Państwa członkowskie UE, przy wsparciu Komisji Europejskiej i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), opublikowały dziś drugie sprawozdanie z postępów we wdrażaniu unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G. Sprawozdanie odnosi się również do niektórych zaleceń zawartych w sprawozdaniu specjalnym Europejskiego Trybunału Obrachunkowego ze stycznia 2022 r. W uzupełnieniu sprawozdania z postępu prac Komisja przyjęła dziś komunikat w sprawie wdrażania zestawu narzędzi przez państwa członkowskie oraz w sprawie własnych działań UE w zakresie komunikacji instytucjonalnej i finansowania.
Jeżeli chodzi o środki strategiczne, a w szczególności nakładanie ograniczeń na dostawców wysokiego ryzyka, w sprawozdaniu z postępu prac odnotowano, że 24 państwa członkowskie przyjęły lub przygotowują środki ustawodawcze przyznające organom krajowym uprawnienia do przeprowadzania oceny dostawców i nakładania ograniczeń. Spośród nich 10 państw członkowskich wprowadziło takie ograniczenia, a trzy państwa członkowskie pracują obecnie nad wdrożeniem odpowiednich przepisów krajowych. Biorąc pod uwagę znaczenie infrastruktury łączności dla gospodarki cyfrowej i zależność wielu usług krytycznych od sieci 5G, państwa członkowskie powinny niezwłocznie wdrożyć wskazany zestaw narzędzi.
W swoim komunikacie Komisja podkreśla poważne obawy, które żywi wobec zagrożeń, jakie niektórzy dostawcy urządzeń sieci łączności ruchomej stwarzają dla bezpieczeństwa Unii. Komisja uważa, że decyzje przyjęte przez państwa członkowskie w celu ograniczenia udziału przedsiębiorstw Huawei i ZTE w sieciach 5G lub wykluczenia ich z tych sieci są uzasadnione i zgodne z zestawem narzędzi na potrzeby sieci 5G. Stosownie do tych decyzji i na podstawie szerokiego zakresu dostępnych informacji Komisja jest zdania, że Huawei i ZTE stanowią w rzeczywistości znacznie wyższe ryzyko niż inni dostawcy sieci 5G.
Komunikat Komisji w sprawie wdrożenia zestawu narzędzi
Bezpieczeństwo sieci 5G jest jednym z głównych priorytetów Komisji i podstawowym elementem strategii w zakresie unii bezpieczeństwa, ponieważ sieci te są kluczową infrastrukturą, która stanowi podstawę szerokiego zakresu usług niezbędnych do funkcjonowania rynku wewnętrznego oraz utrzymania i funkcjonowania podstawowych funkcji społecznych i gospodarczych. Kwestia ta ma kluczowe znaczenie dla suwerenności, strategicznej autonomii i odporności Unii. W przyjętym dziś komunikacie Komisja odnotowuje i z zadowoleniem wita przyjęcie przez grupę współpracy NIS drugiego sprawozdania z postępów we wdrażaniu unijnego zestawu narzędzi.
Bez uszczerbku dla kompetencji państw członkowskich w zakresie bezpieczeństwa narodowego Komisja zastosowała również kryteria zestawu narzędzi w celu oceny potrzeb i słabych punktów jej własnych systemów komunikacji instytucjonalnej oraz podobnych systemów innych instytucji, organów i agencji europejskich, a także wdrażania unijnych programów finansowania w świetle ogólnych celów polityki Unii. Opierając się na własnej ocenie, która jest spójna z oceną dokonaną przez niektóre państwa członkowskie, Komisja wzywa państwa członkowskie, które nie wdrożyły jeszcze zestawu narzędzi, do pilnego przyjęcia odpowiednich środków, zgodnie z zaleceniami zawartymi w unijnym zestawie narzędzi, w celu skutecznego i szybkiego przeciwdziałania zagrożeniom stwarzanym przez zidentyfikowanych dostawców.
Jako element swojej instytucjonalnej polityki cyberbezpieczeństwa oraz w ramach stosowania zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G Komisja wprowadzi środki, które mają zapobiec narażaniu jej komunikacji instytucjonalnej wobec sieci mobilnych wykorzystujących Huawei i ZTE jako dostawców. Komisja zastosuje odpowiednie środki bezpieczeństwa, tak aby nie nabywać nowych usług łączności opartych na sprzęcie od tych dostawców, i będzie współpracować z państwami członkowskimi i operatorami telekomunikacyjnymi, aby zapewnić stopniowe wycofywanie tych dostawców z istniejących usług łączności w siedzibach Komisji.
Komisja zamierza również uwzględnić tę decyzję we wszystkich odpowiednich unijnych programach i instrumentach finansowania.
Drugie sprawozdanie z postępu prac nad zestawem narzędzi na potrzeby sieci 5G
W sprawozdaniu, przyjętym przez państwa członkowskie, odnotowano, że od czasu publikacji pierwszego sprawozdania z postępu prac z lipca 2020 r. udało się osiągnąć dalsze postępy we wdrażaniu najważniejszych środków unijnego zestawu narzędzi. Zdecydowana większość państw członkowskich zaostrzyła lub jest w trakcie zaostrzania wymogów bezpieczeństwa dotyczących sieci 5G z wykorzystaniem unijnego zestawu narzędzi. W sprawozdaniu stwierdzono jednak, że mimo osiągniętych postępów sytuacja ta stwarza wyraźne ryzyko utrzymywania się zależności od dostawców wysokiego ryzyka na rynku wewnętrznym, co potencjalnie może mieć poważny negatywny wpływ na bezpieczeństwo użytkowników i przedsiębiorstw w całej UE oraz na infrastrukturę krytyczną UE.
Sprawozdanie zawiera następujące zalecenia dla państw członkowskich:
- Państwa członkowskie wymagają od operatorów telefonii komórkowej dostarczenia kompleksowych i szczegółowych informacji na temat obecnie zainstalowanego sprzętu 5G oraz planowanych instalacji lub pozyskania nowego sprzętu.
- Przy ocenie profilu ryzyka dostawców państwa członkowskie powinny wziąć pod uwagę obiektywne kryteria zalecane w unijnym zestawie narzędzi. W związku z tym oczywiste jest, że dostawcy sieci 5G różnią się wyraźnie pod względem swoich cech, w szczególności pod względem prawdopodobieństwa ulegania wpływom określonych państw trzecich, w których obowiązują przepisy bezpieczeństwa i ład korporacyjny stanowiące potencjalne zagrożenie dla bezpieczeństwa Unii. Należy ponadto wziąć po uwagę ustalenia innych państw członkowskich wskazujące dostawców wysokiego ryzyka, mając na względzie promowanie spójności i wysokiego poziomu bezpieczeństwa w całej Unii.
- Na podstawie oceny dostawców państwa członkowskie powinny niezwłocznie nałożyć ograniczenia na dostawców wysokiego ryzyka, biorąc pod uwagę, że zwłoka w tym zakresie może zwiększyć podatność na zagrożenia sieci na terenie Unii oraz zależność Unii od dostawców wysokiego ryzyka, zwłaszcza w przypadku państw członkowskich, w których działa wielu potencjalnych dostawców wysokiego ryzyka.
- Aby skutecznie ograniczyć ryzyko, państwa członkowskie powinny zadbać o to, aby ograniczenia obejmowały krytyczne i bardzo wrażliwe elementy infrastruktury określone w skoordynowanej ocenie ryzyka UE, w tym sieć dostępu radiowego.
- W przypadku typów urządzeń objętych ograniczeniami operatorzy powinni mieć zakaz instalowania nowych urządzeń. Jeżeli dopuszcza się okresy przejściowe na usunięcie istniejącego sprzętu, należy wyznaczyć je w taki sposób, aby zapewnić usunięcie istniejącego sprzętu w najkrótszym możliwym czasie, biorąc pod uwagę zagrożenie dla bezpieczeństwa, jakie wiąże się z utrzymywaniem sprzętu od dostawców wysokiego ryzyka, i nie należy ich stosować w celu kontynuowania instalacji nowego sprzętu od dostawców wysokiego ryzyka.
- Wdrożenie ograniczeń dla dostawców usług zarządzanych, a w przypadku gdy dane funkcje są pozyskiwane przez takich dostawców na zasadzie outsourcingu – wprowadzenie zaostrzonych przepisów bezpieczeństwa w odniesieniu do dostępu udzielanego dostawcom usług zarządzanych.
- Kontynuowanie dyskusji na temat możliwości zastosowania środków związanych z dywersyfikacją dostawców oraz poszukiwania najlepszego sposobu zapobieżenia temu, aby ewentualna dywersyfikacja nie powodowała nowych lub zwiększonych zagrożeń dla bezpieczeństwa, lecz przyczyniała się do zwiększenia bezpieczeństwa i odporności.
- Egzekwowanie środków technicznych i zapewnienie wysokiego poziomu nadzoru. Należy zwrócić szczególną uwagę na niektóre środki, w szczególności zapewnić stosowanie podstawowych wymogów bezpieczeństwa, zaostrzyć normy bezpieczeństwa w wykorzystywanych przez dostawców procesach poprzez stosowanie rygorystycznych warunków udzielania zamówień oraz zapewnić bezpieczne zarządzanie siecią 5G oraz jej bezpieczną eksploatację i monitorowanie.
Kontekst
Unijny zestaw narzędzi na potrzeby cyberbezpieczeństwa sieci 5G (unijny zestaw narzędzi) opublikowany w styczniu 2020 r. przez organy państw członkowskich (grupę współpracy NIS), przy wsparciu Komisji i ENISA, ma na celu przeciwdziałanie zagrożeniom związanym z cyberbezpieczeństwem sieci 5G. Określono w nim i opisano zestaw środków strategicznych i technicznych, a także odpowiednie działania zwiększające ich skuteczność, które mogą zostać wprowadzone w celu ograniczenia ryzyka określonego w sprawozdaniu w sprawie unijnej skoordynowanej oceny ryzyka związanego z cyberbezpieczeństwem 5G opartej na krajowych ocenach ryzyka.
Zestaw narzędzi i jego najważniejsze zalecenia zostały zatwierdzone przez Komisję i państwa członkowskie na najwyższym szczeblu. W październiku 2020 r. Rada Europejska wezwała UE i jej państwa członkowskie do „pełne[go] wykorzystani[a] przyjętego w dniu 29 stycznia 2020 r. unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G, a w szczególności do stosowani[a] odpowiednich ograniczeń wobec dostawców wysokiego ryzyka w odniesieniu do kluczowych aktywów określonych jako krytyczne i wrażliwe w unijnych skoordynowanych ocenach ryzyka” na podstawie wspólnych obiektywnych kryteriów. W swoim zaleceniu z grudnia 2022 r. Rada UE powtórzyła, że „ważne jest, aby państwa członkowskie w pełni wdrożyły środki zalecane w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G, a w szczególności aby wprowadziły ograniczenia wobec dostawców wysokiego ryzyka, zważywszy, że strata czasu może zwiększyć podatność unijnych sieci na zagrożenia”.
Pierwsze sprawozdanie z postępów państw członkowskich we wdrażaniu unijnego zestawu narzędzi opublikowano w lipcu 2020 r. Stwierdzono w nim, że poczyniono konkretne kroki w celu wdrożenia unijnego zestawu narzędzi. Wiele państw członkowskich przyjęło już bardziej zaawansowane środki bezpieczeństwa w zakresie cyberbezpieczeństwa sieci 5G lub było na zaawansowanym etapie przygotowywania takich środków. W swoim sprawozdaniu specjalnym ze stycznia 2022 r. Trybunał Obrachunkowy stwierdził, że od czasu przyjęcia unijnego zestawu narzędzi osiągnięto postępy w poprawie bezpieczeństwa sieci 5G. Trybunał podkreślił jednak również, że państwa członkowskie podchodziły w odmienny sposób do korzystania ze sprzętu pochodzącego od dostawców wysokiego ryzyka lub do zakresu ograniczeń.
