Komisja Europejska: sieć 5G kluczową infrastrukturą; jej bezpieczeństwo priorytetowe
Bezpieczeństwo sieci 5G jest jednym z głównych priorytetów Komisji Europejskiej i podstawowym elementem strategii w zakresie unii bezpieczeństwa, Komisja wzywa państwa członkowskie, które jeszcze tego nie zrobiły do pilnego wdrożenia zalecanego zestawu narzędzi, by przeciwdziałać zagrożeniom stwarzanym przez dostawców zidentyfikowanych jako zagrażający cyberbezpieczeństwu – wynika z komunikatu Komisji.
Zidentyfikowani dostawcy o których mowa to przede wszystkim firmy Huawei i ZTE.
“Komisja uważa, że decyzje przyjęte przez państwa członkowskie w celu ograniczenia udziału przedsiębiorstw Huawei i ZTE w sieciach 5G lub wykluczenia ich z tych sieci są uzasadnione i zgodne z zestawem narzędzi na potrzeby sieci 5G. Stosownie do tych decyzji i na podstawie szerokiego zakresu dostępnych informacji Komisja jest zdania, że Huawei i ZTE stanowią w rzeczywistości znacznie wyższe ryzyko niż inni dostawcy sieci 5G” – czytamy w stanowisku Komisji.
Opublikowany komunikat towarzyszy publikacji drugiego sprawozdania z postępów we wdrażaniu unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G, jakie opracowały państwa członkowskie UE, przy wsparciu Komisji Europejskiej i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
“Potrzebujemy dalszych pilnych działań w ramach unijnego zestawu narzędzi. W szczególności trzeba przyjąć niezbędne ograniczenia w odniesieniu do dostawców wysokiego ryzyka, aby zapewnić bezpieczeństwo unijnej infrastruktury krytycznej. Chociaż niektóre państwa członkowskie poczyniły postępy, z dzisiejszego sprawozdania wynika, że nie osiągnęliśmy jeszcze celu, który musimy zrealizować. Komisja podejmuje działania niezbędne do zapewnienia bezpieczeństwa swoich własnych sieci i instrumentów finansowania” – mówi cytowana w komunikacie KE wiceprzewodnicząca wykonawcza do spraw Europy na miarę ery cyfrowej Margrethe Vestager.
Wiceprzewodniczący Komisji do spraw promowania naszego europejskiego stylu życia Margaritis Schinas dodaje, że w sprawozdaniu, wyraźnie stwierdzono, iż “pilnym priorytetem jest dokończenie przez organy krajowe ich starań na rzecz pełnego wdrożenia środków unijnego zestawu narzędzi na potrzeby sieci 5G w celu ochrony bezpieczeństwa zbiorowego UE”.
“Dokończenie tych wysiłków, a w szczególności identyfikacja i ograniczenie dostępu do tych dostawców sieci 5G, którzy stwarzają wysokie ryzyko, ma kluczowe znaczenie dla uszczelnienia infrastruktury unii bezpieczeństwa” powiedział Schinas.
Komisarz do spraw rynku wewnętrznego Thierry Breton zaakcentował natomiast, że Unii udało się w rekordowym czasie zmniejszyć lub wyeliminować zależności w innych sektorach, takich jak energia, mimo że wiele osób uważało, iż jest to niemożliwe.
“Podobnie powinno być w przypadku sieci 5G: nie możemy sobie pozwolić na dalsze istnienie krytycznych zależności, które mogłyby stać się >>bronią<< przeciwko naszym interesom. Taka podatność na zagrożenia miałaby zbyt krytyczne znaczenie i stanowiłaby poważne zagrożenie dla naszego wspólnego bezpieczeństwa. Wzywam zatem wszystkie państwa członkowskie i wszystkich operatorów telekomunikacyjnych do niezwłocznego wprowadzenia niezbędnych środków” – zaapelował Breton.
W sprawozdaniu, przyjętym przez państwa członkowskie, odnotowano, że 24 państwa członkowskie przyjęły lub przygotowują środki ustawodawcze przyznające organom krajowym uprawnienia do przeprowadzania oceny dostawców i nakładania ograniczeń. Spośród nich 10 państw członkowskich wprowadziło takie ograniczenia, a trzy państwa członkowskie pracują obecnie nad wdrożeniem odpowiednich przepisów krajowych.
Zauważono też, że od czasu publikacji pierwszego dokumentu z postępu prac – z lipca 2020 r. – udało się osiągnąć postępy we wdrażaniu najważniejszych środków unijnego zestawu narzędzi.
Aktualne Sprawozdanie zawiera następujące zalecenia dla państw członkowskich:
- Państwa członkowskie wymagają od operatorów telefonii komórkowej dostarczenia kompleksowych i szczegółowych informacji na temat obecnie zainstalowanego sprzętu 5G oraz planowanych instalacji lub pozyskania nowego sprzętu.
- Przy ocenie profilu ryzyka dostawców państwa członkowskie powinny wziąć pod uwagę obiektywne kryteria zalecane w unijnym zestawie narzędzi. W związku z tym oczywiste jest, że dostawcy sieci 5G różnią się wyraźnie pod względem swoich cech, w szczególności pod względem prawdopodobieństwa ulegania wpływom określonych państw trzecich, w których obowiązują przepisy bezpieczeństwa i ład korporacyjny stanowiące potencjalne zagrożenie dla bezpieczeństwa Unii. Należy ponadto wziąć po uwagę ustalenia innych państw członkowskich wskazujące dostawców wysokiego ryzyka, mając na względzie promowanie spójności i wysokiego poziomu bezpieczeństwa w całej Unii.
- Na podstawie oceny dostawców państwa członkowskie powinny niezwłocznie nałożyć ograniczenia na dostawców wysokiego ryzyka, biorąc pod uwagę, że zwłoka w tym zakresie może zwiększyć podatność na zagrożenia sieci na terenie Unii oraz zależność Unii od dostawców wysokiego ryzyka, zwłaszcza w przypadku państw członkowskich, w których działa wielu potencjalnych dostawców wysokiego ryzyka.
- Aby skutecznie ograniczyć ryzyko, państwa członkowskie powinny zadbać o to, aby ograniczenia obejmowały krytyczne i bardzo wrażliwe elementy infrastruktury określone w skoordynowanej ocenie ryzyka UE, w tym sieć dostępu radiowego.
- W przypadku typów urządzeń objętych ograniczeniami operatorzy powinni mieć zakaz instalowania nowych urządzeń. Jeżeli dopuszcza się okresy przejściowe na usunięcie istniejącego sprzętu, należy wyznaczyć je w taki sposób, aby zapewnić usunięcie istniejącego sprzętu w najkrótszym możliwym czasie, biorąc pod uwagę zagrożenie dla bezpieczeństwa, jakie wiąże się z utrzymywaniem sprzętu od dostawców wysokiego ryzyka, i nie należy ich stosować w celu kontynuowania instalacji nowego sprzętu od dostawców wysokiego ryzyka.
- Wdrożenie ograniczeń dla dostawców usług zarządzanych, a w przypadku gdy dane funkcje są pozyskiwane przez takich dostawców na zasadzie outsourcingu – wprowadzenie zaostrzonych przepisów bezpieczeństwa w odniesieniu do dostępu udzielanego dostawcom usług zarządzanych.
- Kontynuowanie dyskusji na temat możliwości zastosowania środków związanych z dywersyfikacją dostawców oraz poszukiwania najlepszego sposobu zapobieżenia temu, aby ewentualna dywersyfikacja nie powodowała nowych lub zwiększonych zagrożeń dla bezpieczeństwa, lecz przyczyniała się do zwiększenia bezpieczeństwa i odporności.
- Egzekwowanie środków technicznych i zapewnienie wysokiego poziomu nadzoru. Należy zwrócić szczególną uwagę na niektóre środki, w szczególności zapewnić stosowanie podstawowych wymogów bezpieczeństwa, zaostrzyć normy bezpieczeństwa w wykorzystywanych przez dostawców procesach poprzez stosowanie rygorystycznych warunków udzielania zamówień oraz zapewnić bezpieczne zarządzanie siecią 5G oraz jej bezpieczną eksploatację i monitorowanie.
