Тековната дебата во Европската унија за тоа како најадекватно да се обликува и заштити сигурната имплементација на 5G технологијата во домашното законодавство на членките на ЕУ, стигна до државите кои аплицираат за пристапување во Унијата. Најнов пример е Северна Македонија која предложи две нови мерки според својот Закон за електронски комуникации, кои настојуваат да се ограничи или исклучи употребата на опрема од провајдери на телекомуникациски мрежи кои се класифицирани како „високоризични“.
Предлозите на Северна Македонија обезбедуваат, најпрвин, методологија за проценка на ризикот што овозможува исклучување на снабдувачите поради заштита од националните безбедносни ризици и ризици што произлегуваат од присуството на добавувачи од трети земји во синџирот на снабдување. Второ, исклучувањето не се однесува само за добавувачите на опрема за критичните делови на 5G мрежата, туку и за добавувачите на опрема за широкиот спектар на делови од фиксната и мобилната телекомуникациска мрежа, вклучувајќи ги и претходните генерации, кои се предложени во нацрт-листата на критични компоненти и чувствителни делови.
Северна Македонија е една од земјите-членки на НАТО која во октомври 2020 година потпиша меморандум за разбирање со САД за безбедноста на 5G технологиите, врз основа на кој Македонија се обврзува да работи само со „сигурни“ провајдери на 5G мрежи. Како резултат на тоа, предложените ограничувања ја истакнуваат тензијата помеѓу почитувањето на законите и принципите на ЕУ, од една страна, и политичките размислувања, од друга страна.
Во април 2021 година, македонското Собрание ги усвои измените и дополнувањата на Законот за електронски комуникации со кои се пропишува дека Националниот центар за одговор на компјутерски инциденти заедно со Агенцијата за електронски комуникации (АЕК), треба периодично да вршат проценка на профилите на ризик на сите релевантни провајдери и производители на критична мрежна опрема на национално ниво, врз основа на информациите доставени од мрежните оператори. Во случаите кога, според проценката на ризик, одредени провајдери и производители се сметаат за „висок ризик“, АЕК може да им наметне на мрежните оператори обврска да ги ограничат или исклучат таквите провајдери и производители од набавката на опрема за критичните компоненти и чувствителните делови на елементите на мрежата.
Во август 2021 година, АЕК ги објави нацрт-текстовите на методологијата за проценка на ризик и листата на чувствителни делови од мрежата и критичните мрежни компоненти за кои провајдерите подлежат на проценка на ризик. Јавната расправа на овие текстови заврши на 3 септември. Новите предлози следуваат кратко откако АЕК ги повика телекомуникациските оператори да го изразат својот интерес за учество на планираната аукција за распределба на фреквенции за 5G мрежите во јуни 2021 година.
Според нацрт-методологијата, четири фактори мораат да се земат предвид при спроведување на проценката на ризик; односно, дали добавувачите и провајдерите на мрежна опрема
- се под надзор на странска влада без независна судска контрола;
- имаат јавно достапни информации за нивните основачи и деловни партнери, како и нивните органи за управување;
- ги поддржуваат иновациите и ги почитуваат авторските и сродните права, како и правата на интелектуална сопственост; и
- се финансираат на транспарентен начин, во согласност со најдобрите практики за набавка, инвестиции и склучување договори.
Нацрт-листата на критични компоненти и чувствителни делови на мрежите вклучува многу делови и компоненти преку фиксни и мобилни 5G комуникациски мрежи и мрежи од претходната генерација. Предложените мерки имаат за цел заштита на мрежата и опремата, ја спречуваат зависноста на мрежниот оператор од еден добавувач и генерално од „ризиците по националната безбедност“.
Дискусија
Како и другите предлози за безбедностa на 5G мрежата и сајбер безбедностa во другите членки на ЕУ и надвор од ЕУ, главното оправдување на Македонија е националната безбедност и потребата од заштита на критичната инфраструктура од влијанието на владите од трети земји.
Иако заштитата на националната безбедност останува привилегија на членките на ЕУ, земјите -членки се уште се обврзани да ги почитуваат основните принципи на транспарентноста, правната сигурност и пропорционалноста на Договорот за ЕУ. Исклучокот за национална безбедност според Договорот за ЕУ се толкува тесно и е достапен само ако постои вистинска и доволно сериозна закана која влијае на еден од основните интереси на општеството.
Во случај на нацрт-предлозите на Северна Македонија, природата на ризикот за националната безбедност не е дефинирана. Повикувањето на „ризикот од вклучување трета земја во синџирот на снабдување“ е исто така исклучително широко и донекаде несоодветно во светло на меѓународните синџири за снабдување за сите провајдери и производители на телекомуникациска мрежна опрема низ целиот свет. Меѓутоа, кога ризикот не е правилно дефиниран или само се споменува со генерички термини, мерката не може да биде соодветна за заштита од таков ризик.
Критериумите за оценување се исто така поставени многу неодредено. Не е јасно што претставува „надзор“ од странска влада и кои информации за „основачите и деловните партнери“ би требало да бидат јавни, бидејќи одредени информации ќе мора да останат чувствителни деловни информации кои не можат да бидат откриени на пошироката јавност, а уште повеќе на самите конкуренти.
Во секој случај, новите предлози имаат преширока примена: не се ограничени на 5G мрежите, туку опфаќаат долга листа на делови од сите (вклучувајќи ги и постојните) телекомуникациски мрежи и затоа имаат фактички ретроактивен ефект. Се чини дека не е обезбеден преоден рок и не се нуди процес во текот на кој на снабдувачот му се нуди да ги отстрани можните технички недостатоци. Всушност, постапката и зачестеноста на проценката на ризикот се целосно нејасни.
Како последица на тоа, предлозите на Северна Македонија отстапуваат од принципите на транспарентност, правна сигурност, недискриминација и пропорционалност, кои се основни принципи на Договорот за ЕУ и дел од важечкото законодавство во областа на телекомуникациите.
Пристапот на ЕУ е објективен, урамнотежен и базиран на ризик
На ниво на ЕУ, земјите-членки и ЕК во јануари 2020 година се согласија за заеднички сет на алатки (EU Toolbox) за ублажување на мерките на ЕУ. Овој сет утврдува заеднички пристап базиран на „објективна проценка на идентификуваните ризици и пропорционални мерки за ублажување“ за справување со безбедносните ризици поврзано со имплементацијата на 5G. Мерките треба да се преземат врз основа на урамнотежената комбинација на технички и нетехнички критериуми, обврски за повеќе провајдери и мерки со кои се избегнуваат зависности.
Предлозите на Македонија се однесуваат на телото за стандардизација на Европската унија ETSI и сетот алатки на ЕУ. Меѓутоа, повнимателниот преглед открива тежок избор, а не усвојување на пристапот на ЕУ. Критериумите за оценување се исклучиво нетехнички и ги покриваат мрежите од претходната генерација, на кои ЕУ воопшто не настојува да одговори. Во рамките на 5G мрежите, нацрт-листата на компоненти и чувствителни области оди подалеку од класификацијата на ЕУ и ги дефинира сите умерени и високо чувствителни области како „критични“.
Заклучок
Во согласност со основните принципи на правото на ЕУ, Европската комисија и земјите-членки на ЕУ го одобрија пристапот кој во целост е заснован на ризик, а земјите-членки треба да делуваат „со целосна почит кон отвореноста на внатрешниот пазар на ЕУ“.
Нацрт-предлозите на Македонија во денешен облик отстапуваат од општите принципи на правото на ЕУ, како и заедничкиот пристап договорен на ниво на ЕУ. Само објективно, транспарентно, правично, а посебно пропорционално регулирање на 5G мрежите може да ја заштити националната безбедност од јасно идентификуваните ризици во согласност со правото на ЕУ.
Мерките на земјите-членки на ЕУ мораат да ги решат соодветно идентификуваните безбедносни проблеми и да бидат пропорционални на целта што сакаат да ја постигнат. Постојат помалку рестриктивни и уште поефикасни начини за ублажување на безбедносните ризици на мрежите, како што се воспоставување на заострени општи безбедносни стандарди и сертификати, зајакнати барања за интероперабилност, флексибилни обврски на повеќе провајдери од мрежни оператори, локализација на производствените капацитети, барања во врска со локалното складирање на посебни чувствителни податоци, барања за усогласување со локално применливите стандарди за безбедноста на производите, итн…
Од клучно значење за Европската унија е да го прошири својот хармонизиран пристап кон сајбер-безбедноста на земјите-пристапници и да гарантира дека ќе преовладува добрата практика: независен европски пристап кон безбедноста на 5G, кој е ефикасен и пропорционален со специфичните ризици што ги имаме – денес и утре во се попроширената Европска унија.