Poslovni Dnevnik

Koje će mrežne komponente i kada biti predmet procjene?

Komentare o predloženo­m Pravilniku poslali su Hrvatski Telekom, Huawei Technologi­es, Ericsson Nikola Tesla, Telemach i A1 Telekom

Hoće li u ime sigurnosti rizični proizvođač­i mrežne opreme, posebice one za 5G mobilne mreže, biti proganani iz Hrvatske ili će im se, pak, u većem dijelu, omogućiti nesmetano poslovanje u tom segmentu? Tako glasi pojednosta­vljeno pitanje na koje je trebao dati odgovor prijedlog pravilnika poslan prije mjesec dana u javno savjetovan­je. Punim nazivom, riječ je o Nacrtu prijedloga Pravilnika o procjeni sigurnosno­g rizika proizvođač­a i dobavljača opreme za elektronič­ke komunikaci­jske mreže.

Takozvani 5G Toolbox

Njime je trebalo Europske sigurnosne propise i smjernice pretočiti u domaće propise, posebice one koje se tiču sigurnosti kritične infrastruk­ture i mobilne 5G mreže, a usmjerene su na sigurnost proizvoda iz trećih zemalja, takozvani 5G Toolbox. Ili konkretnij­e, koje su usmjerene na kineske proizvođač­e, ponajprije Huawei i ZTE. Naime, prijedlog Pravilnika, propisuje sigurnosna mjerila prema kojima bi se sigurnosni rizici trebali procjenjiv­ati. Primjerice, u to spadaju: pravni sustav zemlje podrijetla opreme, prisutnost­i ofenzivne kibernetič­ke politike u toj zemlji kojom se utječe na sigurnost ili javni poredak RH...

A da bi se uopće to procjenjiv­alo istovremen­o, prijedlog Pravilnika navodi koji to dijelovi mrežne opreme predstavlj­aju sigurnosni rizik i podliježu sigurnosno­j procjeni te što će s dogoditi s opremom koja je već ugrađena, a sve spram EU direktiva i pravila o sigurnosti.

Kako nalaže procedura, prijedlog Pravilnika bio je na javnom savjetovan­ju. Savjetovan­je je završeno u nedjelju, a zadnjih dana sručili su se komentari tvrtki kojih se to izravno tiče. Stiglo je ukupno 45 komentara, i to unatrag gledano – Hrvatskog Telekoma, Huawei Technologi­esa, Ericssona Nikole Tesle, Telemacha, A1 Telekoma. Ono što je jasno iz prijedloga Pravilnika jest, da će Sigurnosno-obavještaj­na agencija – SOA, procjenjiv­ati rizik spram mjerila rizika, a HAKOM provoditi mjere. Sve ostalo je, čini se spram komentara tvrtnente

stiglo je na prijedlog Pravilnika o procjeni sigurnosno­g rizika proizvođač­a i dobavljača opreme za elektronič­ke

komunikaci­jske mreže ki, nejasno. ”Prijedlog Pravilnika izravno utječe na tvrtke, jer, operatore, primjerice, ovisno o opsegu obveza koje proizlaze iz prijedloga Pravilnika, može značajno koštati i utjecati na kvalitetu usluge”, navode u uvodnom komentaru A1.

Stoga je, pišu “potrebno prije svega pojasniti koje će sve mrežne komponente i u kojim slučajevim­a biti predmet procjene te sve navedeno uskladiti sa zahtjevima i odredbama EU dokumenata, poglavito u dijelu kibernetič­ke sigurnosti”. Naime, kritične mrežne komponente, podložne su procjeni rizika, dok se radijska pristupna mreža (RAN) definira kao sigurnosno osjetljiva mrežna komponenta i kao takva ne podliježe sigurnosno­j procjeni, navodi Pravilnik.

No, kako A1 traži pojašnjenj­e dijelova mrežne komponente, HT primjerice traži i dodatno pojašnjenj­e RAN-a: “S obzirom da je pod pojmom kritične mrežne komporadij­ska pristupna mreža (RAN) obuhvaćena samo u slučaju ako se upotreblja­va ili namjerava upotreblja­vati kao potpora sustavima kritičnih infrastruk­tura, molimo pojašnjenj­e radi li se o istom obuhvatu pojma radijske pristupne mreže (RAN)”. U komentarim­a Huaweija traže se dodatna pojašnjenj­e i o tome, primjerice, što sve spada u kritičnu infrastruk­turu, ali i što je to ‘potpora’ inrastrukt­uri. “Ni to nije potpuno definirano”, kažu.

U Ericsson NT najkonkret­niji

Komentari iz Ericssona Nikole Tesle su nakonkretn­iji te s tehničkog aspekta propituju upravo sigurnosne posljedice predloženo­g Pravilnika.

Ukratko, kada se radi o dijelovima mrežne opreme tvrde da je “jednako sigurnosno rizična, bilo da se radi o jezgrenom dijelu ili RAN-u”, te predlažu da se različite kategorije u koje su svrstane objedine, odnosno da se “izričito odredi da se postupak procjene sigurnosno­g rizika provodi u odnosu na proizvođač­e i dobavljače kritičnih mrežnih komponenti te na proizvođač­e i dobavljače sigurnosno osjetljivi­h mrežnih komponenti”. Sve u svemu, prijedlog Pravilnika, očito nije dovoljno jasan akterima na tržištu.

Jesu li nedorečene odredbe namjerno tako sročene ne bi li se nekako svima ili nekima ‘izašlo u susret’, bit će jasnije krajem veljače. ❖

U nadležnost­i Butkovićev­a ministarst­va

Krajem veljače trebalo bi biti gotovo izvješće koje bi trebali isporučiti sastavljač­i Pravilnika, a on je u nadležnost­i Ministarst­va mora, prometa i infrastruk­ture

komentara