Proiectul de lege pentru implementarea 5G are nevoie de reguli clare si bine stabilite pentru a putea fi aplicat

Luni, 24 August 2020, ora 11:38
1261 citiri
Proiectul de lege pentru implementarea 5G are nevoie de reguli clare si bine stabilite pentru a putea fi aplicat
Foto: Hepta.ro

Ministerul Transporturilor, Infrastructurii si Comunicatiilor a publicat la inceputul lunii un proiect de lege privind adoptarea unor masuri referitoare la infrastructuri informatice si de comunicatii de interes national si conditiile implementarii retelelor 5G. Proiectul este asteptat de mai bine de un an de catre industria IT&C, dat fiind ca va reglementa modul de dezvoltare a tehnologiei 5G si este premergator licitatiei pentru nou spectru de frecvente.

Din pacate, si acest proiect a fost facut pe genunchi, fara consultarea companiilor din domeniu, menit doar sa bifeze un punct din lista de probleme care trebuie rezolvate.

Problema este ca preia automat anumite recomandari din Memorandumul pentru securitatea retelelor informatice incheiat intre Romania si SUA, ceea ce lasa loc interpretarilor subiective referitoare la companiile ce pot participa la dezvoltarea 5G. De asemenea, proiectul nu tine cont de prevederile setului comun de instrumente stabilit la nivelul Uniunii Europene, mai exact la masurile tehnice si la necesitatea de a avea o abordare individualizata pe parcursul procesului de autorizare a companiilor participante.

In actuala forma, proiectul permite interpretarea subiectiva a conditiilor, astfel incat competitori in procesul de furnizare a echipamentelor sa fie eliminati fara a avea motive reale si demonstrate. Razboiul comercial dintre SUA si China a dus la crearea unor acuzatii ale americanilor impotriva Huawei niciodata demonstrate, dar suficiente pentru o baza politica prin care producatorul de echipamente a fost restrictionat in accesul la servicii si aplicatii produse in SUA.

Mai exact, pe langa considerentele de ordin general, proiectul de lege emis de MTIC si pus in dezbatere publica pana pe 17 august, preia patru prevederi cuprinse si in Memorandumul 5G: producatorii de echipamente trebuie sa nu se afle sub controlul unui guvern strain, in lipsa unui sistem juridic independent, sa aibe o structura transparenta a actionariatului, sa nu aibe un istoric de conduita corporativa neetica si sa se supuna unui sistem juridic care impune practici transparente.

Huawei a demonstrat in mai multe randuri ca respecta cele patru prevederi, de la structura transparenta a actionariatului la absenta controlului guvernului din China asupra companiilor din grupul Huawei care activeaza in afara tarii si se supun legilor din tara in care activeaza. Dar o interpretare subiectiva ramane posibila in absenta unor reguli clare.

Modelul german

Un exemplu de abordare tehnica este cel al Germaniei, care are de asemenea un proiect de lege in dezbatere publica pentru implementarea tehnologiei 5G. Proiectul stabileste clar care sunt regulile ce trebuie respectate pentru functionarea retelelor de comunicatii, anunta functiile cheie ale sistemului si prezinta modul de implementare.

Spre exemplu, in gestionarea fluxurilor de voce si date mobile este necesara o functie de autentificare intre participant si retea, inclusiv o functie efectuata de un operator public de retea de comunicatii, care se bazeaza pe chei de criptare ce sunt controlate si autorizate de autoritatile germane. Inclusiv interceptarea convorbirilor este mentionata, iar aceasta poate fi realizata doar dupa procedura definita de lege si clasificata ca procedura-cheie.

Autoritatea nationala responsabila cu certificarea securitatii informatice a componentelor critice este Oficiul Federal pentru Securitatea Informatiilor (BSI). BSI este, de asemenea, responsabil pentru acreditarea nationala a agentiilor de testare in cadrul national de certificare a securitatii IT.

BSI, in colaborare cu Agentia Federala a Retelei, elaboreaza si publica orientari tehnice (TR) pentru retelele relevante din domeniul de aplicare al prezentei anexe. Acest TR contine cerinte de certificare pentru componentele cheie, inclusiv mediul de utilizare si cerintele de operare, care sunt cerinte prealabile pentru certificarea valida. In plus, acesta descrie cerintele pentru furnizarea de dovezi de certificare in cadrul european de certificare (CSA).

Agentia Federala a Retelei si BSI au elaborat in comun un document care enumera functiile-cheie ale retelei de telecomunicatii. Pe baza unei analize comune a riscurilor, BNetzA si BSI identifica si listeaza functiile cheie pe baza celei mai recente tehnologii.

Lista este actualizata in mod continuu, pe baza unei evaluari comune a BNetzA si BSI, in special in cazul in care premisa subiacenta se modifica. Rezultatele analizelor de risc nationale sau internationale, ar fi cele ale ENISA sau OAREC, sunt, de asemenea, luate in considerare aici.

Producatorii, asociatiile operatorilor publici de retele de telecomunicatii si asociatiile de furnizori de servicii de telecomunicatii disponibili in mod deschis ar trebui sa aiba posibilitatea de a-si exprima opiniile. Lista se publica in buletinul Agentiei Federale de Retea.

Conditiile pe care furnizorii de echipamente trebuie sa le respecte pentru a fi autorizati ca surse de aprovizionare cu echipamente:

* Sursa de aprovizionare (cu echipamente de retea) promite sa lucreze indeaproape cu clientul in domeniul tehnologiei de securitate, in special pentru a informa clientul cu privire la noile produse, noile tehnologii si actualizarile liniilor de produse existente in timp util.

* Sursa de furnizare garanteaza ca nu va transmite informatii despre relatia sa contractuala cu Utilizatorul sau cu oricare dintre institutiile Utilizatorului catre terti.

* Sursa de aprovizionare se angajeaza sa se asigure, prin masuri organizatorice si juridice, ca informatiile confidentiale ale utilizatorilor sau ale utilizatorilor nu vor fi transferate in strainatate sau achizitionate de agentii straine, fie din proprie initiativa, fie de catre terti.

* Sursa de aprovizionare garanteaza ca nu va transmite, din punct de vedere legal si de fapt, informatii confidentiale despre utilizator sau informatii confidentiale despre utilizator unei terte parti. In special, nu exista nicio obligatie de a divulga sau de a pune la dispozitia tertilor astfel de informatii in momentul depunerii declaratiei. Prezentul articol nu se aplica in cazul in care exista o obligatie legala de divulgare pentru a servi scopurilor investigatiilor penale, cu exceptia cazului in care o astfel de obligatie de divulgare se aplica agentiilor straine de informatii sau de securitate. In caz de incertitudine, sursa de furnizare isi specifica obligatiile legale de informare inainte de depunerea declaratiei.

* Sursa de aprovizionare se angajeaza sa notifice utilizatorul in scris imediat atunci cand nu este in masura sa garanteze respectarea in continuare a obligatiei declarate, in special atunci cand apare sau este identificata o necesitate sau o alta obligatie care il poate impiedica sa respecte obligatia declarata.

* Sursa de aprovizionare se angajeaza sa furnizeze informatii specifice cu privire la dezvoltarea produsului componentelor sistemului de securitate ale produselor sale in urma unei anchete.

* Sursa de aprovizionare se angajeaza sa investeasca numai personal de mare incredere in dezvoltarea si productia de componente critice ale sistemului de securitate.

* Declaratia privind sursa de aprovizionare este de acord sa aprobe si sa sprijine pe deplin inspectia de securitate si analiza de penetrare a produselor sale, in masura in care este necesar.

* Sursa de furnizare garanteaza ca produsele sale declarate nu contin vulnerabilitati instalate in mod deliberat si nu le vor instala ulterior si ca toate vulnerabilitatile neintentionate cunoscute au fost remediate sau vor fi remediate in viitorul apropiat si vor fi eliminate imediat.

* Sursa de aprovizionare se angajeaza sa notifice imediat utilizatorul cu privire la orice vulnerabilitati sau manipulari cunoscute si nou cunoscute, astfel incat sa se poata lua masuri timpurii pentru a limita si elimina posibilele consecinte ale defectelor de calitate. In cazul in care un producator obtine informatii care pot afecta siguranta si functionalitatea produselor sale sau pot afecta buna functionare a produselor, informatiile sunt comunicate imediat utilizatorului. In plus, producatorul promite sa ofere recomandari de solutie imediata.

* Sursa de aprovizionare declara daca si asigura in mod adecvat ca componentele critice nu au caracteristici tehnice care ar putea avea un impact abuziv asupra securitatii, integritatii, disponibilitatii sau functionalitatii infrastructurii critice (de exemplu, prin sabotaj, spionaj).

Proiectul de lege german are reguli mult mai clare si usor de urmat de catre furnizori si producatori. Proiectul MTIC va trebui refacut sau completat pentru a putea fi aplicat companiilor din industria de telecomunicatii.

Sursa: https://www.businesscover.ro/proiectul-de-lege-pentru-implementarea-5g-are-nevoie-de-reguli-clare-si-bine-stabilite-pentru-a-putea-fi-aplicat/

#proiect, #lege, #5g, #implementare, #reguli, #aplicare , #Stiri IT