Komisja Europejska zaproponowała radykalne zmiany w ustawie o cyberbezpieczeństwie mające na celu wzmocnienie kontroli dostawców technologii wysokiego ryzyka działających w UE. Decyzja ta następuje w związku ze wzrostem liczby cyberataków i utrzymującymi się od dawna obawami dotyczącymi zależności od firm z krajów postrzeganych jako zagrożenie dla bezpieczeństwa narodowego, przede wszystkim od firm chińskich, takich jak Huawei i ZTE.
Rosnące zagrożenia cybernetyczne zachęcają do działania
Cyberataki w całej UE stają się coraz częstsze i bardziej wyrafinowane. Najnowsze dane wskazują, że tylko w zeszłym tygodniu odnotowano około 150 incydentów, w tym związanych z oprogramowaniem ransomware, szpiegostwem i atakami na infrastrukturę krytyczną. Ten wzrost aktywności uwydatnia potrzebę bardziej skoordynowanego podejścia do zabezpieczania łańcuchów dostaw.
Bruksela przez lata wyrażała frustrację z powodu dobrowolnego charakteru zestawu narzędzi dotyczących bezpieczeństwa sieci 5G na rok 2020, który zachęcał państwa członkowskie do ograniczania korzystania z dostawców wysokiego ryzyka, ale nie wymagał od nich. Komisarz ds. technologii Henna Virkkunen wielokrotnie podkreślała, że dobrowolne środki nie wystarczą, ponieważ dostawcy wysokiego ryzyka w dalszym ciągu są zintegrowani z europejskimi sieciami 5G.
Nowe uprawnienia Komisji i ENISA
W zmienionych ramach Komisja będzie uprawniona do przeprowadzania ocen ryzyka na poziomie UE, co może prowadzić do ograniczeń lub zakazów stosowania sprzętu we wrażliwej infrastrukturze. Oceny uwzględnią kraj pochodzenia dostawcy i jego wpływ na bezpieczeństwo narodowe, chociaż proces ma w zasadzie pozostać neutralny w stosunku do kraju, co oznacza, że pod pewnymi warunkami kontrole mogą również podlegać firmom amerykańskim.
Znacznie rozszerzoną rolę będzie miała także Europejska Agencja ds. Bezpieczeństwa Cybernetycznego (ENISA). ENISA będzie wydawać wczesne ostrzeżenia o pojawiających się zagrożeniach, koordynować reakcje na poważne incydenty (takie jak ataki oprogramowania ransomware) we współpracy z Europolem i organami krajowymi oraz nadzorować unijny scentralizowany system zgłaszania incydentów.
Okres przejściowy i koszty zgodności
Komisja przyznaje, że wykluczenie dostawców wysokiego ryzyka będzie się wiązać z kosztami ekonomicznymi. Operatorzy telekomunikacyjni będą mieli kilka lat na odejście od tych dostawców, a Komisja obiecuje uprościć procedury certyfikacyjne i zmniejszyć obciążenia związane z przestrzeganiem przepisów dla przedsiębiorstw działających w wielu państwach członkowskich. Ten program upraszczania ma na celu zrównoważenie obaw związanych z bezpieczeństwem z rzeczywistością gospodarczą.
Przeszkody polityczne i opóźnienia w realizacji
Propozycja musi teraz przejść negocjacje z Parlamentem Europejskim i rządami UE, gdzie spodziewany jest opór stolic, które nie chcą oddać Brukseli kontroli nad decyzjami dotyczącymi bezpieczeństwa narodowego. Biorąc pod uwagę ten sprzeciw i złożoność wdrażania, jest mało prawdopodobne, aby zmieniona ustawa o cyberbezpieczeństwie została w pełni wdrożona w ciągu kilku lat.
Opóźnienie to stawia pod znakiem zapytania zdolność UE do skutecznego przeciwdziałania istniejącym ingerencjom zagranicznym w infrastrukturę krytyczną. Chociaż nowe ramy stanowią znaczący krok w kierunku wzmocnienia nadzoru nad cyberbezpieczeństwem, ich długoterminowa skuteczność będzie zależeć od szybkich i skoordynowanych działań państw członkowskich.
