Exclusivo Substituição de equipamentos da Huawei nas redes 5G anda a passo de caracol

Se for aprovada pelo Parlamento, a nova lei da cibersegurança determina que tem de ser feita uma nova avaliação ao uso de equipamentos de fornecedores de risco — como a Huawei foi classificada — nas redes de telecomunicações no prazo de 180 dias. Por agora, três fontes familiarizadas com o assunto relatam ao ECO que a substituição dos equipamentos tem progredido lentamente em relação aos objetivos, num contexto de incerteza sobre o que irá resultar da nova avaliação que está prevista.

A proposta de lei que estabelece o regime jurídico da cibersegurança, transpondo uma diretiva europeia já com atraso, foi aprovada no dia 3 de julho em Conselho de Ministros e reapresentada ao Parlamento, depois de a anterior ter caducado com a dissolução da Assembleia da República, encontrando-se em consulta pública. O Governo fez alguns ajustes ao documento, mas, no geral, manteve praticamente tudo o que estava na proposta inicial, que já tinha sido alvo de múltiplos pareceres na anterior legislatura.

Apesar de o diploma ser muito abrangente em matéria de cibersegurança, esta lei tem sido acompanhada com muita atenção no setor das comunicações eletrónicas. Um dos motivos é o facto de alterar o enquadramento da Comissão de Avaliação de Segurança (CAS), o organismo do Estado que em maio de 2023 decidiu proibir as operadoras de usarem nas suas redes equipamentos de certos fornecedores estrangeiros, quando estes se enquadrem num dos critérios previamente definidos.

Ao abrigo desta deliberação, por exemplo, empresas que estejam sedeadas em países que não pertençam à União Europeia, à OCDE ou à NATO podem ser impedidas de participar no desenvolvimento das redes 5G, por se entender que representam uma ameaça à cibersegurança nacional e europeia. A decisão das autoridades portuguesas enquadrou-se numa recomendação que a Comissão Europeia fez em janeiro de 2020, e que ficou conhecida por “5G Toolbox”.

Sabe-se que a empresa chinesa Huawei é a principal visada dessa medida, mais não seja porque a própria impugnou a deliberação da CAS em tribunal, considerando-a “ilegal”. Ao longo dos últimos anos, a tecnológica também tem negado as sucessivas acusações feitas por autoridades internacionais de que é um veículo de espionagem do regime comunista chinês. Importa recordar que o ECO apresentou um requerimento ao tribunal para aceder a esse processo, mas o pedido, entretanto repetido, continua sem qualquer provimento.

Ao que foi possível apurar, no ano passado, com base nos planos apresentados pelas operadoras, foi estipulado um novo calendário faseado para a substituição dos equipamentos, uma parte até 2027 e a totalidade até 2031, disse uma fonte ao ECO — o que, a confirmar-se, seria três anos depois do que estava originalmente previsto.

É também de conhecimento geral no setor que a Meo é a operadora que mais apostou em tecnologia da Huawei no desenvolvimento da sua rede 5G, em comparação com as suas principais concorrentes. Forçada a retirar os equipamentos considerados de risco, a operadora entregou a empreitada de rip and replace à Nokia, conforme noticiou a Reuters em maio de 2024 e confirmou também o ECO junto de quatro fontes.

No entanto, com o enquadramento legal em vias de mudar, os trabalhos de implementação da deliberação da CAS estão a avançar lentamente no terreno. Já foram intervencionadas algumas centenas de sites (vulgo, antenas), de acordo com duas fontes ouvidas pelo ECO, mas serão milhares com tecnologia chinesa considerada de alto risco. Ainda assim, e apesar do ritmo da progressão, a Meo ainda tem tempo para cumprir os objetivos, pelo que não existe um atraso formal neste processo.

Setor “tem procurado antecipar-se”

Contactada sobre este assunto, a Meo não respondeu quantas antenas já foram intervencionadas pela Nokia, mas diz que “tem colaborado ativamente com os reguladores” e “continuará a fazê-lo, garantindo a segurança, a resiliência e a continuidade dos serviços prestados aos seus clientes”. Fonte oficial da empresa diz ainda que “o setor das telecomunicações, e em particular a Meo, tem procurado antecipar-se, reforçando as suas políticas e práticas de cibersegurança, alinhando-se com os princípios e exigências da NIS2″.

A Meo diz ainda que é “regularmente auditada e certificada por entidades internacionais independentes” e “continuará a respeitar todas as determinações legais, mantendo uma postura de responsabilidade e transparência”. “A Meo tem vindo a seguir, desde sempre, critérios de enorme rigor na escolha dos seus fornecedores, assegurando a diversidade e a segurança das suas redes, em linha com a sua estratégia de desenvolvimento tecnológico e com as exigências legais e regulatórias em vigor”.

Contactados, Governo, Comissão de Avaliação de Segurança e Nokia não responderam às questões do ECO. Fonte oficial da Anacom e fonte oficial da Huawei não quiseram fazer comentários.

"O setor das telecomunicações, e em particular a Meo, tem procurado antecipar-se, reforçando as suas políticas e práticas de cibersegurança, alinhando-se com os princípios e exigências da NIS2.”

“De forma geral, os nossos membros respeitam as leis locais onde quer que estejam, neste tema específico”, diz Alessandro Gropelli, diretor-geral da associação europeia Connect Europe, da qual faz parte a Meo. “É sempre importante, também no contexto do debate sobre fornecedores de alto risco, lembrar que lhes estão a pedir para manter os preços baixos, pagar muito pelo espetro, construir redes que cheguem a todo o lado, porque todos precisam de estar incluídos, e fazer determinadas escolhas quanto aos fornecedores… A minha pergunta em aberto é: estão também a criar as condições para que eles possam investir e crescer?”, interroga.

O responsável acrescenta que “estas duas coisas não estão desligadas”. “Se acrescentarmos constantemente novos requisitos à indústria, também temos de nos perguntar: ‘estou a colocá-los em condições de cumprir esses requisitos?'”, insiste.

Meio ano para nova avaliação

Em maio de 2023, a Comissão de Avaliação de Segurança (CAS), até então um organismo praticamente desconhecido do Estado, inserido no Conselho Superior de Segurança do Ciberespaço (CSSC), e ligado ao Gabinete Nacional de Segurança, emitiu a deliberação que, na prática, impediu as operadoras de usarem equipamentos de fornecedores de risco nas suas redes 5G.

O processo foi sujeito a grande confidencialidade desde a primeira hora, com a Anacom, entidade incumbida de fiscalizar o cumprimento da deliberação, a nunca ter prestado contas publicamente sobre a implementação da mesma. Aliás, só há um ano é que uma entidade oficial, neste caso a Comissão Europeia, assumiu pela primeira vez, num relatório em que avaliou os progressos nos objetivos da Década Digital 2030, que em Portugal as operadoras estavam a investir “somas significativas” para substituir nas suas redes tecnologia fabricada por empresas como a chinesa Huawei.

Agora, a nova lei dá cerca de seis meses para ser feita uma nova avaliação: “A entrada em vigor do presente decreto-lei não prejudica a validade das decisões tomadas pela Comissão de Avaliação de Segurança ao abrigo do regime anterior, que continuam a produzir efeitos pelo período de 180 dias após a data de entrada em vigor do presente decreto-lei, durante o qual deve ser realizada nova avaliação de segurança”, lê-se no diploma que deu entrada na Assembleia (tal como já se lia na proposta apresentada no início do ano, a que caducou).

E essa nova avaliação pode fazer mudar muita coisa, ou deixar tudo como está. “Com base na nova avaliação de segurança […] o membro do Governo responsável pela área da cibersegurança pode decidir pela renovação, modificação ou substituição das decisões adotadas pela Comissão de Avaliação de Segurança no âmbito do regime anterior”, refere o documento.

Recorde-se que Portugal foi mais além do que outros países na implementação das recomendações da Comissão Europeia em matéria de cibersegurança no 5G. Do outro lado da fronteira, em Espanha, a Huawei continua a participar normalmente no desenvolvimento das comunicações móveis no país, tendo sido escolhida este ano pela MasOrange como parceira no lançamento do 5G Advanced, uma modalidade que recorre a frequências ainda mais elevadas (26 GHz, na faixa SHF, não usada atualmente para 5G em Portugal) para oferecer comunicações móveis ainda mais avançadas.

Contactado pelo ECO sobre o progresso de Portugal na implementação da deliberação da CAS, Thomas Regnier, porta-voz da Comissão Europeia para a soberania tecnológica, defesa, espaço e investigação, lembra que “numa comunicação em junho de 2023 a Comissão avaliou que a Huawei representa riscos materialmente superiores aos de outros fornecedores 5G”. “A Comissão considera, então, que os Estados-membros podem adotar decisões […] de restringir ou excluir a Huawei das suas redes 5G”, acrescenta.

Assim sendo, segundo o mesmo porta-voz, “a Comissão insta os Estados-membros que ainda não implementaram a ‘5G Toolbox’ a também adotarem medidas para efetivamente e rapidamente endereçarem os riscos colocados pelo fornecedor identificado”. “A falta de ação rápida expõe a UE como um rodo a um risco claro”, defende Reigner.

"A Comissão [Europeia] insta os Estados-membros que ainda não implementaram a ‘5G Toolbox’ a também adotarem medidas para efetivamente e rapidamente endereçarem os riscos colocados pelo fornecedor identificado.”

Ex-líder da CAS explicou decisão

Até ao final de maio, a CAS foi presidida pelo contra-almirante António Gameiro Marques, que era diretor-geral do Gabinete Nacional de Segurança e entretanto passou à reforma. Em junho, o Governo selecionou o contra-almirante Manuel da Costa Honorato para desempenhar esta função, em regime de substituição.

Também no final de maio, em vias de deixar o cargo, António Gameiro Marques falou publicamente sobre os motivos pelos quais Portugal decidiu ‘expulsar’ a Huawei do 5G. Fê-lo no podcast “Soberania”, do Diário de Notícias, onde explicou que os dados dos portugueses e dos europeus não devem ficar à mercê de infraestruturas com legislação permeável à interferência das respetivas autoridades.

“Sabemos que há países muito poderosos no mundo que têm leis que não lhes importa a legislação europeia. Quer a leste quer a oeste. Aliás, deixem-me dizer-vos que esse foi o farol, a motivação fundamental, pela qual a Comissão de Avaliação de Segurança propôs as medidas que foram tomadas. Não por causa da tecnologia, mas por causa da lei, da legislação, subjacente às empresas tecnológicas que estavam a implantar-se no nosso país na dimensão 5G”, explicou António Gameiro Marques no podcast, dois anos depois da deliberação.

“O que eu quero esclarecer é que o alto risco não era por causa da tecnologia em si. A tecnologia é excelente. Aliás, cumpre todos os requisitos mais exigentes em termos de segurança. É a legislação do Estado de onde provém essa tecnologia que pode exigir, sem pestanejar, que todos os dados coligidos e processados por essa tecnologia, no Estado A, B ou C europeu, possam ser usados pelas autoridades desse país. Isso nós não podemos permitir”, acrescentou o contra-almirante.

O que eu quero esclarecer é que o alto risco não era por causa da tecnologia em si. A tecnologia é excelente. Aliás, cumpre todos os requisitos mais exigentes em termos de segurança. É a legislação do Estado de onde provém essa tecnologia que pode exigir, sem pestanejar, que todos os dados coligidos e processados por essa tecnologia, no Estado A, B ou C europeu, possam ser usados pelas autoridades desse país. Isso nós não podemos permitir.

O ex-responsável lembrou ainda que a Europa quase não tem empresas fortes de tecnologia, pelo que essa tecnologia “não é nem concebida nem produzida em solo europeu”, levando a uma soberania digital “muito pobre” na União Europeia. “Como é que a Europa mitiga isto? Através de mecanismos de regulação, onde é bastante forte, para o bem e para o mal. Mas é aí que a Europa depois exige a quem fabrica equipamentos fora do espaço europeu, ou produz serviços conectáveis à internet fora do espaço europeu, que cumpra as normas europeias”, continuou.

António Gameiro Marques também sinalizou que a recomendação da Comissão Europeia veio permitir que “duas grandes marcas europeias voltassem a surgir na área do 5G”, presumivelmente a Nokia e a Ericsson. “Se assim não fosse, elas provavelmente não teriam mercado e também na área do 5G a Europa ficaria para trás”, concluiu.

CAS terá novo enquadramento

Atualmente, a existência da CAS enquadra-se na Lei das Comunicações Eletrónicas, que determina a composição da comissão e que “a utilização de equipamentos em quaisquer redes de comunicações eletrónicas pode ser sujeita a uma avaliação de segurança […] justificada e fundamentada em critérios objetivos de segurança, com base em informação relevante emitida pelas entidades nacionais e da União Europeia ou constante das avaliações nacionais e europeias de risco para a segurança das redes”.

Com o novo diploma, o Governo de Luís Montenegro propõe revogar esse e outros pontos da lei fundamental das telecomunicações, dando um novo enquadramento legal à comissão: “A Comissão de Avaliação de Segurança do Ciberespaço funciona junto do CSSC e é responsável pela realização de avaliações de segurança de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, de fabricantes ou fornecedores que possam ser considerados de elevado risco para a segurança do ciberespaço de interesse nacional, designadamente nos contextos da segurança interna e externa, da defesa nacional, da integridade do processo democrático e de outras funções de soberania, e ainda da operação de infraestruturas críticas e da prestação de serviços essenciais”, estipula.

A lei vai mais além. Por exemplo, a tutela “pode determinar a aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos” que sejam “considerados de elevado risco para a segurança do ciberespaço de interesse nacional”, por proposta da CAS, “fundamentada em avaliação de segurança”.

Essa avaliação “deve ser devidamente fundamentada, tendo em conta os riscos técnicos” dos mesmos, “o seu contexto de utilização ou a exposição dos seus fabricantes ou fornecedores à influência indevida de países estrangeiros”.

O diploma estipula ainda os “elementos” para “avaliar o nível de exposição dos fabricantes ou fornecedores à influência de um país estrangeiro”:

• “O fabricante ou fornecedor estar sujeito, direta ou indiretamente, à interferência do governo ou administração de um país estrangeiro”;
• “O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países reconhecidos por Portugal, pela União Europeia, pela Organização para a Cooperação e Desenvolvimento Económico (OCDE) ou pela NATO, como responsáveis ou envolvidos em ações hostis à segurança interna e defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou sabotagem”;
• “O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de proteção de dados, de cibersegurança e de proteção de propriedade intelectual”;
• “O fabricante ou fornecedor estar associado a práticas de introdução de vulnerabilidades ou acessos ocultos”;
• “O fabricante ou fornecedor adotar modelos de governação corporativa que não esclareçam sobre o grau de influência ou vinculação a países estrangeiros nas condições das alíneas anteriores”;
• “As cadeias de produção e fornecimento do fabricante ou fornecedor evidenciarem falhas sistémicas de controlo e segurança”.

Com a entrada em vigor da nova lei, o que não irá mudar é a opacidade que tem sido característica de todo este processo: a lei determina agora que os dossiês continuarão a ser tratados com a máxima confidencialidade. Mais, estipula que os “documentos e informações produzidas no âmbito dos trabalhos da Comissão de Avaliação de Segurança do Ciberespaço são considerados como informação classificada no grau de segurança reservado, salvo uma exceção: se o presidente da comissão considerar necessário atribuir um grau de classificação de segurança superior”.