Komisja Europejska zaproponowała we wtorek, by kraje członkowskie miały obowiązek wycofania się od dostawców sieci mobilnych z krajów trzecich, którzy zostaną uznani za stanowiących zagrożenie. Wcześniej KE określiła chińską firmę Huawei jako dostawcę „wysokiego ryzyka”.
Taka propozycja znalazła się w pakiecie cyberbezpieczeństwa, który zaprezentowano we wtorek. Jej zamiarem jest eliminacja dostawców produktów oraz usług, które mogłyby zostać wykorzystane przez państwa lub byty trzecie na przykład do działań szpiegowskich lub ataków w cyberprzestrzeni.
Takie niepokoje wywołują w Unii Europejskiej dostawcy sieci komórkowych z Chin. Pomimo że KE w przeszłości uznała firmy Huawei i ZTE za dostawców obarczonych ryzykiem, to wiele państw nadal korzysta z ich usług, ponieważ dotychczasowe działania KE miały charakter rekomendacji – nie były więc obowiązkowe dla państw członkowskich.
Rozległy katalog produktów objętych zakazem
Nowe prawo obejmie nie tylko dostawców sieci komórkowych, ale również tych, którzy dostarczają usługi i towary o zasadniczym znaczeniu, takie jak:
- skanery,
- pojazdy autonomiczne,
- systemy zasilania i magazynowania energii elektrycznej,
- systemy dostarczania wody,
- drony i systemy antydronowe,
- usługi przetwarzania w chmurze,
- sprzęt medyczny,
- półprzewodniki.
Źródło w KE podkreśliło, że ta lista pozostanie otwarta.
Polska na czele pod względem cyberincydentów
Jak napisała KE w komunikacie, w obecnej sytuacji geopolitycznej bezpieczeństwo łańcucha dostaw nie ogranicza się tylko do kwestii technicznego bezpieczeństwa produktów i usług.
Jest to również kwestia ryzyka powiązanego z dostawcą, w szczególności tego związanego z zależnościami i ingerencją z zewnątrz – podkreśliła Komisja Europejska.
Według danych KE w ciągu tygodnia, między 10 a 16 stycznia, zarejestrowano ponad 100 incydentów cybernetycznych w całej UE, z których większość miała miejsce w Polsce.
Według KE w 2025 roku przestępczość w cyberprzestrzeni spowoduje straty o wartości ponad 9 bilionów euro na całym świecie. Pięcioma najczęściej atakowanymi obszarami były: sektor publiczny, transportowy, cyfrowy, finansowy i przemysłowy.
Trzy lata na "oczyszczenie" sieci
Państwo trzecie może być uznane za niebezpieczne z perspektywy cyberbezpieczeństwa po dochodzeniu zainicjowanym na wniosek KE lub co najmniej trzech państw członkowskich. Od chwili stwierdzenia takiego zagrożenia państwa członkowskie będą dysponowały trzema latami na rezygnację z usług firm pochodzących z tych państw i odnalezienie alternatywnych dostawców.
Zgodnie z projektem, za kraje trzecie „wzbudzające obawy dotyczące cyberbezpieczeństwa” uznawane będą państwa mające związki z zaplanowanymi kampaniami cybernetycznymi, które nie posiadają niezależnych i demokratycznych metod kontroli.
W ramach pakietu cyberbezpieczeństwa KE zaproponowała również wzmocnienie Agencji UE ds. Cyberbezpieczeństwa (ENISA). Otrzyma ona budżet powiększony o 75 proc. oraz uprawnienia w zakresie certyfikacji oraz wspierania państw członkowskich.
Ministerstwo Cyfryzacji ogłosiło w marcu 2025 r., że Polska nie wprowadzi zakazu ani ograniczenia w użytkowaniu sprzętu Huawei w sieciach telekomunikacyjnych. Sprzęt ten jest używany w polskich sieciach 5G, a około 60 proc. infrastruktury sieci 4G w Polsce pochodzi od chińskiego dostawcy.
Z Brukseli Magdalena Cedro (PAP)
mce/ zm/