Jeśli myślicie, że technologia może rozwiązać problemy bezpieczeństwa, to nie rozumiecie ani tych problemów, ani samej technologii” – napisał Bruce Schneier, światowy autorytet w dziedzinie bezpieczeństwa nowoczesnych technologii, w swojej książce „Secrets and Lies” (Sekrety i kłamstwa).
Warto o tych słowach pamiętać, przyglądając się próbie regulacji sieci telekomunikacyjnych piątej generacji. Mam tu na myśli m.in. projekt rozporządzenia ministra cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa i integralności sieci lub usług. Podstawą dla tego rozporządzenia jest art. 175d prawa telekomunikacyjnego.
5G nie jest rewolucją. To reakcja na potrzebę klientów, którzy chcą przesyłać coraz więcej informacji. 5G zwiększa szybkość transmisji, zmniejsza opóźnienia i pozwala działać większej liczbie urządzeń blisko siebie.
Przy budowie sieci UMTS (3G) czy LTE (4G) europejskie rządy nie wpływały na wybór dostawców urządzeń. Dyrektywa NIS 2016/1148 wyłącza ze swojego zakresu sieci telekomunikacyjne, uznając regulacje dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej za wystarczające.
Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych są przedmiotem regulacji w Polsce od ponad 7 lat zgodnie z rozdziałem IIIa art. 13a i 13b dyrektywy 2002/21/WE. Dotyczy to także standardu 5G.
W art. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia r. w sprawie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych wskazano, że zostało ono wydane „z myślą o zapewnieniu prawidłowego funkcjonowania rynku wewnętrznego”. Dopiero w drugiej części artykułu jest mowa o dążeniu do „wysokiego poziomu cyberbezpieczeństwa, cyberodporności i zaufania w Unii”. Warto zauważyć tę różnicę: prawidłowe funkcjonowanie rynku wewnętrznego ma być bezwzględnie zapewnione, a pozostałe cele muszą być poddane temu pierwszemu i stanowią proces ciągły.
Artykuł 5 rozporządzenia 2019/881 wśród zadań ENISA wskazuje „wydawanie niewiążących opinii, wytycznych i porad”, których celem jest pomoc państwom członkowskim przy wdrażaniu polityki i prawa Unii w dziedzinie cyberbezpieczeństwa w sposób jednolity, w szczególności w związku z dyrektywą NIS 2016/1148.
W Polsce to prawo telekomunikacyjne przewiduje uwzględnienie przez ministra cyfryzacji wytycznych ENISA w „rozporządzeniu 175d”. Ogólna wytyczna do rozporządzenia nie pozwala jednak na przyjęcie, że może ono ignorować wyłączenie przez dyrektywę NIS 2016/1148 sieci telekomunikacyjnych z jej zakresu.
Analizy wymaga też „Cybersecurity of 5G networks EU Toolbox of risk mitigating measures” (Toolbox) ze stycznia 2020 r. To dokument techniczny zawierający kalkulację ryzyk i warianty zarządzania nim. Treść Toolboxa jest ocenna i uznaniowa. Celem jest identyfikacja możliwych wspólnych narzędzi. Opracowanie wspólnych europejskich instrumentów bezpieczeństwa sieci 5G zostało wskazane jako coś, czym unijny prawodawca ma się dopiero zająć. Dlatego Toolbox powinien być traktowany jako zestaw niewiążących operatorów narzędzi, z których mogą, ale nie muszą korzystać, dokonując samodzielnej oceny ryzyk i je mitygując.
Omawianego zakresu dotyczą też regulacje prawa ochrony konkurencji i konsumenta. Artykuł 3 ust. 1 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji czynem nieuczciwej konkurencji określa działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża on lub narusza interes innego przedsiębiorcy lub klienta. Przykładem jest m.in. pomawianie lub nieuczciwe zachwalanie czy utrudnianie dostępu do rynku. Podważanie bezpieczeństwa towaru bez twardych dowodów będzie takim czynem. Prowadzone przez konkurenta może być uznane za czyn nieuczciwej konkurencji.
Polskie usługi telekomunikacyjne są bezpieczne i dobrej jakości. Utrzymanie tego stanu wymaga rozważnej regulacji, bez narażania konkurencji i z udziałem operatorów. Regulacja musi iść za harmonizacją europejską, bo skutkiem odmiennych wymagań krajowych może być opóźnienie technologiczne i podwyżka cen. Nie byłoby dobrze, gdyby zmiany polskiego prawa w obszarze cyberbezpieczeństwa zagroziły interesom konsumentów usług telekomunikacyjnych. Rozsądną drogą jest niedyskryminująca, szybka i przejrzysta certyfikacja, oparta na jednoznacznych kryteriach.