Fińskie uregulowania w zakresie cyberbezpieczeństwa infrastruktury telekomunikacyjnej

W Finlandii od 1 stycznia br. obowiązują nowe przepisy wprowadzone do ustawy o usługach łączności elektronicznej, które określają m.in. wymagania w zakresie cyberbezpieczeństwa infrastruktury telekomunikacyjnej. Z kolei 8 marca br. fiński regulator Traficom zgłosił do Komisji Europejskiej, projekt rozporządzenia w sprawie kluczowych części sieci łączności, zgodnie z dyrektywą TRIS (UE) 2015/1535 ustanawiają procedurę, która nakłada na państwa członkowskie obowiązek powiadamiania Komisji o wszystkich projektach przepisów technicznych dotyczących produktów i usług społeczeństwa informacyjnego, przed ich przyjęciem w prawie krajowym.

Warto przyjrzeć się zmienionym i notyfikowanym przepisom fińskim oraz skonfrontować je z projektowanymi przepisami polskimi, z następujących powodów. Po pierwsze, Finlandia jest światowym pionierem w rozwoju technologii telekomunikacyjnych a fińska Nokia jest jednym z zaledwie kilku światowych dostawców infrastruktury 5G. Po drugie, w Finlandii wdrożenie sieci 5G jest już praktycznie zrealizowane. Po trzecie, podobne rozwiązania, stosowane są w innych krajach, choćby w Niemczech. Podkreślić także należy, że fińskie rozwiązania uwzględniają postanowienia tzw. 5G Toolbox.

Przede wszystkim, fińskie regulacje koncentrują się na sprzęcie używanym w krytycznych częściach sieci a nie na dostawcy, który dostarcza te elementy, czyli odwrotnie niż projektowane przepisy w Polsce. W Finlandii nie jest możliwe wydanie ogólnego zakazu dla „dostawców wysokiego ryzyka”. Za krytyczne części sieci uważa się funkcje oraz środki służące do zarządzania w istotnym zakresie siecią i ruchem w sieci oraz do ich kontroli.

Z przepisów oraz notyfikacji do KE nie wynika, aby radiowy dostęp do sieci (RAN) był objęty zakresem definicyjnym elementów i funkcji krytycznych sieci. W Polsce natomiast RAN w projektowanych przepisach jest uznawany za część krytyczną. Które dokładnie części sieci są krytyczne określi rozporządzenie wydane przez fińskiego regulatora i obecnie notyfikowane do KE.

Urządzenia nie powinny być używane w krytycznych częściach publicznej sieci łączności, jeśli istnieją przekonujące podstawy do podejrzeń, że używanie urządzenia mogłoby zagrozić bezpieczeństwu narodowemu lub obronie narodowej. Podejrzenia nie mogą posiadać charakteru spekulacji. Zagrożenia te polegają na umożliwieniu zagranicznemu wywiadowi działań, które mogłyby w sposób niekorzystny wpłynąć na bezpieczeństwo narodowe lub obronność. Muszą one być zagrożone w takiej sytuacji w sposób umożliwiający obcemu wywiadowi działania, które zakłóciłyby, sparaliżowały lub w inny sposób niekorzystnie wpływały na ważne interesy, podstawowe funkcje lub porządek demokratyczny Finlandii. Uregulowania fińskie całkowicie różnią się od polskich, gdzie w praktyce ograniczono się do powtórzenia zaleceń z Toolbox, bez podjęcia próby sformułowania własnych przesłanek, jak to zrobiono w Finlandii.

Używanie urządzenia może być zabronione tylko w ostateczności. Fiński regulator z własnej inicjatywy lub z inicjatywy innego uprawnionego podmiotu, może zobowiązać właściciela lub posiadacza sieci łączności do usunięcia urządzenia z krytycznych obszarów sieci. Przed podjęciem decyzji, organ regulacyjny powinien wysłuchać operatora i dać mu możliwości podjęcia działań naprawczych, zmierzających do wyeliminowania nieprawidłowości w częściach krytycznych sieci. Dopiero, gdy operator nie podejmie wymaganych działań w wyznaczonym terminie lub gdy podjęte działania okazały się nie wystarczające do wyeliminowania zagrożenia, może zostać wydana decyzją nakazująca usuniecie z sieci określonego sprzętu. W polskich projektowanych rozwiązaniach brak w ogóle możliwości podjęcia działań naprawczych.

Przed podjęciem decyzji fiński krajowy organ regulacyjny powinien zapewnić operatorom możliwość bycia wysłuchanym. Decyzji może zostać nadany rygor natychmiastowej wykonalności. Odwołujący się od decyzji może jednak poprzez wniesienie środka tymczasowego w postaci zabezpieczenia wstrzymać wykonalność decyzji. W polskich projektowanych przepisach nawet sąd nie może wstrzymać rygoru natychmiastowej wykonalności a posiedzenie sądu nie będzie jawne.

Zgodnie z przepisami, państwo wypłaca pełne odszkodowanie za urządzenie i elementy infrastruktury, które musiały zostać usunięte. Odszkodowanie jest wypłacane, jeśli urządzenie zostało oddane do użytku przed wejściem w życie przepisów, a w określonych przypadkach, także już po wprowadzeniu urządzenia po wejściu w życie przepisów. Odszkodowanie obejmuje rzeczywiste koszty usunięcia i wymiany urządzenia oraz inne koszty jak robociznę. Polskie przepisy nie przewidują żadnego odszkodowania.

Przepisy przewidują powołanie publiczno-prywatnego komitetu doradczego ds. bezpieczeństwa sieci, który już funkcjonuje. Gromadzi on przedstawicieli fińskich operatorów telekomunikacyjnych i stowarzyszenia branżowe oraz odpowiednie organy państwowe. W szczególności komitet wydaje zalecenia dotyczące definicji krytycznych części sieci, w sprawie środków ochrony bezpieczeństwa narodowego czy zmian w ustawodawstwie. Zalecenia komitetu nie posiadają niewiążącego charakteru. Polskie przepisy nie przewidują powołania takiego organu współpracy.

W Polsce trwają obecnie przygotowania do aukcji 5G oraz prace nad nowelą do ustawy o Krajowym systemie cyberbezpieczeństwa. Warto więc zastanowić się, czy nie skorzystać z fińskich rozwiązań, skoro tak wiele już udało się im już osiągnąć w bezpiecznym wdrażaniu i rozwoju 5G.

prof. dr hab. Maciej Rogalski