Dziś Ministerstwo Cyfryzacji przeprowadzi konferencję uzgodnieniową rozporządzenia wdrażającego unijne wytyczne dotyczące bezpieczeństwa infrastruktury telekomunikacyjnej
Resort cyfryzacji jest bliski wydania przepisów o cyberbezpieczeństwie nowej sieci. Regulacje będą implementacją unijnych zasad bezpieczeństwa sieci telekomunikacyjnej piątej generacji (5G), czyli tzw. toolboxu, przyjętego przez Komisję Europejską w styczniu br. Ma on zapewnić państwom członkowskim UE i operatorom telekomunikacyjnym narzędzia do budowy i ochrony infrastruktury telekomunikacyjnej spełniającej najwyższe standardy bezpieczeństwa. Zgodnie z tym dokumentem kraje Unii muszą m.in. zaostrzyć wymogi bezpieczeństwa sieci 5G, wdrożyć procedury oceny ryzyka związanego z dostawcami sprzętu i oprogramowania do budowy sieci, a potem zastosować ograniczenia wobec tych producentów, którzy okażą się podmiotami generującymi ryzyko. Należy też wdrożyć strategie dywersyfikacji dostawców dla nowej sieci.
Podjęcie konkretnych kroków zapewniających cyberbezpieczeństwo pozostaje w gestii każdego kraju. Toolbox nie wskazuje żadnej firmy ani kraju jako ryzykownego partnera – choć jest w nim mowa o potencjalnym niebezpieczeństwie ze strony podmiotów wspieranych przez obce państwa i możliwości wyłączenia dostawców z dostępu do kluczowych zasobów (jak rdzeń sieci). Można się więc domyślać, że chodzi o Chiny i firmę Huawei. Zablokowania temu producentowi drogi do naszej sieci 5G oczekują Stany Zjednoczone.
Warszawa dotychczas działała w tych kwestiach kompromisowo, dostosowując się do realiów rynkowych. Budowa nowej sieci jest bowiem kosztowna, a wybór dostawców ograniczony – w Polsce operatorzy telekomunikacyjni mają do wyboru tylko Huaweia, Ericssona i Nokię.
Dlatego polska implementacja toolboxu jest dość ogólnikowa. Kluczowy paragraf 3 rozporządzenia „w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług” nikogo z nazwy nie wymienia. Stanowi zaś, że operator sieci 5G ma stosować tworzone dopiero rekomendacje o krajowym systemie cyberbezpieczeństwa; gwarantować „brak uzależnienia się od jednego producenta poszczególnych elementów sieci” i zapewnić „podwyższanie odporności na zakłócenia sieci i usług telekomunikacyjnych”.
To mówi najnowszy projekt rozporządzenia, z 22 kwietnia. Teoretycznie po dzisiejszym spotkaniu może zostać zmodyfikowany. – Prace nad rozporządzeniem są na ukończeniu i nie spodziewamy się już radykalnych zmian w jego treści – zapewnia jednak wiceminister cyfryzacji Wanda Buk.
Nieoficjalnie w branży mówi się, że do radykalnych zwrotów akcji dojść już nie powinno. Biorąc jednak pod uwagę ostatnie perypetie przepisów związanych z 5G, niczego nie można wykluczyć – także zaostrzenia kursu wobec Huaweia. – My jako dostawca technologii na pewno nie jesteśmy aktorem pierwszego planu, bo rozporządzenie dotyczy operatorów telekomunikacyjnych – mówi Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska. – Organizacje branżowe, w ramach których działamy, wyraziły swoje stanowiska w trakcie konsultacji. Teraz czekamy na rozwój wydarzeń. Liczymy, że zapisy rozporządzenia pozostaną niedyskryminujące i skupiające się na zagwarantowaniu minimalnych warunków bezpieczeństwa sieci – dodaje.
Czy zapewnienie bezpieczeństwa sieci 5G wymaga wykluczenia Huaweia lub innego dostawcy? – Tylko polski rząd z pomocą służb może dokonać oceny profilu ryzyka dostawców technologii 5G – zastrzega Izabela Albrycht, prezes Instytutu Kościuszki i przewodnicząca Komitetu Organizacyjnego Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC. – Zgodnie z zaleceniami KE poszczególne kraje mogą zadecydować o zastosowaniu ograniczeń dla dostawców wysokiego ryzyka. Może to obejmować niezbędne wyłączenia w celu skutecznego ograniczenia ryzyka – w odniesieniu do kluczowych obszarów infrastruktury, krytycznych funkcji czy zasobów – wylicza.
Zasady bezpieczeństwa sieci z rozporządzenia miałyby się znaleźć w decyzjach rezerwacyjnych na częstotliwości pod 5G. Taki zapis figurował w tarczy 3.0. przyjętej przez Sejm 30 kwietnia. Senacka komisja finansów publicznych wśród swoich poprawek do tarczy zarekomendowała wczoraj jego wykreślenie.