Avrupa Birliği’nin (AB) yürütme organı olan Avrupa Komisyonu, üye devletlerin özellikle telekomünikasyon ağlarında kritik bilgi ve iletişim teknolojisi (ICT) altyapısından “yüksek riskli” yabancı tedarikçileri kaldırmasını gerektirecek yeni siber güvenlik mevzuatı önerdi. Yenileme, siber tehditlere karşı savunmaları güçlendirmeyi ve blok genelinde kilit altyapı için güvenli tedarik zincirlerini sağlamayı amaçlamaktadır.
Teklif kapsamında, AB tedarikçilerin ortak risk değerlendirmelerini yapacak ve ulusal güvenlik endişesi oluşturan ekipman ve hizmetlere kısıtlamalar veya yasaklamalar getirebilir. Yeni kurallar, mobil ağlar, bulut hizmetleri, tıbbi cihazlar ve sınır güvenlik sistemleri dahil olmak üzere yaklaşık 18 kritik sektörü kapsayacak ve Komisyon’a üye devletler arasında risk değerlendirmelerini koordine etme yetkisi verecek.
Yasa, 2020’de sunulan ve üye devletlerin yasal bağlayıcı gereklilikler olmadan “yüksek riskli” olarak kabul edilen tedarikçilere bağımlılığı sınırlamalarını teşvik eden gönüllü bir çerçeve olan 5G Güvenlik Araç Kutusu gibi önceki AB çabalarının üzerine inşa ediliyor. Yetkililer daha önce bazı üçüncü ülke şirketlerinden gelen teknoloji ürünleriyle ilgili potansiyel riskler konusunda endişelerini dile getirmişti, ancak taslak metinde belirli firmaların adı geçmemiştir.
Telekomünikasyon operatörlerine ve diğer altyapı sağlayıcılarına yasa kapsamında tedarikçi listesi oluşturulduğunda, yüksek riskli olarak tanımlanan ekipmanları kaldırmak veya değiştirmek için geçiş dönemleri verilecek. Haber kuruluşları tarafından görülen önerilerde, üye devletlerin listenin yayınlanmasından sonra mobil ağlarda bu tür ekipmanları aşamalı olarak kaldırmak için 36 aya kadar süresi olacak.
Yenileme ayrıca, Avrupa Birliği Siber Güvenlik Ajansı (ENISA) için siber güvenlik sertifikasyon çerçevelerini ve rollerini belirleyen mevcut AB Siber Güvenlik Yasası’nı revize edecek ve ICT tedarik zincirlerini güvence altına alma çabalarının bir parçası olarak zorunlu tedarikçi kısıtlamalarını da içerecek şekilde genişletilecek.
Avrupa politika yapıcıları, bu değişiklikleri “teknolojik egemenliği” artırma ve yabancı hükümetlerle potansiyel bağları veya jeopolitik riske sahip dış tedarikçilere bağımlılığı azaltma çabalarının bir parçası olarak tanımladı. Destekçiler, kapsamlı risk değerlendirmeleri ve koordine önlemlerin siber saldırılara ve tedarik zinciri baskılarına karşı dayanıklılığı artıracağını savunuyor.
Planlanan yenilemeye eleştirmenler, potansiyel ticaret ve hukuki sonuçlar konusunda endişelerini dile getirdi; menşe ülkesine dayalı kısıtlamaların teknik risk kanıtlarına dayanmazsa Dünya Ticaret Örgütü kuralları kapsamında itiraz edilebileceğini belirttiler. Önerinin yasalaşmadan önce Avrupa Parlamentosu ve AB üye devletleri tarafından incelenmeli ve onaylanması gerekir.