Chociaż w wielu państwach członkowskich wciąż trwają prace, w sprawozdaniu stwierdzono, że wszystkie państwa członkowskie rozpoczęły proces przeglądu i wzmocnienia środków bezpieczeństwa mających zastosowanie do sieci 5G, czym wykazały swoje zaangażowanie w skoordynowane podejście określone na szczeblu UE. W sprawozdaniu dokonano przeglądu postępów poczynionych od czasu przyjęcia zestawu narzędzi w odniesieniu do poszczególnych środków, wskazując, co już zrobiono, i określając obszary, w których jeszcze nie przyjęto środków.
Margrethe Vestager, wiceprzewodnicząca wykonawcza ds. Europy na miarę ery cyfrowej, powiedziała: – Szybkie uruchomienie sieci 5G ma strategiczne znaczenie dla wszystkich państw członkowskich, ponieważ może stworzyć nowe możliwości dla przedsiębiorstw, umożliwić transformację krytycznych sektorów i przynieść korzyści obywatelom Europy. Naszym wspólnym priorytetem i obowiązkiem jest dopilnowanie, by sieci te były bezpieczne. W sprawozdaniu wykazano, że dokonaliśmy znacznych postępów, lecz wciąż pozostaje wiele do zrobienia.
Thierry Breton, komisarz ds. rynku wewnętrznego, dodał: – Biorąc pod uwagę uruchamianie sieci 5G w całej UE i coraz większą zależność naszej gospodarki od infrastruktury cyfrowej, jak wykazał kryzys związany z koronawirusem, zapewnienie wysokiego poziomu bezpieczeństwa jest ważniejsze niż kiedykolwiek dotychczas. Jesteśmy zdecydowani wprowadzić solidne środki wspólnie z państwami członkowskimi i w skoordynowany sposób – nie tylko w celu zapewnienia cyberbezpieczeństwa 5G, ale również w celu wzmocnienia naszej autonomii technologicznej. Dzisiejsze sprawozdanie potwierdza nasze zaangażowanie i wskazuje dziedziny, w których potrzebne są dalsze wysiłki i czujność.
Niemiecki federalny minister gospodarki i energetyki Peter Altmaier powiedział: – Uruchomienie sieci 5G stworzy zupełnie nowe możliwości dla przedsiębiorstw i społeczeństwa. Ze względu na znaczenie technologii 5G jako kluczowej infrastruktury krytycznej dla przyszłych technologii ważne jest, by jej wdrażanie mogło przebiegać szybko i bezpiecznie we wszystkich państwach członkowskich. Ze sprawozdania w sprawie zestawu narzędzi 5G wynika, że jesteśmy na dobrej drodze.
Horst Seehofer, niemiecki federalny minister spraw wewnętrznych, budownictwa i ojczyzny powiedział: – Integralność sieci telekomunikacyjnych jest zasadniczym elementem architektury bezpieczeństwa we wszystkich państwach członkowskich. Wszystkie rodzaje ryzyka – zarówno techniczne, jak i nietechniczne – muszą zostać ograniczone w jak największym stopniu. Sprawozdanie z postępów w sprawie unijnego zestawu narzędzi 5G pokazuje, że wspólne podejście jest właściwym sposobem, by jak najlepiej zsynchronizować środki krajowe.
Zapewnienie odporności sieci 5G ma zasadnicze znaczenie dla naszego społeczeństwa, ponieważ technologia ta będzie miała wpływ nie tylko na łączność cyfrową, ale również na sektory o kluczowym znaczeniu, takie jak energetyka, transport, bankowość i zdrowie, a także na systemy kontroli przemysłowej. Sieci 5G będą przesyłać informacje szczególnie chronione i wspierać systemy bezpieczeństwa, które będą się opierać na tych sieciach. Podmioty rynkowe są w dużej mierze odpowiedzialne za bezpieczne wdrożenie sieci 5G, a państwa członkowskie – za bezpieczeństwo narodowe. Jednak wspólne działania i skoordynowane wdrażanie odpowiednich środków mają zasadnicze znaczenie dla zapewnienia przedsiębiorstwom i obywatelom UE możliwości bezpiecznego czerpania pełnych korzyści z nowej technologii.
Realizacja zestawu narzędzi jest bowiem wynikiem zbiorowej pracy i silnej determinacji ze strony wszystkich państw członkowskich oraz Komisji i ENISA do współpracy i reagowania na wyzwania związane z bezpieczeństwem sieci 5G oraz do zapewnienia stałej otwartości jednolitego rynku cyfrowego. W ramach zestawu narzędzi państwa członkowskie zobowiązały się zaostrzyć wymogi w zakresie bezpieczeństwa (za pomocą zestawu ewentualnych zalecanych środków), oceniać profile ryzyka dostawców, stosować odpowiednie ograniczenia w odniesieniu do dostawców uznanych za stwarzających wysokie ryzyko, w tym niezbędne wyłączenia w odniesieniu do kluczowych zasobów uznanych za krytyczne i wrażliwe (takich jak podstawowe funkcje sieci) oraz wdrożyć strategie mające na celu zapewnienie dywersyfikacji dostawców.
Główne spostrzeżenia zawarte w sprawozdaniu w sprawie unijnego zestawu narzędzi w zakresie 5G
Opublikowane dzisiaj sprawozdanie zawiera analizę postępów poczynionych we wdrażaniu środków określonych w zestawie narzędzi na szczeblu krajowym; wyciągnięto też szereg wniosków.
Osiągnięto już zadowalające postępy w odniesieniu do niektórych środków określonych w zestawie narzędzi, zwłaszcza w następujących obszarach:
- uprawnienia krajowych organów regulacyjnych do regulowania bezpieczeństwa sieci 5G zostały wzmocnione lub są w trakcie wzmacniania w znacznej większości państw członkowskich; obejmuje to uprawnienia do regulowania zamówień na urządzenia sieciowe i usługi operatorów,
- środki mające na celu ograniczenie zaangażowania dostawców w oparciu o ich profil ryzyka są już stosowane w kilku państwach członkowskich, a w innych znajdują się na zaawansowanym etapie przygotowań. W sprawozdaniu wezwano inne państwa członkowskie do kontynuowania i zakończenia tego procesu w nadchodzących miesiącach. Jeżeli chodzi o dokładny zakres tych ograniczeń, w sprawozdaniu podkreślono znaczenie traktowania sieci jako całości oraz odniesienia się do podstawowych elementów sieci, a także innych kluczowych i wysoce wrażliwych elementów, w tym funkcji zarządzania i sieci dostępu radiowego, a także znaczenie nakładania ograniczeń w odniesieniu do innych kluczowych aktywów, takich jak określone obszary geograficzne, rządy lub inne podmioty o kluczowym znaczeniu. W przypadku operatorów, którzy zawarli już umowy z dostawcami wysokiego ryzyka, należy wprowadzić okresy przejściowe,
- wymogi bezpieczeństwa sieci i odporności operatorów sieci komórkowych poddawane są przeglądowi w większości państw członkowskich. W sprawozdaniu podkreślono znaczenie wzmocnienia tych wymogów, ich zgodności z najnowszymi praktykami oraz skutecznej kontroli i egzekwowania ich wdrażania przez operatorów.
Z drugiej strony niektóre środki są na mniej zaawansowanym etapie realizacji. W szczególności w sprawozdaniu poruszono następujące kwestie:
- pilnie potrzebne są postępy w celu zmniejszenia ryzyka uzależnienia od dostawców wysokiego ryzyka, również z myślą o zmniejszeniu zależności na szczeblu Unii. Działanie to powinno się opierać na szczegółowej inwentaryzacji łańcucha dostaw sieci i wiązać się z monitorowaniem rozwoju sytuacji,
- w związku z trudnościami technicznymi lub operacyjnymi (np. brak interoperacyjności, wielkość kraju itp.) zidentyfikowano wyzwania związane z określeniem i nałożeniem na poszczególnych operatorów lub na szczeblu krajowym odpowiednich strategii obejmujących wielu dostawców,
- jeżeli chodzi o monitorowanie bezpośrednich inwestycji zagranicznych, należy podjąć kroki w celu niezwłocznego wprowadzenia krajowego mechanizmu monitorowania bezpośrednich inwestycji zagranicznych w 13 państwach członkowskich, w których nie został on jeszcze wdrożony, m.in. w związku ze zbliżającym się terminem stosowania unijnych ram monitorowania inwestycji od października 2020 r. Te mechanizmy monitorowania powinny być stosowane w odniesieniu do inwestycji, które mogą mieć wpływ na łańcuch wartości 5G, z uwzględnieniem celów zestawu narzędzi.
Sprawozdanie zaleca również, aby organy państw członkowskich:
- wymieniały się w większym stopniu informacjami na temat wyzwań, najlepszych praktyk i rozwiązań w zakresie realizacji środków określonych w zestawie narzędzi,
- nadal monitorowały i oceniały realizację zestawu narzędzi,
- oraz kontynuowały współpracę z Komisją w celu realizacji działań na szczeblu UE wymienionych w zestawie narzędzi, w tym w dziedzinie normalizacji i certyfikacji, instrumentów ochrony handlu i reguł konkurencji, aby uniknąć zakłóceń na rynku dostaw 5G, jak również inwestowały w zdolności UE w zakresie technologii 5G i następnych oraz zapewniły, aby projekty 5G wspierane ze środków publicznych uwzględniały zagrożenia dla cyberbezpieczeństwa.
Dalsze działania
Komisja będzie nadal współpracować z państwami członkowskimi i ENISA w ramach grupy współpracy ds. bezpieczeństwa sieci i informacji w celu monitorowania wdrażania zestawu narzędzi oraz zapewnienia jego skutecznego i spójnego stosowania. Grupa będzie również wspierać dostosowanie podejść krajowych poprzez dalszą wymianę doświadczeń oraz współpracę z Organem Europejskich Regulatorów Łączności Elektronicznej (BEREC). W ramach wdrażania zalecenia Komisji przyjętego w zeszłym roku państwa członkowskie, we współpracy z Komisją, powinny ocenić skutki zalecenia i ustalić, czy konieczne jest podjęcie dalszych działań. Ocena ta powinna uwzględniać wyniki skoordynowanej unijnej oceny ryzyka, która została opublikowana w październiku 2019 r., a także skuteczność środków określonych w zestawie narzędzi.
Kontekst
W marcu 2019 r., po apelu Rady Europejskiej o uzgodnienie wspólnego podejścia do bezpieczeństwa sieci 5G, Komisja przyjęła zalecenie w sprawie cyberbezpieczeństwa sieci 5G. Komisja wezwała państwa członkowskie do zakończenia krajowych ocen ryzyka i przeprowadzenia przeglądu środków krajowych oraz do współpracy na szczeblu UE w zakresie skoordynowanej oceny ryzyka i wspólnego zestawu narzędzi obejmującego środki ograniczające ryzyko.
Na podstawie krajowej oceny ryzyka przeprowadzonej przez państwa członkowskie, w sprawozdaniu dotyczącym unijnej skoordynowanej oceny ryzyka związanego z cyberbezpieczeństwem sieci 5G, przedstawionym w październiku 2019 r., zidentyfikowano główne zagrożenia i czynniki ryzyka, najbardziej wrażliwe aktywa, główne słabości i szereg strategicznych czynników ryzyka.
Jako uzupełnienie tego sprawozdania i dalszy wkład w zestaw narzędzi ENISA przygotowała specjalne opracowanie dotyczące krajobrazu zagrożeń, obejmujące szczegółową analizę niektórych aspektów technicznych, w szczególności identyfikację aktywów sieciowych i dotyczących ich zagrożeń.
W styczniu 2020 r. państwa członkowskie, działając za pośrednictwem grupy współpracy NIS, przyjęły unijny zestaw narzędzi służących ograniczeniu ryzyka. W tym samym dniu Komisja przyjęła komunikat, w którym zatwierdziła zestaw narzędzi, podkreślając znaczenie jego skutecznego i szybkiego wdrożenia oraz wezwała państwa członkowskie do przygotowania do dnia 30 czerwca 2020 r. sprawozdania na temat jego realizacji. Sprawozdanie to zostało opublikowane.