fbTrack
REKLAMA
REKLAMA

Opinie

Czy przepisy prawa pozwalają na wykluczenie z powodu bezpieczeństwa producenta sprzętu 5G?

Bloomberg
W regulacjach UE trudno znaleźć postanowienia, które pozwalałyby na wykluczenie z rynku producenta sprzętu 5G tylko z powodu kraju pochodzenia.

W ostatnich miesiącach wiele mówi się i pisze o korzyściach wynikających z rozpoczęcia świadczenie usług w technologii 5G, podkreślając, że będzie to rewolucja technologiczna. Dla uruchomienie usług w technologii 5G konieczne jest rozdysponowanie częstotliwości w trybie postępowania aukcyjnego, które właśnie trwa. Do świadczenie usług w technologii 5G potrzebna jest także odpowiednia infrastruktura. We wszystkich dotychczas organizowanych postępowaniach selekcyjnych np. dotyczących technologii UMTS czy LTE, zmierzających do wyboru operatora, któremu przydzielone były częstotliwości niezbędne do świadczenia usług, nigdy nie były poruszana i regulowana kwestia związana z wyborem dostawcy infrastruktury niezbędnej do świadczenia usług telekomunikacyjnych. Po raz pierwszy, pojawiła się kwestia zapewnienia bezpieczeństwa technologii 5G w związku z tym z jakiego kraju pochodzi producent, którego sprzęt będzie wykorzystywany do budowy infrastruktury służącej do świadczenia usług w technologii 5G.

Na świecie infrastrukturę do technologii 5G dostarcza tylko kilku producentów (przykładowo w Europie - Nokia i Ericssona, a poza Europą chiński Huawei oraz ZTE, a także koreański Samsung). Odnośnie dostawców z Chin, toczy się obecnie dyskusja polityczna, czy sprzęt ten zapewnia bezpieczeństwo w korzystaniu z usług 5G przez obywateli i podmioty w UE, z uwagi na możliwy wpływ na ich producentów ze strony Chińskiego rządu. Niewątpliwie związane jest to z obecną sytuacją geopolityczną. Dotychczas jednak nie zostały przedstawione dowody, które wskazywałyby na sprzeczne z prawem czy zagrażające bezpieczeństwu postępowanie tych producentów. W związku z tym należy zauważyć, że dopóki konkretnemu producentowi infrastruktury nie zostanie udowodnione nieprawidłowego zachowania, będzie budzić poważne wątpliwości wprowadzanie ograniczeń dla sprzedaży jego produktów czy wręcz wykluczanie go z rynku, zarówno z punktu widzenia prawa unijnego, jak i międzynarodowego.

W Polsce prowadzone są prace nad przepisami, które umożliwiałyby wykluczenia takich producentów z dostawy sprzętu dla operatorów świadczących usługi 5G. Powstaje pytanie o dopuszczalność takich regulacji z perspektywy prawa UE oraz umów międzynarodowych. W UE istotną wartością jest bezpieczeństwo, które powinno być zapewnione zarówno na dla UE, jak i dla poszczególnych obywateli (art. 67 ust. 3 Traktatu o Funkcjonowaniu UE). Chodzi także o bezpieczeństwo świadczonych usług telekomunikacyjnych. W zakresie zapewnienia bezpieczeństwa w tym obszarze, obowiązuje w szczególności dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), a także rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (rozporządzenie 2019/881).

Zgodnie z art. 1 ust. 3 dyrektywy 2016/1148, wymogi dotyczące bezpieczeństwa i zgłaszania incydentów przewidziane w niniejszej dyrektywie nie mają zastosowania do przedsiębiorstw, które podlegają wymogom art. 13a i 13b dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (Dz. Urz. UE. L Nr 108, str. 33), ani do dostawców usług zaufania, którzy podlegają wymogom art. 19 rozporządzenia (UE) nr 910/2014. Postanowienia art. 13a i 13b dyrektywy 2002/21/WE zawarte są w rozdziale IIIa tej dyrektywy, który poświęcony jest właśnie bezpieczeństwu i integralności sieci i usług. Postanowienia rozdziału IIIa dyrektywy 2002/21/WE zostały zaimplementowane do nowego rozdziału VIIA polskiej ustawy Prawo telekomunikacyjne (p.t.) zatytułowanego Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych. Ustawa z dnia 16 listopada 2012 r. o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw (Dz. U. z 2012 r., poz. 1445) wprowadziła także w tym obszarze po art. 175 p.t. przepisy art. 175a-175e p.t.

Rozporządzenie 2019/881 z uwagi na swój charakter prawny obowiązuje bezpośrednio w Polsce. Szereg postanowień tego rozporządzenia dotyczy wydawania wytycznych przez ENISA. Zgodnie z art. 5 pkt 2 rozporządzenia 2019/881, ENISA przyczynia się do opracowywania i wdrażania polityki i prawa Unii poprzez pomoc państwom członkowskim przy wdrażaniu polityki i prawa Unii w dziedzinie cyberbezpieczeństwa w sposób jednolity, w szczególności w związku z dyrektywą (UE) 2016/1148, w tym za pomocą wydawania opinii, wytycznych, udzielania porad i najlepszych praktyk dotyczących takich zagadnień jak zarządzanie ryzykiem, zgłaszanie incydentów i wymiana informacji, jak również za pomocą ułatwiania wymiany najlepszych praktyk pomiędzy właściwymi organami w tym zakresie. Przepis art. 175d p.t. wprost zawiera odniesienie do wytycznych ENISA. Zgodnie z tym przepisem Minister właściwy do spraw cyfryzacji może określić, w drodze rozporządzenia, minimalne środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom, o których mowa w art. 175a ust. 1 i art. 175c ust. 1 p.t., jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług, biorąc pod uwagę wytyczne Komisji Europejskiej oraz ENISA w tym zakresie.

W styczniu 2020 r. Cooperation Group on Network and Information Security (NIS Cooperation Group) przygotował dokument Cybersecurity of 5G networks EU Toolbox of risk mitigation measures (Toolbox). NIS Cooperation Group została ustanowiona przez dyrektywę 2016/114. Zadania NIS Cooperation Group określa art. 11 tej dyrektywy. NIS Cooperation Group składa się z przedstawicieli państw członkowskich, Komisji Europejskiej i ENISA. Toolbox to opracowanie w zakresie kalkulacji ryzyk i zarządzania nimi, stosowane w korporacjach. Posiada charakter techniczny i organizacyjny ale z pewnością nie prawny. Określa potencjalne obszary ryzyk oraz środki zaradcze. Środki zaradcze dzieli na środki strategiczne (strategic measures) i techniczne (technical measures). Wśród 8 środków zaradczych (strategic measures) wymienia działania polegające na ocenie ryzyk związanych z konkretnym dostawcą i „zastosowanie restrykcji w stosunku do dostawcy uznanego za wysokiego ryzyka", włączając w to „niezbędne wyłączenia" w zakresie kluczowych zasobów („key assets") w celu skutecznego zarządzania ryzykiem. W dalszej części Toolbox podaje się przykłady key assets: core network functions czy access network functions. Ryzyka związane z danym dostawcą są niezwykle ogólnie opisane, bez określenia jasnych i sprawdzalnych kryteriów. Wśród kilku zdań poświęconych temu ryzyku wskazuje się m.in. na możliwość „wywierania wpływu na danego dostawcę przez dane państwo, zgodnie z jego systemem prawnym, w celu uzyskania dostępu do kluczowych elementów sieci". Powstaje cała lista pytań dotyczących tego w jaki sposób następowałaby weryfikacja tego rodzaju sytuacji, w oparciu o jakie kryteria, w oparciu o jakie dowody, jakie przysługiwałyby środki odwoławcze od takiej weryfikacji itd. Z pewnością podstawą takich ocen nie mogą być doniesienia medialne, czy kraj pochodzenia danego dostawcy, nie wspominając już o nazwach konkretnych dostawcach. Przyjęcie tylko jednego elementu z Toolbox, definiującego dostawcę jako wysokiego ryzyka, przykładowo że system prawny tego państwa nie gwarantuje, że nie będzie wywierany niedopuszczalny wpływ na dostawcę z tego kraju, będzie równoważne z podważeniem prawidłowego funkcjonowania całego systemu prawnego tego państwa i uznania, że także inne produkty i usługi innych przedsiębiorców z tego państwa mogą budzić zastrzeżenia. Innymi słowy wydaje się, że wprowadzenie tak sformułowanych postanowień Toolboxa do przepisów prawa wydaje się być zajęciem niezwykle karkołomnym o ile w praktyce ogóle niemożliwym. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 z dnia 19 marca 2019 r. ustanawiające ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii z dnia 19 marca 2019 r. (Dz. Urz. UE. L Nr 79I) (rozporządzenie 2019/452), w art. 1 ust. 1, ustanawia ramy monitorowania przez państwa członkowskie bezpośrednich inwestycji zagranicznych w UE ze względów bezpieczeństwa lub porządku publicznego. Przepis art. 2 pkt 1 rozporządzenia 2019/452 wyjaśnia, że „bezpośrednia inwestycja zagraniczna" oznacza wszelkiego rodzaju inwestycje inwestora zagranicznego dokonane w celu ustanowienia lub utrzymania trwałych i bezpośrednich powiązań między tym inwestorem zagranicznym a przedsiębiorcą lub przedsiębiorstwem, któremu udostępniany jest kapitał w celu prowadzenia działalności gospodarczej w danym państwie członkowskim, w tym inwestycje, które umożliwiają skuteczne uczestnictwo w zarządzaniu spółką prowadzącą działalność gospodarczą lub w jej kontrolowaniu. „Inwestorem zagranicznym", zgodnie z art. 2 pkt 2 rozporządzenia 2019/45, jest natomiast osoba fizyczna z państwa trzeciego lub przedsiębiorstwo z państwa trzeciego, które zamierzają dokonać lub dokonali bezpośredniej inwestycji zagranicznej. Z definicji tych wynika więc, że nie obejmują one swoim zakresem sprzedaży produktów wytworzonych w innym państwie trzecim, a które są sprzedawane na obszarze państwa członkowskiego UE, w szczególności w zakresie sprzętu wykorzystywanego do budowy infrastruktury 5G.

W regulacjach UE trudno więc znaleźć postanowienia, które pozwalałyby na wykluczenie z rynku z powodu kraju pochodzenia producenta sprzętu 5G, o ile nie narusza on przepisów prawa, co powinno być oczywiście udowodnione.

Wprowadzenie tego rodzaju regulacji, mogłoby być uznane także za sprzeczne z przepisami wydanymi przez Światową Organizację Handlu (WHO). W szczególności wskazać należy na Układ Ogólny w sprawie Taryf Celnych i Handlu (General Agreement on Tariffs and Trade, GATT), którego Polska jest stroną od 1967 r. Podstawową zasadą GATT jest obowiązek niedyskryminacji i równego traktowania. Oznacza to w praktyce prawo wszystkich krajów członkowskich GATT do równego traktowania i równych korzyści w stosunkach handlowych, bez przejawów dyskryminacji czy pozbawienia ich przywilejów udzielonych także innym partnerom zagranicznym. Co do zasady członek WHO nie może traktować towarów innego członka gorzej, niż traktuje towary z własnego terytorium. Zasadą GATT jest także zasada wzajemności, ustępstw i korzyści. Istota tej zasady polega na obowiązku wzajemności w zakresie przyznawanych przywilejów. W praktyce oznacza to, że przywileje przyznane produktom jakiegokolwiek państwa należy nadać także wszystkim innym członkom WHO. W przypadku więc, gdyby produkty z danego kraju miałyby być zakazane lub dozwolone jedynie w nieznacznych ilościach i na ograniczonych rynkach, a towary z innych państw trzecich nie miałyby podlegać tego rodzaju restrykcjom, decyzja taka mogłaby być podjęta tylko w szczególnie uzasadnionych przypadkach i wymagałaby szczegółowego uzasadnienia.

GATT przewiduje takie wyjątki, między innymi dotyczy to działań, które są podejmowane w celu zapewnienie bezpieczeństwa w przypadku poważnego kryzysu między państwami. Zgodnie z orzecznictwem WHO z „poważnym kryzysem" mamy do czynienia dopiero wtedy, gdy istnieje groźba konfliktu zbrojnego. Przykładowo w przypadku produktów z Chin, groźba takiego konfliktu z Chinami oczywiście nie występuje. Brak więc podstaw do skorzystania z tego wyjątku, dotyczącego zagrożenia konfliktem zbrojnym. Trudno dopatrzeć się także podstaw wśród innych wyjątków przewidzianych w GATT.

Wprowadzenie omawianych regulacji mogłoby być uznane także za sprzeczne z umowami międzynarodowymi.

W związku z brakiem podstaw prawnych do wprowadzenia tego rodzaju ograniczeń, przy jednoczesnej potrzebie zapewnienia mechanizmów kontroli i nadzoru w celu zapewnienia bezpieczeństwa zarówno dla obywateli korzystających z usług w technologii 5G, jak i zapewnienia bezpieczeństwa państwa, należałoby skorzystać z mechanizmów już funkcjonujących w innych krajach świata czy UE. Cele te mogą być zrealizowane poprzez mechanizmy kontroli produktów, w szczególności z wykorzystaniem systemu certyfikacji producentów i komponentów, w oparciu o regulacje funkcjonujące w tym obszarze już w UE oraz wypracowaną praktykę. Certyfikacja nie jest nowym rozwiązaniem i funkcjonuje już od dawna w świecie jako sprawdzone narzędzie weryfikacji bezpieczeństwa infrastruktury. Przykładem mogą być procedury i standardy certyfikacji i akredytacji prowadzone przez GSMA (GSM Association). Mogłyby one być także wykorzystane w procesie certyfikacji infrastruktury dla świadczenia usług w technologii 5G.

Ministerstwo Cyfryzacji przeprowadza obecnie konsultacje Założeń dostosowania polskiego prawa do wymogów Aktu o cyberbezpieczeństwie, które dotyczą modelu certyfikacji w Polsce. Certyfikację przewidują regulacje UE. W szczególności wskazać należy na rozporządzenie 2019/881, które określa jednolite europejskie ramy certyfikacji cybebezpieczeństwa. Reguluje w szczególności europejskie i krajowe programy certyfikacji oraz certyfikaty cyberbezpieczeństwa. Dotyczy uznawania europejskich systemów certyfikacji w zakresie cyberbezpieczeństwa. Formułuje zasadę, że certyfikat uzyskany w jednym z krajów UE jest honorowany przez inne kraje UE. Pozwala to uniknąć wielokrotnej certyfikacji danego produktu w różnych państwach. Zgodnie z tym rozporządzeniem, każde państwo członkowskie powinno wyznaczyć na swoim terytorium przynajmniej jeden krajowy organ ds. certyfikacji cyberbezpieczeństwa.

Zwrócić należy także uwagę na opracowania europejskich organów regulacyjnych i instytutów w omawianym zakresie. Przykładem może być opracowany przez niemieckich specjalistów z Federalnej Agencji oraz z Federalnego Urzędu Bezpieczeństwa Technologii Informatycznej Katalog Bezpieczeństwa Sieci Telekomunikacyjnych. W szczególności w przedstawionym modelu nie ma ograniczeń podmiotowych dla dostawców sprzętu infrastrukturalnego. Podstawą tego modelu jest nałożenie na dużych operatorów, obowiązku identyfikacji krytycznych obszarów swojej architektury sieciowej. W przypadku bowiem tych elementów infrastruktury należy zastosować wyższy poziom bezpieczeństwa. Z pewności jest to wartościowy materiał do dyskusji nad wypracowaniem odpowiednich mechanizmów certyfikacji sprzętu telekomunikacyjnego, co wydaje się być dobrym rozwiązaniem zapewniającym także realizację celów związanych z agendą bezpieczeństwa.

prof. n. dr hab. Maciej Rogalski jest wykładowcą w Uczelni Łazarskiego wspólnikiem kancelarii Rogalski i Wspólnicy

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA