Hoće li u ime sigurnosti rizični proizvođači mrežne opreme, posebice one za 5G mobilne mreže, biti proganani iz Hrvatske ili će im se, pak, u većem dijelu, omogućiti nesmetano poslovanje u tom segmentu? Tako glasi pojednostavljeno pitanje na koje je trebao dati odgovor prijedlog pravilnika poslan prije mjesec dana u javno savjetovanje. Punim nazivom, riječ je o Nacrtu prijedloga Pravilnika o procjeni sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže.

Takozvani 5G Toolbox

Njime je trebalo Europske sigurnosne propise i smjernice pretočiti u domaće propise, posebice one koje se tiču sigurnosti kritične infrastrukture i mobilne 5G mreže, a usmjerene su na sigurnost proizvoda iz trećih zemalja, takozvani 5G Toolbox. Ili konkrenije, koje su usmjerene na kineske proizvođače, ponajprije Huawei i ZTE. Naime, prijedlog Pravilnika, propisuje sigurnosna mjerila prema kojima bi se sigurnosni rizici trebali procjenjivati. Primjerice, u to spadaju: pravni sustav zemlje podrijetla opreme, prisutnosti ofenzivne kibernetičke politike u toj zemlji kojom se utječe na sigurnost ili javni poredak RH… A da bi se uopće to procjenjivalo istovremeno, prijedlog Pravilnika navodi koji to dijelovi mrežne opreme predstavljaju sigurnosni rizik i podliježu sigurnosnoj procjeni te što će s dogoditi s opremom koja je već ugrađena, a sve spram EU direktiva i pravila o sigurnosti.

Kako nalaže procedura, prijedlog Pravilnika bio je na javnom savjetovanju. Savjetovanje je završeno u nedjelju, a zadnjih dana sručili su se komentari tvrtki kojih se to izravno tiče. Stiglo je ukupno 45 komentara, i to unatrag gledano – Hrvatskog Telekoma, Huawei Technologiesa, Ericssona Nikole Tesle, Telemacha, A1 Telekoma.

Ono što je jasno iz prijedloga Pravilnika jest, da će Sigurnosno-obavještajna agencija – SOA, procjenjivati rizik spram mjerila rizika, a HAKOM provoditi mjere. Sve ostalo je, čini se spram komentara tvrtki, nejasno.

“Prijedlog Pravilnika izravno utječe na tvrtke, jer, operatore, primjerice, ovisno o opsegu obveza koje proizlaze iz prijedloga Pravilnika, može značajno koštati i utjecati na kvalitetu usluge”, navode u uvodnom komentaru A1. Stoga je, pišu “potrebno prije svega pojasniti koje će sve mrežne komponente i u kojim slučajevima biti predmet procjene te sve navedeno uskladiti sa zahtjevima i odredbama EU dokumenata, poglavito u dijelu kibernetičke sigurnosti”.

Naime, kritične mrežne komponente, podložne su procjeni rizika, dok se radijska pristupna mreža (RAN) definira kao sigurnosno osjetljiva mrežna komponenta i kao takva ne podliježe sigurnosnoj procjeni, navodi Pravilnik. No, kako A1 traži pojašnjenje dijelova mrežne komponente, HT primjerice traži i dodatno pojašnjenje RAN-a: “S obzirom da je pod pojmom kritične mrežne komponente radijska pristupna mreža (RAN) obuhvaćena samo u slučaju ako se upotrebljava ili namjerava upotrebljavati kao potpora sustavima kritičnih infrastruktura, molimo pojašnjenje radi li se o istom obuhvatu pojma radijske pristupne mreže (RAN)”.

U komentarima Huaweija traže se dodatna pojašnjenje i o tome, primjerice, što sve spada u kritičnu infrastrukturu, ali i što je to ‘potpora’ inrastrukturi. “Ni to nije potpuno definirano”, kažu.

U Ericsson NT najkonkretniji

Komentari iz Ericssona Nikole Tesle su nakonkretniji te s tehničkog aspekta propituju upravo sigurnosne posljedice predloženog Pravilnika. Ukratko, kada se radi o dijelovima mrežne opreme tvrde da je “jednako sigurnosno rizična, bilo da se radi o jezgrenom dijelu ili RAN-u”, te predlažu da se različite kategorije u koje su svrstane objedine, odnosno da se “izričito odredi da se postupak procjene sigurnosnog rizika provodi u odnosu na proizvođače i dobavljače kritičnih mrežnih komponenti te na proizvođače i dobavljače sigurnosno osjetljivih mrežnih komponenti”.

Sve u svemu, prijedlog Pravilnika, očito nije dovoljno jasan akterima na tržištu. Jesu li nedorečene odredbe namjerno tako sročene ne bi li se nekako svima ili nekima ‘izašlo u susret’, bit će jasnije krajem veljače.