Raport Morgan Lewis: Securitate cibernetică europeană pentru 5G – statele membre au abordări foarte diferite

În ce privește situația din România, în raportul Morgan Lewis se menționează că în timp ce protejarea securității naționale rămâne o prerogativă a statelor membre UE, acestea trebuie în continuare să respecte și să implementeze principiile fundamentale de transparență, predicitibilitate legislativă și proporționalitate prevăzute de Tratatul UE. Respectarea acestor principii necesită ca riscurile de securitate națională să fie identificate precis de un stat membru; ca măsurile luate pentru protejarea de aceste riscuri să fie fundamentate pe criterii clare, transparente și criterii obiective; ca fiecare măsură luată să fie proportională cu obiectivul pe care își propun să îl atingă.

Pornind de la aceste considerente, în raportul Morgan Lewis se mentionează că în cazul proiectului de lege din România riscurile pentru rețea nu sunt definite, criteriile de evaluare a unei solicitări de autorizare sunt vagi, iar solicitarea de autorizare implică o declarație din partea furnizorilor care are legătură strict cu elemente politice și nu ia în calcul nici un criteriu tehnic. Acest lucru face ca procesul de luare a deciziei să fie mai degrabă opac, îngreunând înțelegerea lui de către producători, ca și posibilitatea lor de a face apel la decizie.

Mai mult, spectrul de aplicare al legii este larg: procedura de autorizare se aplică nu numai întregii rețele 5G, dar și rețelelor 3G și 4G, toate fiind definite ca infrastructuri de „interes național”. În consecință, se apreciază că proiectul de lege din România deviază de la principiile transparenței, predictibilității legislative, nediscriminării și proporționalității, care sunt principii fundamentale din Tratatul UE, ca și de la legislația aplicabilă în domeniul telecomunicațiilor.

În raport se mai menționează că la nivelul UE, statele membre și Comisia Europeană au convenit în luna ianuarie a a acestui an, asupra unui set comun de instrumente pentru atenuarea riscurilor legate de dezvoltarea rețelelor 5G. Setul de instrumente al UE stabilește o abordare comună, bazată pe o „evaluare obiectivă a riscurilor identificate și luarea unor măsuri proporționale de adresare a lor”. Măsurile ar trebui luate pe baza unei îmbinări echilibrate de criterii tehnice și nontehnice, obligații multi-furnizor și măsuri care să evite dependențele. Dacă măsurile merg până la excluderea anumitor operatori din cauza profilului lor de risc, acest lucru ar trebui în general să fie limitat la cele mai critice și sensibile părți ale rețelei 5G.

În acest context, alte state membre UE au ales astfel mijloace mai puțin restrictive pentru a proteja securitatea rețelelor lor 5G în vederea asigurării securității naționale. Guvernul german, de exemplu, a adoptat o abordare în conformitate cu principiile UE și cu setul de instrumente al UE. Recent, a adoptat un catalog de cerințe de securitate pentru funcționarea sistemelor de telecomunicații și de prelucrare a datelor și a datelor cu caracter personal. Acest catalog impune operatorilor de rețea diverse sarcini, inclusiv stabilirea măsurilor pentru garantarea integrității rețelei și a sistemelor de informații, respectarea principiului neutralității tehnologice, adoptarea măsurilor de protecție a datelor cu caracter personal și utilizarea componentelor critice certificate. Operatorii trebuie, de asemenea, să certifice faptul că furnizorii lor respectă și aceste cerințe.

În concluziile raportului se menționează astfel că sunt disponibile modalităţi mai puţin restrictive decât proiectul de lege din România, pentru atenuarea riscurilor de securitate. Acestea includ, de exemplu, stabilirea unor standarde şi verificări generale de securitate mai înalte, în mod ideal, prin intermediul standardelor comune la nivelul UE, consolidarea cerinţelor de interoperabilitate, angajamentele flexibile din partea operatorilor de reţele în ceea ce priveşte furnizorii multipli, localizarea capacităţilor de producţie, cerinţe în ceea ce priveşte stocarea locală, în special pentru date sensibile şi cerinţe pentru a respecta standardele de siguranţă ale produsului aplicabile local, precum şi controlul accesului şi gestionarea permisiunilor pentru diferite straturi de reţea.

Noile tehnologii necesită o reglementare prudentă şi flexibilă se subliniază în raport, care săţinând pasul cu tehnologiile în constantă evoluţie, fără a o împiedica. Având în vedere beneficiile extraordinare pentru companii şi consumatori, autorităţile de reglementare trebuie să calibreze cu atenţie orice reguli care vizează securitatea reţelelor 5G pentru a continua să promoveze excelenţa tehnologică şi să atragă investiţii importante din punct de vedere strategic.

Conform analizei Morgan Lewis, va fi critic pentru Comisia Europeană să asigure o abordare armonizată a securităţii cibernetice în întreaga UE şi să garanteze că prevalează bunele practici: o abordare europeană independentă a securităţii 5G, care este atât eficientă, cât şi proporţională cu riscurile specifice.