărarea naţională." Riscul real pe care proiectul de lege încearcă să îl prevină nu este definit în continuare şi nu sunt stabilite criteriile de evaluare, iar detaliile privind cererea de autorizare sunt vagi în acest moment. Primul ministru român va decide mai departe în baza unui aviz al Consiliului Suprem de Apărare Naţională (CSAT) "bazat pe evaluări din perspectivă de riscuri, ameninţări şi vulnerabilităţi pentru securitatea naţională şi / sau apărarea naţională". Ca un corolar, operatorilor de reţea nu li se va permite să utilizeze tehnologie, software sau echipamente de la producători care nu sunt autorizaţi în conformitate cu legea şi tehnologia, software-ul sau echipamentele utilizate în prezent de la astfel de producători pot fi utilizate numai pentru alţi cinci ani.

Protejarea securităţii naţionale în conformitate cu regulile tratatului UE

Deşi protecţia securităţii naţionale rămâne o prerogativă a statelor membre ale UE, statele membre sunt în continuare obligate să respecte principiile fundamentale ale transparenţei, securitatea juridică a Tratatului UE şi proporţionalitatea. Aceste principii necesită ca riscurile pentru securitatea naţională să fie identificate cu precizie de către un stat membru; că măsurile luate pentru protejarea acestor riscuri se bazează pe criterii clare, transparente şi obiective; şi că toate măsurile luate sunt proporţionale cu obiectivul pe care intenţionează să-l atingă.

Excepţia de securitate publică disponibilă în temeiul Tratatului UE este de obicei interpretată în mod restrâns. Este disponibilă numai acolo unde există o ameninţare autentică şi suficient de gravă care afectează unul dintre interesele fundamentale ale societăţii.

În acest caz, riscurile pentru reţea nu sunt definite, criteriile pentru evaluarea unei cereri de autorizare sunt vagi, iar cererea de autorizare necesită o declaraţie a solicitanţilor, care se referă exclusiv la considerente politice şi nu se bazează pe niciun criteriu tehnic. Acest lucru face ca procesul de luare a deciziilor să fie destul de opac, ceea ce complică înţelegerea producătorilor, precum şi posibilitatea acestora de a face apel la o decizie. În plus, domeniul de aplicare al legii este larg: autorizarea procedurii se aplică nu numai întregii reţele 5G, ci şi reţelelor 3G şi 4G, toate fiind definite ca infrastructuri "de interes naţional".

În consecinţă, proiectul de lege românesc se abate de la principiile transparenţei, securităţii juridice,

nediscriminării şi proporţionalităţii, care sunt principii fundamentale ale Tratatului UE şi aplicabile

legislaţiei în domeniul telecomunicaţiilor.

Modelul de abordare al UE

La nivelul UE, statele membre şi Comisia Europeană au convenit asupra unui set de instrumente şi măsuri commune la nivelul UE în ianuarie 2020 (EU Toolbox). Acesta stabileşte o abordare comună bazată pe "o evaluare obiectivă de riscuri identificate şi măsuri proporţionale de atenuare" pentru a aborda riscurile de securitate legate de implementarea 5G. Măsurile trebuie luate pe baza unui mix echilibrat de criterii tehnice şi non-tehnice, obligaţii referitoare la furnizori multipli şi măsuri care evită dependenţele. Dacă măsurile merg până la excluderea anumitor furnizori datorită profilului de risc realizat pe această bază, acest lucru ar trebui, în general, să fie limitat la

Părţile critice şi sensibile ale reţelei 5G. În acest context, alte state membre au ales astfel mijloace mai puţin restrictive pentru a proteja securitatea din reţelele lor 5G în interesul securităţii naţionale.

Guvernul german, de exemplu, a adoptat o abordare în conformitate cu principiile UE şi cu UE

Toolbox. Acesta a adoptat recent un catalog de cerinţe de securitate pentru operarea telecomunicaţiilor şi sisteme de prelucrare a datelor şi pentru prelucrarea datelor cu caracter personal. [2] Acest catalog impune diverse sarcini asupra operatorilor de reţele, inclusiv instituirea de măsuri pentru garantarea integrităţii reţelei şi sisteme informatice, respectarea principiului neutralităţii tehnologice, adoptarea de măsuri pentru protecţia datelor cu caracter personal şi utilizarea componentelor critice certificate. Operatorii sunt, de asemenea, obligaţi să certifice faptul că furnizorii lor respectă şi aceste cerinţe. Catalogul de cerinţe descrie precauţii tehnice şi alte măsuri pentru a garanta un nivel ridicat al standardelor de securitate şi protecţie a datelor, pentru a garanta confidenţialitatea telecomunicaţiilor şi a asigura o disponibilitate suficient de ridicată a reţelelor publice de telecomunicaţii. Sunt definite cerinţe suplimentare de securitate şi protecţie, măsurile fiind specifice componentelor reţelei cu potenţial crescut de risc. Lista componentelor de reţea cu potenţial crescut de risc, care este anexată la catalog, este de asemenea furnizată.

[3] O componentă esenţială a propunerii germane este " certificarea securităţii tehnice

"printr-un organism recunoscut. În acest scop, Oficiul Federal pentru Securitatea Informaţiilor va emite un ghid tehnic suplimentar cu titlul "Certificarea componentelor de telecomunicaţii". Aceasta este în conformitate cu poziţia Comisiei Europene de a promova criterii tehnice comune şi certificarea comună, precum şi neutralitatea tehnologică în toată Europa.

Nu în ultimul rând, propunerea germană prevede, de asemenea, declaraţii pe proprie răspundere de fiabilitate şi încredere de la operatori. Drept urmare, un sistem precum cel din propunerea germană asigură că reţelele 5G nu sunt supuse interferenţelor nejustificate ale entităţilor străine, menţinând în acelaşi timp un acces obiectiv, corect şi nediscriminatoriu la reţelele 5G. O abordare echilibrată similară a fost urmată de alte câteva ţări, în timp ce alte ţări sunt încă în proces de analiză.

Comentariu

În conformitate cu principiile fundamentale ale dreptului UE, Comisia Europeană şi statele membre au aprobat o abordare bazată deplin pe riscuri, iar statele membre trebuie să acţioneze "respectând pe deplin deschiderea Pieţei interne a UE". [4] Proiectul de lege din România aşa cum este astăzi se abate de la principiile generale ale dreptului UE ca abordare comună convenită la nivelul UE. Cu toate acestea, numai o reglementare obiectivă, transparentă, corectă şi, în special, proporţională a reţelelor 5G poate duce la protejarea securităţii naţionale împotriva riscurilor identificate în mod clar la nivelul statelor membre, în conformitate cu legislaţia UE.

Măsurile statelor membre trebuie să abordeze problemele de securitate identificate în mod adecvat şi să fie în conformitate cu obiectivul pe care încearcă să-l atingă. În acest caz, sunt disponibile modalităţi mai puţin restrictive decât proiectul de lege din România, pentru atenuarea riscurilor de securitate. Acestea includ, de exemplu, stabilirea unor standarde şi verificări generale de securitate mai înalte, în mod ideal, prin intermediul standardelor comune la nivelul UE, consolidarea cerinţelor de interoperabilitate, angajamentele flexibile din partea operatorilor de reţele în cee ace priveşte furnizorii multipli, localizarea capacităţilor de producţie, cerinţe în ceea ce priveşte stocarea locală, în special pentru date sensibile şi cerinţe pentru a respecta standardele de siguranţă ale produsului aplicabile local, precum şi controlul accesului şi gestionarea permisiunilor pentru diferite straturi de reţea.

Noile tehnologii necesită o reglementare prudentă şi flexibilă, ţinând pasul cu tehnologiile în constantă evoluţie, fără a o împiedica. Având în vedere beneficiile extraordinare pentru companii şi consumatori, autorităţile de reglementare trebuie să calibreze cu atenţie orice reguli care vizează securitatea reţelelor 5G pentru a continua să promoveze excelenţa tehnologică şi să atragă investiţii importante din punct de vedere strategic. Va fi critic pentru Comisia Europeană să asigure o abordare armonizată a securităţii cibernetice în întreaga UE şi să garanteze că prevalează bunele practici: o abordare europeană independentă a securităţii 5G, care este atât

Eficientă, cât şi proporţională cu riscurile specifice.

(C)

[1] Articolul 4 al propunerii.

[2] Cel mai recent proiect publicat la 11 august 2020.

[3] Lista funcţiilor critice pentru reţelele şi serviciile publice de telecomunicaţii cu un risc crescut

potenţial (supliment la anexa 2 la catalogul cerinţelor de securitate), publicat în comun de către

Oficiul Federal pentru Securitatea Informaţiilor şi Agenţia Federală a Reţelelor.

[4] Comisia Europeană, reţele sigure 5G, întrebări şi răspunsuri în EU Toolbox.

BTPay

Curs valutar BNR

20 Ian. 2021
Euro (EUR)Euro4.8741
Dolar SUA (USD)Dolar SUA4.0207
Franc elveţian (CHF)Franc elveţian4.5221
Liră sterlină (GBP)Liră sterlină5.5103
Gram de aur (XAU)Gram de aur239.7608

convertor valutar

»=
?

mai multe cotaţii valutare

The Diplomat-Bucharest Awards Gala 2021
Video

ENGLISH SECTION

more articles

Pagini Aurii
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.rowww.dreptonline.rowww.hipo.ro