GSMA i Connect Europe przeciwko nadregulacji w europejskim prawie CSA2 – argumenty obu stron

Regulacja CSA2 (Cybersecurity Act 2) to dokument szykowany przez Komisję Europejską, którego część mechanizmów bardzo przypomina polski projekt nowelizacji Krajowego Systemu Cyberbezpieczeństwa. Według dwóch największych organizacji zrzeszających operatorów telekomunikacyjnych, CSA2 może doprowadzić do poważnych problemów z działaniem sieci telekomunikacyjnych w Europie. 

Do Unii Europejskiej nie bez przyczyny przylgnęła łatka “nadregulatora”, instytucji, która lubi wprowadzać przepisy, które ograniczają, regulują, lub wręcz hamują niektóre działania biznesowe. Chociaż wiele przepisów ma u swojej podstawy całkiem zdrowe i rozsądne założenia, bywa, że prowadzi to do wylania dziecka z kąpielą. Obawy o to, że w tę właśnie stronę zmierza CSA2, wyraziły dwie duże organizacje: GSMA i Connect Europe.

Cel: bezpieczeństwo

U podłoża CSA2 leży troska o bezpieczeństwo infrastruktury telekomunikacyjnej. Trudno więc doszukać się tu złej woli. Bezpieczeństwo, w dość zawiłych realiach geopolityki lat 20-tych XXI wieku, zdaje się być towarem deficytowym. To Komisja Europejska z pewnością rozumie, gdyż jest to ważny czynnik polityczny. Gorzej z czynnikami technologicznym i finansowym.

Jak wskazują autorzy listu do KE, by zadbać o bezpieczeństwo, należałoby raczej skupić się na harmonizacji przepisów, uproszczeniu raportowania oraz przede wszystkim, przemyśleniu głównego, kontrowersyjnego mechanizmu CSA2, czyli wykluczenie Dostawców Wysokiego Ryzyka (DWR). Ten natomiast, jak wskazują autorzy listu, wiązać się będzie nie tylko z wielkimi kosztami, ale i problemami z dostępnością i wydajnością sieci.

Przyjrzyjmy się zatem argumentom; Komisji Europejskiej z jednej, oraz GSMA i Connect Europe z drugiej strony.

Argumenty KE

Głównym argumentem jest ochrona przed potencjalnym szpiegostwem lub sabotażem. Bruksela obawia się, że chińskie firmy, z racji tamtejszego prawa, mogą być zmuszone do współpracy z wywiadem ChRL, co stwarza ryzyko istnienia tzw. backdoorów w urządzeniach obecnych w europejskich sieciach. Twórcy podkreślają, że bezpieczeństwo to nie tylko parametry techniczne, ale także zaufanie do dostawcy i odporność łańcucha dostaw na naciski polityczne obcych rządów.

KE chce także zmniejszyć zależność od technologii z krajów autorytarnych. Uzależnienie infrastruktury krytycznej od jednego, zewnętrznego dostawcy jest postrzegane jako strategiczna słabość. Suwerenność technologiczna wydaje się być swoistym “europejskim buzzwordem” ostatniego roku, a nie inaczej będzie w 2026 roku.

Komisja podkreśla także konieczność ujednolicenia rynku. Obecna sytuacja, w której każde państwo stosuje inne zasady, tworzy „dziury” w bezpieczeństwie całej wspólnoty. Wiążące przepisy mają stworzyć jednolity standard bezpieczeństwa dla całej Unii.

Argumenty operatorów

Gigantyczne koszty to oczywiście najważniejsza krytyka wobec projektowanej regulacji. Wszelkie inne mają znaczenie drugorzędne, bo najważniejsze, jak zawsze, są ostatecznie pieniądze. A mówimy o naprawdę potężnych kwotach. Operatorzy (reprezentowani m.in. przez GSMA) ostrzegają, że przymusowy demontaż działającego sprzętu pochłonie miliardy euro (szacunki dla całej UE sięgają nawet 55 mld euro, chociaż KE mówi raczej o kwocie 3,4–4,3 mld euro rocznie przez okres trzech lat, zatem maksymalnie do niecałych 13 mld euro). To środki, które zamiast na innowacje, zostaną wydane na „wymianę tego samego na to samo”, jak argumentują autorzy listu. Krytycy zarzucają też, że definicja „dostawcy wysokiego ryzyka” jest mglista i oparta na przesłankach politycznych, a nie na twardych dowodach technicznych na nieprawidłowości w działaniu sprzętu.

Rzecz w tym, że taka operacja miałaby nie zawierać żadnej formy refundacji czy odszkodowań. Europejscy przedsiębiorcy podnoszą argument prawny – nakaz usunięcia legalnie kupionego i zainstalowanego sprzętu bez rekompensaty finansowej jest postrzegany jako naruszenie prawa własności i konstytucyjnych zasad (w Polsce np. art. 21 Konstytucji).

Innym argumentem jest wzrost cen usług dla konsumentów. Tu, przyznaję, jestem sceptyczny. Oczywiście, ceny wzrosną, bo operatorzy zwyczajnie koszty wymiany przesuną na ostatnie ogniwo, czyli konsumenta. Mogę przy tym założyć, że zrobią to ze stosowną “górką”, a pisząc to, jak tylko mogę staram się nie użyć terminu “zmowa cenowa”. Wejście CSA2 w obecnie proponowanej formie byłoby doskonałym wytłumaczeniem, wskazaniem “tej złej Unii”, co jest popularną narracją w Europie, jako winnej wyższych cen.

Autorzy listu podkreślają także, że skutkiem CSA2 byłoby… opóźnienie technologiczne, bo trzeba by było wymienić starzejącą się już technologię na taką samą, ale od innych dostawców. Tyle tylko, że wymiana przypadałaby na ciekawy czas. Technologia 5G już okrzepła, chociaż w wielu miejscach nadal nie jest osiągalna. Pod koniec tego roku prawdopodobnie ustandaryzowana zostanie już 6G, a to oznaczałoby, że w trzyletnim okresie wymiany sprzętu, narzuconym przez CSA2, rozwiązania 6G byłyby już osiągalne. To oznaczałoby więc nie opóźnienie, ale przyspieszenie technologiczne.

Sytuacja bez wyjścia?

Komisja Europejska, na ogólnym poziomie, zdaje się utożsamiać bezpieczeństwo z krajem pochodzenia produktu. Musimy pamiętać, że zmiany, które zaszły w światowej polityce, każą poddawać w wątpliwość nie tylko bezpieczeństwo sprzętu chińskiego, ale także amerykańskiego. Owszem, w telekomunikacji nie ma tego ostatniego dużo, przynajmniej nie w stacjach bazowych i antenach. W tym obszarze liczą się tak naprawdę ledwie cztery firmy, w tym dwie z Europy. W teorii, dałoby się więc zbudować europejską architekturę na europejskim sprzęcie. Pytanie tylko: czy to jest konieczne i czy się opłaca?

Być może lepszym rozwiązaniem byłaby współpraca w obszarze tworzenia rozwiązań telekomunikacyjnych., stworzenie standardów, reguł i certyfikacji. Zbudowanie ich wspólnie, razem z firmami chińskimi, europejskimi i amerykańskimi. Zachowanie kontroli operatora nad oprogramowaniem i wymuszenie na dostawcach uzyskania certyfikacji dla każdego urządzenia telekomunikacyjnego. To wymagałoby jednak politycznego porozumienia, a na to się nie zanosi.