”Proiectul de Lege privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național şi condiţiile implementării rețelelor 5G” se află în dezbatere publică până la data de 17 august și pot fi depuse comentarii pe site-ul Ministerului.

Propunerea de lege prevede că furnizorii de echipamente tehnologice 5G vor fi nevoiți să obțină o autorizație specială din partea Prim-Ministrului, pe baza unui aviz pozitiv din partea CSAT, în vedea „eliminării riscurilor la adresa securității naționale”. Cu toate acestea, dezbaterea se poartă și dincolo de aceste aspecte, în zona calității tehnice a rețelelor.

George Zhang, CEO al Huawei România, a vorbit în cadrul unei conferințe de presă despre zonele discutabile ale acestei legi care ar putea interzice Huawei participarea ca partener tehnic în implementarea 5G.

”Comunicăm foarte bine cu toți cei 4 operatori români și avem relații de colaborare foarte bune. Nu există semnale că operatorii ar vrea să schimbe providerul - au încredere în Huawei și vor avea încredere în Huawei”, a declarat George Zhang privind colaborarea cu operatorii locali.

Zhang a menționat că a trimis o solicitare către Ministerul Transporturilor, Infrastructurii și Telecomunicațiilor privind proiectul de lege. ”Dorim să avem două luni la dispoziție pentru a vorbi cu toată industria telecom. Vorbim de o lege care va avea impact pentru 10-20-30 de ani. Chiar și la o citire rapidă vedem că legea face referire doar la discuții politice și abordează foarte puțin măsurile tehnice”, a mai declarat CEO-ul Huawei.

Cum au făcut alții?

Dezbaterea privind implementarea 5G se poartă în mai multe țări, iar Germania este printre cele care au reușit să avanseze destul de mult procesul legislativ și să vină cu o lege completă privind selectarea furnizorilor, vorbind despre capacitățile tehnice și de analiza de securitate cibernetică făcută de specialiști.

Cum se diferențiază propunerea de lege din România de propunerea germană?

Guvernul german menționează în propunerea de lege publicată pe 11 august, aflată în dezbatere publică până pe 30 septembrie 2020, că planificarea și construirea rețelelor de comunicații trebuie să evite structurile unice, „utilizând componente de rețea și de sistem de la diferiți producători. Prin urmare, cel puțin două componente sau sisteme ale diferiților producători sunt utilizate în rețeaua centrală”.

Astfel, spun germanii, prin diversificarea furnizorilor se evită dependența de anumiți producători, dar și diversificarea responsabilității pentru o rețea strategică pentru viitorul țării în următorii 20-30 de ani.

Conform propunerii de lege, componentele implementate trebuie să fie independente unele de altele și să nu depindă de terți. „Funcțiile cheie ale rețelei și elementele de rețea nu ar trebui să se bazeze pe un singur furnizor de componente cheie”, mai menționează legea, care încurajează și folosirea de standarde deschise, cum ar fi Open RAN.

Cum asigură Germania securitatea rețelei?

Implementările 5G sunt esențiale pentru că aceste rețele de comunicații vor sta la baza dezvoltării economice din următorii ani și trebuie elaborate strategii stabile pentru următorii 20-30 de ani. Ca orice domeniu strategic, investițiile trebuie să vină la pachet cu o stabilitate legislativă.

În legea germană se menționează că autoritatea care va certifica securitatea informatică a componentelor critice este Oficiul Federal pentru Securitatea Informațiilor (BSI), un fel de CERT-RO de la noi. Tot BSI va certifica și agențiile de testare care vor verifica acele componente care vor ajunge în rețea.

Practic, BSI, împreună cu agenția federală a rețelelor vor elabora cerineț de certificare pentru componentele cheie, care vor fi respectate de toți furnizorii. Agențiile federale au elaborat și o serie de funcții cheie care vor fi verificate, iar lista e actualizată în permanență, iar dacă se adaugă componente cheie în rețea, ele trebuie raportate către BSI și apoi testate. De asemenea, alături de propunerea de lege, nemții au publicat și catalogul privind criteriile tehnice de îndeplinit pentru rețelele telecom.

Operatorii din Germania vor putea să implementeze funcții cheie doar după ce testele de securitate informatică vor fi efectuate de un organism de testare acreditat și certificate de un organism acreditat în conformitate cu Regulamentul UE 881/2019 (Cybersecurity Act).

În plus, legea germană ia în calcul și componentele care au fost integrate în rețele înainte de 2025, care nu au trebuit să treacă prin acest proces de certificare. De exemplu, dacă nemții vor avea componente necertificate, introduse în rețea înainte de 2025, operatorii și producătorii vor trebui să vină cu clarificări pentru a evita riscurile suplimentare de securitate.

Dacă vor fi componente care nu vor fi certificate până în 2025, acestea vor trebui înlocuite.

Legea germană menționează și un cod de conduită pentru sursa de aprovizionare de echipamente, astfel încât acești asă lucreze cu clienții în domeniul tehnologiei de securitate, în special pentru a informa clientul cu privire la noile produse, noile tehnologii și actualizările sale.

În plus, nemții cer furnizorilor de echipamente să garanteze că nu va transmite informații despre relația sa contractuală și că informațiile utilizatorilor nu vor fi transferate în străinătate sau achiziționate de agenții străine.

De asemenea, furnizorii de tehnologie care vor ajuta la implementarea 5G în Germania vor garanta că produsele nu conțin vulnerabilități instalate în mod deliberat (backdoors) și nu le vor instala ulterior și că toate vulnerabilitățile neintenționate au fost remediate sau vor fi remediate în viitorul apropiat. Furnizorii trebuie să se supună și testelor de penetrare făcute de specialiști pentru a verifica rețeaua.

Regulamentul UE

UE a decis realizarea unui set comun de instrumente, numit și 5G toolbox, care cuprinde măsuri de atenuare pentru a răspunde riscurilor de securitate legate de introducerea tehnologiei 5G. Astfel, statele membre ale Uniunii Europene au identificat riscurile și vulnerabilitățile la nivel național și au publicat o evaluare comună a riscurilor la nivelul UE.

Practic, statele membre au convenit să asigure că vor putea să restrângă, să interzică și/sau să impună cerințe și condiții specifice, în conformitate cu o abordare bazată pe riscuri, cu privire la punerea la dispoziție, implementarea și operarea echipamentelor de rețea 5G.

Întorcându-ne la Huawei, George Zhang a declarat că oricând compania este deschisă unui agreement de tipul ”no-backdoor” cu România.

Nemulțumirea Huawei vine din faptul că propunerea de lege nu arată care ar fi pașii pentru primirea avizului din partea CSAT.