Am 22. Juni 2022 fand es statt Fide die Sitzung Regulatorische, geostrategische und wirtschaftliche Schlüssel des RD-Gesetzes 7/2022 zur 5G-Cybersicherheit. An der Diskussion teilgenommen: Lorenzo Avello Lopez (Stellvertretender Generaldirektor für Telekommunikationsregulierung), Elena aus der Vian Street (Technischer Berater der Abteilung für nationale Sicherheit – Kabinett des Regierungspräsidiums), José Angel Capote Molina (Direktor für Marketing und Netzwerkstrategie der Operators Business Unit bei Huawei Spanien) und Alberto Moreno Rebollo (Director of Regulation bei Telefónica Spain) mit der Moderation von Javier Fernandez-Samaniego (Managing Partner von Samaniego Law und Mitglied des Akademischen Rates von Fide).

Der Kern der Debatte war sowohl aufgrund der aktuellen Kriterien als auch der Bedeutung nicht nur für 5G-Betreiber und -Anbieter, sondern auch für 5G-Unternehmensnutzer und auch für diejenigen, die Endgeräte und Geräte vermarkten und vermarkten, um sich mit einem 5G-Netzwerk zu verbinden; die Verabschiedung des RD-Gesetzes 30/2022 zur Sicherheit von 7G-Netzen und -Diensten vom 2022. März 5, validiert vom Kongress im April 2022, und die Diskussion über seine zukünftige regulatorische Entwicklung durch das National Scheme of Security of 5G Networks and Services oder „Schema“.

Genau genommen drehte sich der erste Teil der Sitzung um die Form (Königliches Gesetzesdekret) und den Zeitpunkt der Genehmigung des RD-Gesetzes 7/2022 und das Zusammentreffen der Umstände außerordentlicher und dringender Not, die Artikel 86 der Verfassung für diese Regierung erfordert Lizenz. Diesbezüglich erklärte Elena de la Calle, dass die grundlegende Motivation für diese Tatsache, die im RD-Gesetz selbst enthalten ist, die erhebliche Zunahme des Risikos von Cyberangriffen aus geostrategischen Gründen war, die nach Ausbruch des Krieges eingetreten ist der Ukraine, der, wie er sich erinnerte, von vielen Experten als ein Krieg angesehen wird, der auch im fünften Einsatzbereich geführt wird, in dem ein Krieg geführt werden kann: dem Cyberspace. Aufgrund der besonderen Bedeutung von 5G-Netzen (die erstmals als gemeinsame Plattform für sehr unterschiedliche digitale Dienste dienen werden, auf die sich ein großer Teil der Gesellschaft verlassen wird), erforderte das Risiko von Cyberangriffen auf diese Netze Maßnahmen wie schnellstmöglich. Elena de la Calle betonte, dass das erhöhte Risiko von der Europäischen Agentur für Cybersicherheit (ENISA) und von verschiedenen Cybersicherheitsbehörden, sowohl in Europa als auch in Drittländern, insbesondere von CISA, der US-Behörde, hervorgehoben wurde. In Spanien wurde dieses erhöhte Risiko ebenfalls verifiziert und es wurde an der Umsetzung einer Reihe von Sicherheitsmaßnahmen und Empfehlungen gearbeitet, die die zuständigen Behörden aufgrund des Konflikts an ihre Referenzgemeinden gesendet haben. Lorenzo Avello fügte hinzu, dass trotz der plötzlichen Genehmigung des endgültigen Textes, der später zu einem Gesetzesentwurf zum RD-Gesetz wurde, die während der öffentlichen Konsultation von den verschiedenen Akteuren des Sektors geäußerten Meinungen herangezogen werden. Das gesamte Gremium war sich einig, dass der endgültige Text dem vorherigen Gesetzentwurf technisch überlegen ist.

Als nächstes erinnerte der Moderator daran, dass in derselben Woche (20. Juni 2022) die Frist für die Öffentliche Konsultation planen dass Lorenzo Avello bestätigte, dass es sich um eine allumfassende Verordnung für die Rechtsentwicklung mit sehr operativem und technischem Charakter handeln würde. Auf die Frage nach der gewissen Asynchronität, die sich aus den in den Bestimmungen festgelegten unterschiedlichen Fristen ergeben könnte (denken Sie daran, dass die DA3 die Möglichkeit festlegt, dass in 3 Monaten bestimmte Lieferanten als hohes Risiko eingestuft werden können, und dass jedoch die von der FD 3 festgelegte Frist zur Genehmigung der Die regulatorische Entwicklung beträgt 6 Monate - bis zum 30. September 2022 -), bestätigte, dass es wahrscheinlich ist, dass sich dieser 3-Monats-Zeitraum verzögern wird.

In Bezug auf die betrieblichen Aspekte des RD-Gesetzes kommentierte Lorenzo Avello eine wichtige Neuerung, die durch das RD-Gesetz eingeführt wurde, die logischere Verteilung der Verpflichtungen zwischen Betreibern, Anbietern und Unternehmensnutzern (Endgeräte und angeschlossene Geräte unterliegen keiner spezifischen Regulierung in Text, da es eine Verordnung gibt, die sie regelt). Ebenso stellte er fest, dass der ursprüngliche Text des vorläufigen Gesetzentwurfs den Netzbetreibern möglicherweise zu viel Verantwortung auferlege; wem es den Großteil der Sicherheitsverpflichtungen auferlegte. Die Podiumsteilnehmer waren sich einig, dass der neue Regulierungsrahmen besser auf die aktuelle Marktsituation reagiert.

In Bezug auf die Auswirkungen des RD-Gesetzes 7/2022 wies Alberto Moreno Rebollo darauf hin, dass seine Genehmigung aus Sicht der Betreiber den Bedürfnissen des Marktes entspricht. Seiner Meinung nach beinhaltet es eine ganzheitlichere Vision von Sicherheit, die besser an die Behandlung durch die Betreiber angepasst ist. Er fügte hinzu, dass das RD-Gesetz trotz seiner Neuheit keine wesentlich anderen Verpflichtungen zu denen hinzufügt, die bereits von Netzbetreibern in ihrem täglichen Betrieb übernommen werden. Am Beispiel von Sicherheitsrisikoanalysen wies er darauf hin, dass alle Betreiber diese seit Jahren regelmäßig durchführen; Vielleicht ist die Neuheit die Verpflichtung, sie der Verwaltung vorzulegen. Hinsichtlich der umstrittenen Unsicherheit über die eventuelle Einstufung eines Lieferanten als Hochrisikolieferant wies er darauf hin, dass die Auswirkungen dieser Einstufung grundsätzlich von der Abhängigkeit des Betreibers von ihm abhingen. Ein Risiko, das normalerweise von den Strategien und Eventualitäten der Betreiber vorhergesehen wird.

Lorenzo Avello intervenierte, um klarzustellen, dass das RD-Gesetz den Kriterien der Verhältnismäßigkeit folgt und den Grundsätzen der Ausgewogenheit und Mäßigung entspricht, die seine regulatorische Entwicklung inspiriert haben. Es kommt zu dem Schluss, dass es nicht darum geht, jemanden vom Markt zu verdrängen, denn auch wenn ein Anbieter als risikoreich eingestuft wird, darf er weiterhin am Markt teilnehmen; solange es keine Elemente der betrifft core des Netzwerks. Da es nicht um unmittelbare Bedrohungen (sondern um das Bedrohungsrisiko) geht, räumt die Regelung dem Betreiber in der einzigen Übergangsbestimmung eine angemessene Frist von 5 Jahren ab Qualifizierung als Risikolieferant ein, um ihn im kritischen Fall zu ersetzen Elemente des Netzwerks in Bezug auf die Funktionen des Kerns oder core des Netzwerks. 

José Ángel Capote Molina seinerseits lobte in Bezug auf die Existenz der besagten Möglichkeit in der Norm, einen Hochrisikolieferanten zu qualifizieren, den Wert der objektiven technischen Anforderungen bei der Bewertung des Risikos für die Netzwerksicherheit, obwohl er es formulierte ist deutlich geworden, dass Entscheidungen nach subjektiven Kriterien, wie etwa geopolitischen Aspekten oder der Bewertung subjektiver Umstände, die ein Lieferant besonders vorweist, Unsicherheit erzeugen können. Er erklärte, dass der Mangel an Transparenz und Objektivität, der subjektiven Kriterien inhärent ist, es Lieferanten erschweren kann, Entscheidungen über die Strategien zur Anpassung ihrer Tätigkeit an regulatorische Anforderungen zu treffen. Dies könnte dem ausgeklügelten Wettbewerbsgleichgewicht schaden, das die Branche auszeichnet.

In Bezug auf die „Tool Box“ der Europäischen Kommission, aus der diese regulatorischen Entwicklungen hervorgehen, erinnerten die Teilnehmer daran, dass, wie auch der vom Europäischen Rechnungshof erstellte Sonderbericht zum Einsatz von 5G gezeigt hat, deren Natur ist weiches Gesetz; wir haben es also nicht mit einem streng genommen normativen Instrument zu tun. Elena de la Calle wies darauf hin, dass die Tool Box mit dem Ziel der Harmonisierung der einschlägigen Vorschriften innerhalb der Europäischen Union den Mitgliedstaaten als Inspiration für die Entwicklung ihrer nationalen Vorschriften dienen soll. Er erinnerte daran, dass die Angelegenheit, wie in dem oben genannten Bericht angegeben, aus der Perspektive der nationalen Sicherheit behandelt wird (was nach Ansicht der Europäischen Kommission vernünftig erscheint), für die die Europäische Union keine Zuständigkeitsbefugnisse hat. Folglich wird die Form einer Toolbox angenommen, da die Union daran gehindert ist, Verordnungen zu erlassen, die ausschließlich den Mitgliedstaaten vorbehaltene Zuständigkeiten berühren. Die Arbeit an der Harmonisierung und dem Austausch bewährter Verfahren in der durch die NIS-Richtlinie geschaffenen Kooperationsgruppe, der die Mitgliedstaaten, die Europäische Kommission und die ENISA angehören, wird jedoch fortgesetzt.

Schließlich konzentrierte sich die Debatte auf zwei transzendente Aspekte des RD-Gesetzes: die Bestimmung strategischer Standorte und die Genehmigung des National Security Scheme für 5G-Netze und -Dienste. Zu ersterem, dessen Entscheidung durch den Nationalen Sicherheitsrat einer Frist unterliegt, die am 30. Juni endet; Lorenzo Avello wies darauf hin, dass bei der Bestimmung strategischer Standorte grundsätzlich kein expansives Kriterium beachtet und nicht alle kritischen Infrastrukturen einbezogen würden. Und, wie wir oben erwähnt haben, bestand er in Bezug auf das National Security Scheme auf seiner operativen und technischen Natur und erinnerte daran, dass der Großteil des regulatorischen Inhalts im RD-Law 7/2022 enthalten ist. Während der Sitzung wurde bestätigt, dass es aufeinanderfolgende Schemata geben wird, von denen das erste lediglich einen grundlegenden Charakter zur Festlegung von Kriterien hat, und dass das National Security Scheme eine echte und allumfassende regulatorische Weiterentwicklung des RD-Gesetzes sein soll.

Am Ende der Sitzung wurde angemerkt, dass während eines kürzlichen ENISA-Treffens in Athen angekündigt wurde, dass der Entwurf des zukünftigen europäischen Zertifizierungssystems im Bereich der 5G-Cybersicherheit, an dem derzeit gearbeitet wird, grundsätzlich vorbereitet werden könnte. und wenn keine Unannehmlichkeiten auftreten, bis April 2023.