Koje će mrežne komponente i kada biti predmet procjene?
Komentare o predloženom Pravilniku poslali su Hrvatski Telekom, Huawei Technologies, Ericsson Nikola Tesla, Telemach i A1 Telekom
Hoće li u ime sigurnosti rizični proizvođači mrežne opreme, posebice one za 5G mobilne mreže, biti proganani iz Hrvatske ili će im se, pak, u većem dijelu, omogućiti nesmetano poslovanje u tom segmentu? Tako glasi pojednostavljeno pitanje na koje je trebao dati odgovor prijedlog pravilnika poslan prije mjesec dana u javno savjetovanje. Punim nazivom, riječ je o Nacrtu prijedloga Pravilnika o procjeni sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke komunikacijske mreže.
Takozvani 5G Toolbox
Njime je trebalo Europske sigurnosne propise i smjernice pretočiti u domaće propise, posebice one koje se tiču sigurnosti kritične infrastrukture i mobilne 5G mreže, a usmjerene su na sigurnost proizvoda iz trećih zemalja, takozvani 5G Toolbox. Ili konkretnije, koje su usmjerene na kineske proizvođače, ponajprije Huawei i ZTE. Naime, prijedlog Pravilnika, propisuje sigurnosna mjerila prema kojima bi se sigurnosni rizici trebali procjenjivati. Primjerice, u to spadaju: pravni sustav zemlje podrijetla opreme, prisutnosti ofenzivne kibernetičke politike u toj zemlji kojom se utječe na sigurnost ili javni poredak RH...
A da bi se uopće to procjenjivalo istovremeno, prijedlog Pravilnika navodi koji to dijelovi mrežne opreme predstavljaju sigurnosni rizik i podliježu sigurnosnoj procjeni te što će s dogoditi s opremom koja je već ugrađena, a sve spram EU direktiva i pravila o sigurnosti.
Kako nalaže procedura, prijedlog Pravilnika bio je na javnom savjetovanju. Savjetovanje je završeno u nedjelju, a zadnjih dana sručili su se komentari tvrtki kojih se to izravno tiče. Stiglo je ukupno 45 komentara, i to unatrag gledano – Hrvatskog Telekoma, Huawei Technologiesa, Ericssona Nikole Tesle, Telemacha, A1 Telekoma. Ono što je jasno iz prijedloga Pravilnika jest, da će Sigurnosno-obavještajna agencija – SOA, procjenjivati rizik spram mjerila rizika, a HAKOM provoditi mjere. Sve ostalo je, čini se spram komentara tvrtnente
stiglo je na prijedlog Pravilnika o procjeni sigurnosnog rizika proizvođača i dobavljača opreme za elektroničke
komunikacijske mreže ki, nejasno. ”Prijedlog Pravilnika izravno utječe na tvrtke, jer, operatore, primjerice, ovisno o opsegu obveza koje proizlaze iz prijedloga Pravilnika, može značajno koštati i utjecati na kvalitetu usluge”, navode u uvodnom komentaru A1.
Stoga je, pišu “potrebno prije svega pojasniti koje će sve mrežne komponente i u kojim slučajevima biti predmet procjene te sve navedeno uskladiti sa zahtjevima i odredbama EU dokumenata, poglavito u dijelu kibernetičke sigurnosti”. Naime, kritične mrežne komponente, podložne su procjeni rizika, dok se radijska pristupna mreža (RAN) definira kao sigurnosno osjetljiva mrežna komponenta i kao takva ne podliježe sigurnosnoj procjeni, navodi Pravilnik.
No, kako A1 traži pojašnjenje dijelova mrežne komponente, HT primjerice traži i dodatno pojašnjenje RAN-a: “S obzirom da je pod pojmom kritične mrežne komporadijska pristupna mreža (RAN) obuhvaćena samo u slučaju ako se upotrebljava ili namjerava upotrebljavati kao potpora sustavima kritičnih infrastruktura, molimo pojašnjenje radi li se o istom obuhvatu pojma radijske pristupne mreže (RAN)”. U komentarima Huaweija traže se dodatna pojašnjenje i o tome, primjerice, što sve spada u kritičnu infrastrukturu, ali i što je to ‘potpora’ inrastrukturi. “Ni to nije potpuno definirano”, kažu.
U Ericsson NT najkonkretniji
Komentari iz Ericssona Nikole Tesle su nakonkretniji te s tehničkog aspekta propituju upravo sigurnosne posljedice predloženog Pravilnika.
Ukratko, kada se radi o dijelovima mrežne opreme tvrde da je “jednako sigurnosno rizična, bilo da se radi o jezgrenom dijelu ili RAN-u”, te predlažu da se različite kategorije u koje su svrstane objedine, odnosno da se “izričito odredi da se postupak procjene sigurnosnog rizika provodi u odnosu na proizvođače i dobavljače kritičnih mrežnih komponenti te na proizvođače i dobavljače sigurnosno osjetljivih mrežnih komponenti”. Sve u svemu, prijedlog Pravilnika, očito nije dovoljno jasan akterima na tržištu.
Jesu li nedorečene odredbe namjerno tako sročene ne bi li se nekako svima ili nekima ‘izašlo u susret’, bit će jasnije krajem veljače. ❖
U nadležnosti Butkovićeva ministarstva
Krajem veljače trebalo bi biti gotovo izvješće koje bi trebali isporučiti sastavljači Pravilnika, a on je u nadležnosti Ministarstva mora, prometa i infrastrukture
komentara