Andrus Ansip, wiceprzewodniczący Komisji odpowiedzialny za jednolity rynek cyfrowy, powiedział: - Technologia 5G przyczyni się do transformacji naszej gospodarki i naszego społeczeństwa oraz otworzy ogromne możliwości dla obywateli i przedsiębiorstw. Nie możemy jednak dopuścić, by proces ten przebiegał bez kompleksowych zabezpieczeń. Musimy zatem bezwzględnie zadbać o to, by infrastruktura 5G w UE była odporna i w pełni chroniona przed lukami o charakterze technicznym lub prawnym.
Julian King, komisarz odpowiedzialny za unię bezpieczeństwa, stwierdził: - Odporność naszej cyfrowej infrastruktury ma krytyczne znaczenie dla rządów i przedsiębiorstw, dla bezpieczeństwa naszych danych osobowych i funkcjonowania naszych instytucji demokratycznych. Musimy opracować europejskie podejście do ochrony integralności technologii 5G, która stanie się cyfrowym krwioobiegiem naszego funkcjonowania w sieci wzajemnych powiązań.
Mariya Gabriel, komisarz odpowiedzialna za gospodarkę cyfrową i społeczeństwo cyfrowe, dodała: - Zabezpieczenie sieci 5G ma na celu ochronę infrastruktury, która będzie wspierać ważne funkcje społeczne i gospodarcze – takie jak energetyka, transport, bankowość i opieka zdrowotna, jak również znacznie bardziej zautomatyzowane fabryki jutra. Oznacza również ochronę naszych procesów demokratycznych, takich jak wybory, przed obcą ingerencją i rozpowszechnianiem dezinformacji.
Sieci piątej generacji – przesyłające informacje szczególnie chronione oraz wspierające systemy bezpieczeństwa – stanowić będą w przyszłości rdzeń społeczeństw i gospodarek, łącząc ze sobą miliardy przedmiotów i systemów, w tym w sektorach o krytycznym znaczeniu, takich jak energetyka, transport, bankowość i opieka zdrowotna, jak również systemy sterowania produkcją. Procesy demokratyczne, takie jak wybory, w coraz większym stopniu uzależnione są od infrastruktury cyfrowej oraz sieci 5G, co uwypukla konieczność eliminowania wszelkich luk i sprawia, że zalecenia Komisji nabierają jeszcze większej wagi w perspektywie majowych wyborów do Parlamentu Europejskiego.
Kierując się poparciem dla skoordynowanego podejścia do bezpieczeństwa sieci 5G, jakie szefowie państw lub rządów wyrazili na posiedzeniu Rady Europejskiej 22 marca, Komisja Europejska zaleciła szereg konkretnych działań mających na celu analizę zagrożeń dla cyberbezpieczeństwa sieci 5G oraz wzmocnienie środków zapobiegawczych. Zalecenia te łączą instrumenty ustawodawcze i polityczne, które mają zapewnić ochronę naszych gospodarek, społeczeństw i systemów demokratycznych. Technologia 5G, która według szacunków w 2025 r. w skali globalnej będzie generować przychody rzędu 225 mld euro, stanowi kluczowy atut Europy, który pozwoli jej konkurować na światowych rynkach; bezpieczeństwo tej technologii ma zatem decydujące znaczenie dla zapewnienia strategicznej autonomii Unii.
Każda luka w sieciach 5G lub każdy cyberatak na przyszłe sieci w jednym państwie członkowskich będą miały wpływ na całą Unię. Dlatego też skoordynowane działania podejmowane zarówno na szczeblu krajowym, jak i na szczeblu Unii muszą gwarantować wysoki poziom cyberbezpieczeństwa.
W zaleceniu określono szereg środków operacyjnych:
1. Na szczeblu krajowym
Każde państwo członkowskie powinno do końca czerwca 2019 r. przeprowadzić krajową ocenę ryzyka związanego z infrastrukturą sieci 5G. Na tej podstawie państwa członkowskie powinny zaktualizować dotychczasowe wymogi w zakresie bezpieczeństwa, którym podlegają dostawcy usług sieciowych, oraz wprowadzić warunki gwarantujące bezpieczeństwo sieci publicznych, zwłaszcza przy przyznawaniu praw użytkowania częstotliwości radiowych w pasmach 5G. Środki te powinny obejmować nałożenie na dostawców i operatorów zaostrzonych wymogów, zobowiązujących ich do zapewnienia bezpieczeństwa sieci. Krajowe oceny ryzyka oraz środki powinny uwzględniać różne czynniki ryzyka, takie jak ryzyko techniczne oraz ryzyko związane z zachowaniem dostawców lub operatorów, w tym dostawców i operatorów z państw trzecich. Krajowe oceny ryzyka będą stanowić centralny element w procesie opracowywania skoordynowanej unijnej oceny ryzyka.
Państwa członkowskie UE mają prawo wykluczyć przedsiębiorstwa ze swoich rynków ze względów bezpieczeństwa narodowego, jeżeli przedsiębiorstwa te nie przestrzegają norm i przepisów obowiązujących w danym państwie.
2. Na szczeblu UE
Państwa członkowskie powinny wymieniać się informacjami oraz – przy wsparciu Komisji i Agencji UE ds. Cyberbezpieczeństwa (ENISA) – ukończyć do 1 października 2019 r. skoordynowaną ocenę ryzyka. Na jej podstawie państwa członkowskie uzgodnią zestaw środków ograniczających ryzyko, które można będzie stosować na szczeblu krajowym. Mogą one obejmować np. wymóg certyfikacji, testy, kontrole, jak również wskazanie produktów lub dostawców uznanych za potencjalnie niebezpiecznych. Prace te będą prowadzone – przy wsparciu Komisji i ENISA – przez grupę współpracy skupiającą właściwe organy, utworzoną na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji. Te skoordynowane prace powinny stanowić wsparcie dla podejmowanych przez państwa członkowskie działań na poziomie krajowym oraz powinny być źródłem wytycznych dla Komisji przy planowaniu możliwych dalszych działań na szczeblu UE. Ponadto państwa członkowskie powinny sformułować szczególne wymogi w zakresie bezpieczeństwa, które mogłyby mieć zastosowanie w kontekście zamówień publicznych związanych z sieciami 5G, w tym bezwzględny wymóg wdrażania systemów certyfikacji cyberbezpieczeństwa.
W przedstawionym dziś zaleceniu przewidziano wykorzystanie szerokiego wachlarza instrumentów, które już przyjęto lub uzgodniono, z myślą o wzmocnieniu współpracy w obliczu cyberataków oraz umożliwieniu UE podejmowania wspólnych działań w celu ochrony unijnej gospodarki i unijnego społeczeństwa. Proponowane rozwiązania obejmują m.in. pierwsze ogólnounijne przepisy w sprawie cyberbezpieczeństwa (dyrektywa w sprawie bezpieczeństwa sieci i informacji), akt w sprawie cyberbezpieczeństwa zatwierdzony w ostatnim czasie przez Parlament Europejski, a także nowe przepisy telekomunikacyjne. Zalecenie pomoże państwom członkowskim we wdrażaniu tych nowych instrumentów tak, by w spójny sposób zagwarantować bezpieczeństwo sieci 5G.
W dziedzinie cyberbezpieczeństwa przyszłe ramy europejskiego systemu certyfikacji produktów, procesów i usług cyfrowych pod kątem cyberbezpieczeństwa, przewidziane w akcie w sprawie cyberbezpieczeństwa, powinny stać się ważnym instrumentem wsparcia służącym promowaniu spójnego poziomu bezpieczeństwa. Wdrażając te ramy, państwa członkowskie powinny również niezwłocznie podjąć aktywną współpracę z wszystkimi pozostałymi zainteresowanymi stronami przy opracowywaniu specjalnych ogólnounijnych systemów certyfikacji związanych z 5G. Gdy tego rodzaju systemy staną się już dostępne, państwa członkowskie powinny wprowadzić obowiązkową certyfikację w tej dziedzinie w drodze krajowych przepisów technicznych.
W obszarze przedsiębiorstw telekomunikacyjnych państwa członkowskie muszą zadbać o to, by zapewniono integralność i bezpieczeństwo publicznych sieci łączności, a także bezwzględnie dopilnować, by operatorzy stosowali środki techniczne i organizacyjne w celu odpowiedniego zarządzania zagrożeniami dla bezpieczeństwa sieci i usług.
Dalsze działania
- Do 30 czerwca 2019 r. państwa członkowskie powinny ukończyć swoje krajowe oceny ryzyka oraz zaktualizować niezbędne środki w zakresie bezpieczeństwa. Krajowe oceny ryzyka powinny zostać przekazane Komisji i Agencji UE ds. Cyberbezpieczeństwa do 15 lipca 2019 r.
- Jednocześnie państwa członkowskie i Komisja rozpoczną prace koordynacyjne w ramach grupy współpracy ds. bezpieczeństwa sieci i informacji. ENISA przeprowadzi analizę krajobrazu zagrożeń związanych z sieciami 5G, która stanowić będzie wsparcie dla państw członkowskich w realizacji – do 1 października 2019 r. – ogólnounijnej oceny ryzyka.
- Do 31 grudnia 2019 r. grupa współpracy ds. bezpieczeństwa sieci i informacji powinna uzgodnić środki ograniczające ryzyko, które umożliwią wyeliminowanie zagrożeń dla cyberbezpieczeństwa wskazanych na szczeblu krajowym i unijnym.
- Po wejściu w życie w nachodzących tygodniach aktu w sprawie cyberbezpieczeństwa, który został w ostatnim czasie zatwierdzony przez Parlament Europejski, Komisja i ENISA ustanowią ogólnounijne ramy certyfikacji. Państwa członkowskie zachęca się do współpracy z Komisją i ENISA w celu utworzenia w trybie priorytetowym systemu certyfikacji obejmującego sieci i urządzenia 5G.
- Do 1 października 2020 r. państwa członkowskie – we współpracy z Komisją – powinny ocenić skutki wspomnianego zalecenia, aby ustalić, czy istnieje konieczność podjęcia dalszych działań. W ocenie tej należy uwzględnić wyniki skoordynowanej unijnej oceny ryzyka oraz skuteczność unijnego zestawu środków.
Kontekst
W swoich konkluzjach z 22 marca Rada Europejska wyraziła poparcie dla zalecenia Komisji w sprawie skoordynowanego podejścia do bezpieczeństwa sieci 5G. W rezolucji Parlamentu Europejskiego w sprawie zagrożeń dla bezpieczeństwa wynikających z rosnącej obecności technologicznej Chin w Unii, przegłosowanej 12 marca, również wezwano Komisję i państwa członkowskie do podjęcia działań na szczeblu Unii.
Ponadto cyberbezpieczeństwo sieci 5G ma zasadnicze znaczenie dla zapewnienia strategicznej autonomii Unii, jak podkreślono we wspólnym komunikacie „UE-Chiny – perspektywa strategiczna”. Dlatego też należy w trybie pilnym dokonać przeglądu i zaostrzenia istniejących przepisów w zakresie bezpieczeństwa w tym obszarze, aby zadbać o to, by odzwierciedlały strategiczne znaczenie sieci 5G oraz uwzględniały ewoluujące zagrożenia, w tym rosnącą liczbę coraz bardziej wyrafinowanych cyberataków. Technologia 5G jest atutem Europy, który umożliwia jej konkurowanie na globalnym rynku. W 2025 r. światowe przychody z sieci 5G powinny osiągnąć równowartość 225 miliardów euro. Inne źródło podaje, że wprowadzenie technologii 5G w czterech kluczowych sektorach przemysłu, a mianowicie w motoryzacji, ochronie zdrowia, transporcie i energetyce, może przynieść korzyści rzędu 114 mld euro rocznie.
Dodatkowe informacje
- Zalecenie w sprawie cyberbezpieczeństwa sieci 5G
- Pytania i odpowiedzi
- Unia bezpieczeństwa: osiągnięto dotąd porozumienie w sprawie 15 z 22 inicjatyw ustawodawczych
- Komunikat prasowy: Unijni negocjatorzy osiągnęli porozumienie w sprawie wzmocnienia cyberbezpieczeństwa Europy
- Komunikat prasowy: Wspólny komunikat „UE-Chiny – perspektywa strategiczna”
Informacje szczegółowe
- Data publikacji
- 26 marca 2019
- Autor
- Przedstawicielstwo w Polsce