Bruksela przestaje sugerować, zaczyna wymagać. Komisja Europejska w zaprezentowanym pakiecie cyberbezpieczeństwa proponuje obowiązek rezygnacji z dostawców technologii pochodzących z państw trzecich uznanych za wysokiego ryzyka. To zasadnicza zmiana podejścia. Rekomendacje mają ustąpić twardemu prawu. W centrum uwagi znalazł się chiński gigant technologiczny Huawei, od lat wskazywany przez Brukselę jako podmiot obarczony podwyższonym ryzykiem.
Dotychczasowe działania Komisji Europejskiej wobec dostawców infrastruktury telekomunikacyjnej miały charakter niewiążący. Choć KE już wcześniej uznała firmy Huawei i ZTE za ryzykowne z punktu widzenia bezpieczeństwa, wiele państw członkowskich nie zdecydowało się na radykalne kroki. Powód był prosty. Brak prawnego przymusu oraz ogromne koszty ewentualnej wymiany infrastruktury.
Nowa propozycja ma to zmienić. Jeśli wejdzie w życie, państwa Unii Europejskiej będą zobowiązane do wycofania technologii dostarczanych przez firmy z krajów uznanych za problematyczne i to w jasno określonym horyzoncie czasowym.
Nie tylko sieci komórkowe
Zakres projektowanych regulacji wykracza daleko poza sektor 5G. Nowym prawem objęci mają zostać także dostawcy towarów i usług o krytycznym znaczeniu. Na liście znalazły się między innymi skanery, pojazdy zautomatyzowane, systemy zasilania i magazynowania energii elektrycznej, infrastruktura zaopatrzenia w wodę, drony i systemy antydronowe, usługi przetwarzania w chmurze, urządzenia medyczne oraz półprzewodniki. Jak podkreślają urzędnicy Komisji, katalog ten nie będzie zamknięty.
W komunikacie KE zaznaczono, że w obecnym krajobrazie geopolitycznym bezpieczeństwo łańcucha dostaw nie ogranicza się już wyłącznie do jakości technicznej produktów i usług. To również kwestia ryzyka związanego z dostawcą, jego zależnościami oraz potencjalną ingerencją zagraniczną.
Polska na pierwszej linii
Nowe propozycje Brukseli pojawiają się w momencie narastającej presji związanej z cyberzagrożeniami. Z danych Komisji Europejskiej wynika, że tylko w jednym tygodniu, między 10 a 16 stycznia, na terenie Unii odnotowano ponad 100 cyberincydentów. Większość z nich dotyczyła Polski.
Skala zagrożeń ma wymiar globalny. Według KE w 2025 roku cyberprzestępczość spowodowała straty przekraczające 9 bilionów euro. Najczęściej atakowane były sektory publiczny, transportowy, cyfrowy, finansowy oraz przemysłowy.
Państwo trzecie będzie mogło zostać uznane za ryzykowne po dochodzeniu wszczętym na wniosek Komisji Europejskiej lub co najmniej trzech państw członkowskich. Za kraje budzące obawy w zakresie cyberbezpieczeństwa uznawane mają być państwa powiązane ze skoordynowanymi kampaniami cybernetycznymi oraz takie, które nie posiadają niezależnych i demokratycznych mechanizmów kontroli.
Po formalnym stwierdzeniu ryzyka kraje UE będą miały trzy lata na wycofanie się z usług przedsiębiorstw pochodzących z tych państw i znalezienie alternatywnych dostawców.
Wzmocnienie ENISA
Elementem pakietu cyberbezpieczeństwa jest również wzmocnienie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa ENISA. Jej budżet ma wzrosnąć o 75 procent, a zakres kompetencji zostanie rozszerzony między innymi o certyfikowanie rozwiązań oraz bezpośrednie wspieranie państw członkowskich w reagowaniu na incydenty.
Na tym tle szczególnie wyraźnie rysuje się sytuacja Polski. Jeszcze w marcu 2025 roku Ministerstwo Cyfryzacji deklarowało, że nie planuje wprowadzania zakazu ani ograniczeń w stosowaniu sprzętu Huawei w sieciach telekomunikacyjnych. Dziś chiński dostawca jest obecny w polskich sieciach 5G, a około 60 procent infrastruktury 4G w kraju opiera się na jego rozwiązaniach.
Jeśli propozycja Komisji Europejskiej zostanie przyjęta, Warszawa stanie przed trudnym wyborem. Kosztowna i logistycznie skomplikowana wymiana infrastruktury albo otwarty spór z Brukselą. Jedno wydaje się pewne. Era miękkich zaleceń w europejskim cyberbezpieczeństwie dobiega końca.
