Европейская комиссия (ЕК) намерена внести поправки в Закон о кибербезопасности (Cybersecurity Act), чтобы противостоять угрозам, исходящим от ИТ- и телекоммуникационного оборудования из третьих стран. Это потенциально вынудит страны-члены столкнуться с непростым вопросом, касающимся поставщиков вроде Huawei в их национальных сетях.
По утверждению ЕК, Европа сталкивается с постоянно усложняющимися гибридными атаками во всех сферах своей инфраструктуры. Обновленный Закон о кибербезопасности призван решить эту проблему посредством оценок рисков на уровне Союза, дополненных целенаправленными мерами по их смягчению, которые будут включать запрет на использование ИТ-компонентов от «поставщиков с высоким риском».
Предполагаемые сроки могут оставить странам-членам всего три года на вывод из эксплуатации не соответствующего требованиям оборудования.
Это рассматривается как решительный шаг Комиссии против тех стран-членов, которые годами отказывались принимать какие-либо меры в отношении поставщиков, признанных потенциальным риском для безопасности, и введение общеевропейских правил относительно того, каким компаниям и продуктам нельзя доверять.
В середине 2023 года бывший еврокомиссар Тьерри Бретон заявил, что телекоммуникационное оборудование от таких фирм, как Huawei и ZTE, должно быть запрещено на всей территории ЕС из-за опасений, что в технологиях могут быть бэкдоры, позволяющие Пекину удаленный доступ для шпионажа или нарушения работы сетей. Были анонсированы планы по выводу этого оборудования из внутренних сетей Комиссии.
В том же году стало известно, что Huawei поставила почти 60 процентов телекоммуникационного оборудования, используемого в сетях 5G Германии. Мегакорпорация выступила с ответной реакцией после того, как должностные лица ЕС назвали ее «поставщиком с высоким риском».
Huawei всегда решительно отрицала, что ее продукция представляет угрозу безопасности, хотя критики возражают, что китайское законодательство обязывает ее граждан и организации выступать в качестве негласных агентов государства, если поступит соответствующий приказ.
ЕК настаивает на включении в пересмотренный Закон о кибербезопасности нескольких ключевых положений: создание структуры для решения проблем безопасности цепочек поставок в критически важной инфраструктуре и упрощение общеевропейской системы сертификации кибербезопасности.
Комиссия также намерена укрепить Агентство Европейского Союза по кибербезопасности (ENISA) и сократить «ненужное административное бремя», связанное с реализацией директивы NIS2 по кибербезопасности (только два государства-члена соблюли срок транспонирования ее в национальное законодательство).
Что касается сетей 5G, ЕК заявляет, что законодательство «предусматривает поэтапный отказ от поставщиков с высоким риском в мобильных сетях», и это будет означать, что органы по оценке соответствия не смогут сертифицировать продукцию или услуги этих поставщиков.
Речь идет не только о телекоммуникациях: новый Закон о кибербезопасности, наряду с предстоящим Законом о разработке облачных технологий и искусственного интеллекта (CADA), будет касаться аспектов суверенитета и нетехнических рисков, по данным ЕК.
В предложенном законодательстве нет упоминания конкретных компаний, таких как Huawei, однако китайская техномашина поставляла инфраструктуру для телекоммуникационных сетей практически в каждой стране ЕС, поскольку она была одним из первых инвесторов в технологии и стандарты 5G.
Представитель Huawei сообщил изданию The Register: «Законодательное предложение об ограничении или исключении поставщиков не из ЕС на основании страны происхождения, а не фактических доказательств и технических стандартов, нарушает основополагающие правовые принципы ЕС — справедливость, недискриминацию и пропорциональность, а также его обязательства перед ВТО.
«Мы будем внимательно следить за дальнейшим развитием законодательного процесса и оставляем за собой все права для защиты наших законных интересов».
Huawei заявила, что продолжит предоставлять продукты и услуги в качестве легально действующей компании в Европе.
В предложенном Законе о кибербезопасности указано, что срок поэтапного вывода компонентов, поставляемых поставщиками с высоким риском, из коммуникационных сетей «не должен превышать 36 месяцев с момента публикации списка таких поставщиков».
Это выглядит амбициозно, и соблюдение этого требования не гарантировано. Например, Великобритания в 2020 году предписала удалить технологию Huawei из сетей 5G страны к концу 2027 года. BT, бывший государственный телекоммуникационный гигант, признала в 2024 году, что пропустила срок 2023 года по удалению оборудования Huawei из ядра своей сети.
Решение Великобритании о демонтаже и замене оборудования Huawei также упоминалось как фактор, по которому мобильные сети Великобритании входят в число худших в Европе по качеству обслуживания, поскольку это отвлекло средства от инвестиций в расширение и улучшение сетей 5G страны.
Гэри Барлет, технический директор по работе с государственным сектором в компании Illumio, занимающейся кибербезопасностью, предупредил, что последний шаг ЕК может также привести к фрагментации в глобальной телекоммуникационной экосистеме.
«Хотя усилия по достижению технологического суверенитета и защите критически важных сред понятны, чрезмерно изоляционистский подход может создать проблемы», — сказал Барлет The Register. «Фрагментация часто ограничивает сотрудничество и замедляет инновации, что затрудняет создание надежных, готовых к будущему сетей». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Robinson
