Тековната дебата во Европската унија за тоа како наједекватно и на соодветен начин да се обликува и заштити сигурната имплементација на 5G технологијата во домашното законодавство на ЕУ и земјите-членки, стигна до државите кои аплицираат за пристапување во Европската унија. Најнов пример е Северна Македонија, која предложи две нови мерки според својот Закон за електронски комуникации, кои настојуваат да се ограничи или исклучи употребата на опрема од таканаречените провајдери на телекомуникациски мрежи, кои се класифицирани како „високоризични“.
Предлозите на Северна Македонија обезбедуваат, најпрвин, методологија за проценка на ризикот што овозможува исклучување на снабдувачите поради заштита од националните безбедносни ризици и ризици што произлегуваат од присуството на добавувачи од трети земји во синџирот на снабдување. Второ, исклучувањето не се однесува само за добавувачите на опрема за критичните делови на 5G мрежата, туку и за добавувачите на опрема за широкиот спектар на делови од фиксната и мобилната телекомуникациска мрежа, вклучувајќи ги и претходните генерации, кои се предложени во нацрт-листата на критични компоненти и чувствителни делови.
Северна Македонија е една од земјите-членки на НАТО која во октомври 2020. година потпиша потпиша меморандум за разбирање со Соединетите држави за безбедноста на 5G технологиите, врз основа на кој Македонија се обврзува да работи само со „сигурни“ провајдери на 5G мрежи. Како резултат на тоа, предложените ограничувања ја истакнуваат тензијата помеѓу почитувањето на законите и принципите на ЕУ, од една страна, и политичките размислувања, од друга страна.
Во април 2021 година, македонското Собрание ги усвои измените и дополнувањата на Законот за електронски комуникации, со кои се пропишува дека Националниот центар за одговор на компјутерски инциденти заедно со Агенцијата за електронски комуникации (АЕК), треба периодично да вршат проценка на профилите на ризик на сите релевантни провајдери и производители на критична мрежна опрема на национално ниво, врз основа на информациите доставени од мрежните оператори. Во случаите кога, според проценката на ризик, одредени провајдери и производители се сметаат за „висок ризик“, АЕК може да им наметен на мрежните оператори обврска да ги ограничат или исклучат таквите провајдери и производители од набавката на опрема за критичните компоненти и чувствителните делови на елементите на мрежата.
Во август 2021 година, АЕК ги објави нацрт-текстовите, прво на методологијата за проценка на ризик, и второ, листата на чувствителни делови од мрежата и критичните мрежни компоненти за кои провајдерите подлежат на проценка на ризик. Јавната расправа на овие текстови е во тек и завршува на 3. септември, 2021 година.
Новите предлози следуваат кратко откако АЕК ги повика телекомуникациските оператори да го изразат својот интерес за учество на планираната аукција за распределба на фреквенции за 5G мрежите во јуни 2021 година.
Според нацрт-методологијата, четири фактори мораат да се земат во предвид при спроведување на проценкатас на ризик; односно, дали добавувачите и провајдерите на мрежна опрема
- се под надзор на странска влада без независна судска контрола;
- имаат јавно достапни информации за нивните основачи и деловни партнери, како и нивните органи за управување;
- ги поддржуваат иновациите и ги почитуваат авторските и сродните права, како и правата на интелектуална сопственост; и
- се финансираат на транспарентен начин, во согласност со најдобрите практики за набавка, инвестиции и склучување договори.
Нацрт-листата на критични компоненти и чувствителни делови на електронските комуникациски мрежи вклучува многу делови и компоненти преку фиксни и мобилни 5G комуникациски мрежи и мрежи од претходната генерација.
Според нацртите, предложените мерки имаат за цел за заштита на мрежата и опремата и ја спречуваат зависноста на мрежниот оператор од еден добавувач. Тие се дизајнирани и да заштитат од понатамошно дефиниран „ризик од вклучување трета земја во синџирот на снабдување со опрема за електронски комуникациски мрежи“ и, генерално од „ризиците по националната безбедност“.
Дискусија
Како и другите предлози за безбедностa на 5G мрежата и сајбер безбедностa во другите земји-членки на ЕУ и надвор од ЕУ, главното оправдување на Македонија е националната безбедност и потребата од заштита на критичната инфраструктура од влијанието на владите од трети земји.
Иако заштитата на националната безбедност останува привилегија на земјите -членки на ЕУ, земјите -членки се уште се обврзани да ги почитуваат и да ги почитуваат основните принципи на Транспарентноста, правната сигурност и пропорционалноста на Договорот за ЕУ. Овие принципи бараат ризиците за националната безбедност да бидат точно идентификувани од страна на земја -членка; дека мерките преземени за заштита на овие ризици се засноваат на јасни, транспарентни и објективни критериуми; и дека сите преземени мерки се строго пропорционални со целта што имаат намера да ја постигнат.
Иако заштитата на националната безбедност останува привилегија на земјите-членки на ЕУ, од државите членки и натаму се бара да ги почитуваат основните принципи на транспарентност, правна сигурност и пропорционалност од Договорот на ЕУ. Овие принципи бараат земјите-членки прецизно да ги идентификуваат ризиците по националната безбедност; мерките преземени поради заштита од овие ризици се засновани на јасни, транспарентни и објективни критериуми; и дека сите преземени мерки се строго пропорционални со целта што имаат намера да ја постигнат.
Исклучокот за национална безбедност според Договорот за ЕУ се толкува тесно и е достапен само ако постои вистинска и доволно сериозна закана која влијае на еден од основните интереси на општеството.
Во случај на нацрт-предлозите за Северна Македонија, природата на ризикот за националната безбедност не е дефинирана. Повикувањето на „ризикот од вклучување трета земја во синџирот на снабдување“ е исто така исклучително широко и донекаде несоодветно во светло на меѓународните синџири за снабдување за сите провајдери и производители на телекомуникациска мрежна опрема низ целиот свет. Меѓутоа, кога ризикот не е правилно дефиниран или само се споменува со генерички термини, мерката не може да биде соодветна за заштита од таков ризик.
Критериумите за оценување се исто така поставени многу неодредено. Не е јасно што претставува „надзор“ од странска влада и кои информации за „основачите и деловните партнери“ би требало да бидат јавни, бидејќи одредени информации ќе мора да останат чувствителни деловни информации кои не можат да бидат откриени на пошироката јавност, а уште повеќе на самите конкуренти.
Во секој случај, новите предлози имаат преширока примена: не се ограничени на 5G мрежите, туку опфаќаат долга листа на делови од сите (вклучувајќи ги и постојните) телекомуникациски мрежи и затоа имаат фактички ретроактивен ефект. Се чини дека не е обезбеден преоден рок и не се нуди процес во теко на кој на снабдувачот му се нуди да ги отстрани можните технички недостатоци. Всушност, постапката и зачестеноста на проценката на ризикот се целосно нејасни.
Како последица на тоа, предлозите на Северна Македонија отстапуваат од принципите на транспарентност, правна сигурност, недискриминација и пропорционалност, кои се основни принципи на Договорот за ЕУ и дел од важечкото законодавство во областа на телекомуникациите.
Пристапот на ЕУ е објективен, урамнотежен и базиран на ризик
На ниво на ЕУ, земјите-членки и Европската комисија во јануари 2020. година се согласија за заеднички сет на алатки (EU Toolbox) за ублажување на мерките на ЕУ. Сетот алатки на ЕУ утврдува заеднички пристап базиран на „објективна проценка на идентификуваните ризици и пропорционални мерки за ублажување“ за справување со безбедносните ризици поврзано со имплементацијата на 5G. Мерките треба да се преземат врз основа на урамнотежената комбинација на технички и нетехнички критериуми, обврски за повеќе провајдери и мерки со кои се избегнуваат зависности. Доколку мерките одат до исклучување на одредени снабдувачи поради нивниот профил на ризик по оваа основа, тоа генерално би требало да се ограничи на најкритичните и чувствителните делови на 5G мрежите.
Предлозите на Македонија се однесуваат на телото за стандардизација на Европската унија ETSI и сетот алатки на ЕУ. Меѓутоа, повнимателниот преглед открива тежок избор, а не усвојување на пристапот на ЕУ. Критериумите за оценување се исклучиво нетехнички и ги покриваат мрежите од претходната генерација, на кои Европската унија воопшто не настојува да одговори. Во рамките на 5G мрежите, нацрт-листата на компоненти и чувствителни области оди подалеку од класификацијата на ЕУ и ги дефинира сите умерени и високо чувствителни области како „критични“.
Заклучок
Во согласност со основните принципи на правото на ЕУ, Европската комисија и земјите-членки на ЕУ го одобрија пристапот кој во целост е заснован на ризик, а земјите-членки треба да делуваат „со целосна почит кон отвореноста на внатрешниот пазар на ЕУ“. Нацрт-предлозите на Македонија во денешен облик отстапуваат од општите принципи на правото на ЕУ, како и заедничкиот пристап договорен на ниво на ЕУ. Само објективно, транспарентно, правично, а посебно пропорционално регулирање на 5G мрежите може да ја заштити националната безбедност од јасно идентификуваните ризици во согласност со правото на ЕУ.
Мерките на земјите-членки на ЕУ мораат да ги решат соодветно идентификуваните безбедносни проблеми и да бидат пропорционални на целта што сакаат да ја постигнат. Постојат помалку рестриктивни и уште поефикасни начини за ублажување на безбедносните ризици на мрежите, како што се воспоставување на заострени општи безбедносни стандарди и сертификати, зајакнати барања за интероперабилност, флексибилни обврски на повеќе провајдери од мрежни оператори, локализација на производствените капацитети, барања во врска со локалното складирање на посебни чувствителни податоци, барања за усогласување со локално применливите стандарди за безбедноста на производите, итн…
Новите технологии бараат претпазлива и флексибилна регулација, држејќи чекор со постојаната технолошка еволуција без да ја попречуваат. Со оглед на огромните придобивки за бизнисите и потрошувачите, регулаторите мора внимателно да ги калибрираат сите правила што се однесуваат на безбедноста на 5G мрежите, за да продолжат да ја промовираат технолошката извонредност и да привлечат стратешки важни инвестиции.
Од клучно значење за Европската унија е да го прошири својот хармонизиран пристап кон сајбер-безбедноста на земјите-пристапници и да гарантира дека ќе преовладува добрата практика: независен европски пристап кон безбедноста на 5G, кој е ефикасен и пропорционален со специфичните ризици што ги имаме – денес и утре во се попроширената Европска унија.