Ericson Scorsim. Doutor em Direito pela USP.  Sócio fundador do Escritório Meister Scorsim Advocacia. Advogado com foco no Direito da Comunicação, nas áreas de tecnologias, internet e mídia. Autor do livro Temas de Direito da Comunicação na jurisprudência do Supremo Tribunal Federal.

A Comissão da União Europeia definiu as regras de segurança cibernética das redes de telecomunicações na tecnologia 5G. Segundo a decisão denominada Secure 5G deployment in the EU – implement the EU toolbok existem riscos às redes de telecomunicações no 5G, razão para a necessidade de atenuação dos riscos em relação a estas infraestruturas críticas.[1] Dentre as categorias de riscos: desconfiguração das redes, falta de controle de acesso, baixa qualidade do produto, dependência de fornecedor único nas redes ou falta de diversidade de fornecedor nacional, interferência estatal na cadeia de fornecimento de 5G, exploração das redes de 5G por organizações criminosas, significativa disrupção das infraestruturas críticas ou serviços, falhas em massa das redes devido à interrupção do fornecimento de eletricidade ou outros sistemas de suporte, exploração da internet das coisas.

Assim, há regras para a segurança cibernéticas de redes de telecomunicações, a coordenação na padronização bem como certificação europeia, controle dos investimentos estrangeiros para proteção a cadeia de fornecimento de 5G, a instrumentos de defesa do comércio, regras de competitividade, compras públicas com critérios sobre aspectos de segurança das redes, programas de financiamento da produção de tecnologia 5G. Dentre as medidas estratégicas para a mitigação dos riscos: o fortalecimento das autoridades regulatórias nacionais para a proteção e desenvolvimento das redes 5G, bem como promover a diversificação de fornecedores para evitar a dependência de longo prazo de fornecedores de alto risco.  Como medidas táticas, o fortalecimento da segurança das redes de 5G, com a mensuração adequada dos riscos.

Assim, conforme a Comissão Europeia deve ser adotada medidas para:

1. fortalecimento dos padrões de segurança dos operadores de redes móveis (exemplo: controles de acesso restrito, regras de segurança das operações e monitoramento, limitações à terceirização da fabricação de funções específicas;
2. acesso ao perfil de risco dos fornecedores como consequência aplicação de restrições relevantes para fornecedores considerados de alto risco, incluindo-se a necessária exclusão de fornecedores como medida para mitiga risco, em relação a ativos definidos como críticos e sensíveis (ex: funções centrais da rede, gestão da rede e funções de acesso), em coordenação entre a União Europeia e estados-membros;
3. assegurar que cada operador de rede uma estratégia de fornecimento múltipla para evitar ou limitar maior dependência de um único fornecedor (ou fornecedores de similar perfil de risco), garantir o adequado equilíbrio de fornecedores no nível nacional e evitar a dependência de fornecedores considerados de alto risco, também incluindo a interoperabilidade entre equipamentos.

Além disto, a União Europeia, juntamente, com os estados membros, deve contribuir com:

1. a manutenção da diversidade e sustentabilidade da cadeia de fornecimento de tecnologia 5G para evitar dependência de longo prazo, inclusive com medidas para avaliação de riscos decorrentes de investimentos estrangeiros diretos que possam afetar ativos essenciais do 5G e evitar distorções no mercado de fornecimento do 5G devido a práticas de subsídios ou dumping;
2. a cooperação para fortalecimento da capacidade da União Europeia em relação à tecnologia 5G e pós-5G, utilizando-se programas e financiamento para facilitar a coordenação com os estados membros, em relação à padronização de determinados requisitos de segurança, bem como certificações,
3. assegurar a participação do grupo NIS com outros grupos;
4. a revisão periódica dos níveis de risco quanto à segurança do 5G;
5. medidas de monitoramento e avaliação das medidas toolbook;
6. a coordenação e apoio à execução das ações;
7. coordenação no nível europeu dos padrões de segurança dos equipamentos com os operadores das redes.

Mas, aos estados membros da União Europeia compete decidir pela exclusão ou não de fornecedor de alto risco nas redes de 5G. Deste modo, os estados membros poderão excluir a Huawei ou impor restrições à sua entrada no mercado do 5G. Em verdade, na Recomendação da Comissão Europeia denominada Cybersecurity of 5G networks de 26.3.2019 já há esta previsão: “This Recommendation shoul be without prejudice to the competences of the Member States regarding activities concerning public security, defence, national security ant the activities of the State in áreas of criminal law, including the right of the Member States to exclude providers or suppliers from their markets for national security reasons”.

As diretrizes de segurança estão detalhadas em documento do NIS Cooperation Group denominado Cybsersecurity of 5G networks EU toolbox osf risk mitigating measures.

Em síntese, as medidas de mitigação dos riscos consistem em:

1. poderes regulatórios;
2. terceiros fornecedores;
3. diversificação de fornecedores e;
4. sustentabilidade e diversidade da cadeia de valor e fornecimento do 5G.

Dentre as medidas técnicas:

1. segurança das redes – linhas básicas;
2. segurança das redes – medidas específicas;
3. padrões relacionados ao fornecimento de equipamentos;
4. resistência e continuidade das redes.

E, ainda, deve ser seguido o Cybersecurity Act de 2019.

[1] European Comission. Brussels, 29, 2020. Comunication from the comission to the european parliament, the Council, the European Economic and social Committee and the Committee of the regions. Secure 5G deployment in the EU – implementing the EU toolbok, 29.1.2020.