UE określi wspólne standardy bezpieczeństwa 5G
Kraje UE powinny wypracować wspólne podejście mające zapewnić wysoki poziom cyberbezpieczeństwa sieci 5G w całej wspólnocie – zaleciła Komisja Europejska. Sieci piątej generacji w przyszłości połączą ze sobą miliardy przedmiotów i systemów, w tym te o krytycznym znaczeniu, takie jak energetyka, transport, bankowość i opieka zdrowotna, jak również systemy sterowania produkcją.
Rekomendacje trzeba realizować...
Komisja będzie koordynować prace nad wypracowaniem wspólnych standardów odnośnie 5G.
Warto podkreślić, że Komisja natychmiast zaczęła wdrażać rekomendacje, o czym świadczy powołanie dedykowanego zespołu zadaniowego w Grupie Współpracy, który zajmie się wypracowaniem do końca 2019 r. wspólnych, unijnych mechanizmów w zakresie skutecznej identyfikacji środków służących zapewnieniu cyberbezpieczeństwa technologii 5G i ograniczenia ryzyk z tym związanych.
Wymaga to koordynacji na poziomie całej UE, ale jednocześnie sytuacja wyjściowa poszczególnych krajów (dostawcy w sieciach 4G, kalendarz aukcji na częstotliwości dla sieci 5G, gotowość i potencjał do przeprowadzenia certyfikacji, aktualne przepisy krajowe) różni się zasadniczo pomiędzy krajami – oznacza to, że założenia i minimalny oczekiwany poziom bezpieczeństwa powinien być maksymalnie wspólny w UE, ale podejmowane działania mogą się znacząco różnić; Polska kontynuuje analizę rozpoczętą w ubiegłym roku i po jej zakończeniu (w drugim kwartale br.), będzie podejmować działania doraźne zgodne z bieżącym stanem prawnym, jednocześnie proponując średnio i długoterminowe działania, będące zbieżne z rekomendacjami KE.
W tej kwestii niezwykle ważne są podane przez Komisję terminy na realizację poszczególnych zadań wynikających z rekomendacji. Każde państwo członkowskie jest zobowiązane przeprowadzić pełne oszacowanie ryzyka, na poziomie krajowym, związane z wprowadzeniem technologii 5G oraz zidentyfikować te elementy infrastruktury, które są kluczowe dla zapewnienia bezpieczeństwa 5G. Polska także musi dokonać przeglądu wymagań bezpieczeństwa i systemu zarządzania ryzykiem na szczeblu krajowym, tak aby wziąć pod uwagę możliwe zagrożenia związane z wprowadzeniem technologii 5G. Wszystkie państwa mają czas do 30 czerwca br. na dokonanie tych analiz. Kompletne analizy należy przesłać Komisji najpóźniej do 15 lipca br. Następnie na podstawie informacji uzyskanych od wszystkich państw członkowskich oraz po własnych analizach, Komisja wraz z ENISA przygotują do 1 października br. kompleksowy raport, w którym wskazane zostaną wszelkie ryzyka dla bezpieczeństwa europejskiego sektora cyfrowego, w szczególności sieci 5G.
- "Przyjęliśmy rekomendacje z zadowoleniem oraz jednocześnie z satysfakcją, bo znalazły się tam przekazywane przez nas postulaty dotyczące certyfikacji, kontroli cyklu życia, wymiany informacji i doświadczeń między krajami i zamierzamy się do niej zastosować" – zaznaczył Karol Okoński, wiceminister cyfryzacji i Pełnomocnik Rządu ds. Cyberbezpieczeństwa. - "Wielokrotnie powtarzaliśmy, że kwestia bezpieczeństwa sieci 5G powinna być rozstrzygnięta na poziomie Unii Europejskiej. Dlatego cieszymy się, że Komisja przejęła rolę koordynatora w tym procesie, gdyż jak zauważył wiceszef Komisji Europejskiej Andrus Ansip – odpowiedzialny za rynek cyfrowy – „czas ucieka”. Komisarz Andrus nawiązał w ten sposób do tego, że niektóre państwa UE przygotowują się już do przeprowadzenia aukcji, na których zostaną wyłonione podmioty odpowiedzialne za wdrożenie 5G" – dodał.
Podstawą zapewnienia bezpieczeństwa i stabilności sieci 5G jest przeprowadzenie odpowiedniej analizy ryzyka, co znajduje adekwatne umocowanie w dyrektywach telekomunikacyjnych (przede wszystkim 2002/21/EC), dyrektywie NIS, RODO i Akcie Cyberbezpieczeństwa. W kontekście Aktu Cyberbezpieczeństwa (który niebawem wejdzie w życie) KE zapowiedziała, że zwróci się do ENISA (Agencja UE ds. Bezpieczeństwa Sieci i Informacji) o rozpoczęcie prac nad opracowaniem programu certyfikacji dedykowanego zapewnieniu cyberbezpieczeństwa sieci 5G.
- "W ramach oceny ryzyka powinniśmy uwzględniać zarówno aspekty techniczne (podatności, zapewnienie bezpiecznego łańcucha dostaw) jak i pozostałe, dotyczące aspektów prawnych oraz sposobu zarządzania po stronie potencjalnych dostawców; co do aspektów technicznych w jak największym stopniu powinna być wykorzystana certyfikacja" – podkreślił Karol Okoński. W ocenie pełnomocnika rządu, trzeba zdawać sobie sprawę, że przygotowanie odpowiednich profili bezpieczeństwa oraz odpowiednich laboratoriów i procesów dla oceny urządzeń i oprogramowania dla sieci 5G będzie wymagać czasu, co nie pozwoli zastosować tego podejścia w krótkim terminie; to samo dotyczy Rozporządzenia dotyczącego screeningu inwestycji zagranicznych, które w pełni wejdzie w życie dopiero w listopadzie 2020
Już istniejące przepisy wynikające z rozporządzeń i dyrektyw dotyczących sektora telekomunikacyjnego oraz cyberbezpieczeństwa należy wykorzystać w jak największym stopniu, jakkolwiek Polska rozważa dostosowanie krajowych przepisów, by móc skuteczniej zarządzać cyberbezpieczeństwem infrastruktury krytycznej. Co istotne, w rekomendacjach podkreślono, że państwa członkowskie w dalszym ciągu mają prawo do wdrążania takich rozwiązań prawnych i technicznych, które są krytyczne z punktu widzenia bezpieczeństwa państwa.
- "Popieramy decyzję Komisji, żeby w pełni korzystać z wiedzy i doświadczeń nagromadzonych w wyspecjalizowanych instytucjach i agencjach unijnych, takich ENISA, EUROPOL oraz wzajemnej koordynacji w ramach unijnych grup, jak BEREC (Grupa Europejskich Regulatorów Komunikacji Elektronicznej) oraz utworzonych na mocy Dyrektywy NIS: Grupy Współpracy oraz Sieć CSIRT" – powiedział wiceminister cyfryzacji.
5G pod szczególnym nadzorem
Andrus Ansip, wiceprzewodniczący Komisji odpowiedzialny za jednolity rynek cyfrowy, powiedział: - "Technologia 5G przyczyni się do transformacji naszej gospodarki i naszego społeczeństwa oraz otworzy ogromne możliwości dla obywateli i przedsiębiorstw. Nie możemy jednak dopuścić, by proces ten przebiegał bez kompleksowych zabezpieczeń. Musimy zatem bezwzględnie zadbać o to, by infrastruktura 5G w UE była odporna i w pełni chroniona przed lukami o charakterze technicznym lub prawnym".
Julian King, komisarz odpowiedzialny za unię bezpieczeństwa, stwierdził: - "Odporność naszej cyfrowej infrastruktury ma krytyczne znaczenie dla rządów i przedsiębiorstw, dla bezpieczeństwa naszych danych osobowych i funkcjonowania naszych instytucji demokratycznych. Musimy opracować europejskie podejście do ochrony integralności technologii 5G, która stanie się cyfrowym krwioobiegiem naszego funkcjonowania w sieci wzajemnych powiązań".
Mariya Gabriel, komisarz odpowiedzialna za gospodarkę cyfrową i społeczeństwo cyfrowe, dodała: - "Zabezpieczenie sieci 5G ma na celu ochronę infrastruktury, która będzie wspierać ważne funkcje społeczne i gospodarcze – takie jak energetyka, transport, bankowość i opieka zdrowotna, jak również znacznie bardziej zautomatyzowane fabryki jutra. Oznacza również ochronę naszych procesów demokratycznych, takich jak wybory, przed obcą ingerencją i rozpowszechnianiem dezinformacji".
Sieci piątej generacji – przesyłające informacje szczególnie chronione oraz wspierające systemy bezpieczeństwa – stanowić będą w przyszłości rdzeń społeczeństw i gospodarek, łącząc ze sobą miliardy przedmiotów i systemów, w tym w sektorach o krytycznym znaczeniu, takich jak energetyka, transport, bankowość i opieka zdrowotna, jak również systemy sterowania produkcją. Procesy demokratyczne, takie jak wybory, w coraz większym stopniu uzależnione są od infrastruktury cyfrowej oraz sieci 5G, co uwypukla konieczność eliminowania wszelkich luk i sprawia, że zalecenia Komisji nabierają jeszcze większej wagi w perspektywie majowych wyborów do Parlamentu Europejskiego.
Zalecenia Komisji Europejskiej
Kierując się poparciem dla skoordynowanego podejścia do bezpieczeństwa sieci 5G, jakie szefowie państw lub rządów wyrazili na posiedzeniu Rady Europejskiej 22 marca, Komisja Europejska zaleciła szereg konkretnych działań mających na celu analizę zagrożeń dla cyberbezpieczeństwa sieci 5G oraz wzmocnienie środków zapobiegawczych. Zalecenia te łączą instrumenty ustawodawcze i polityczne, które mają zapewnić ochronę naszych gospodarek, społeczeństw i systemów demokratycznych. Technologia 5G, która według szacunków w 2025 r. w skali globalnej będzie generować przychody rzędu 225 mld euro, stanowi kluczowy atut Europy, który pozwoli jej konkurować na światowych rynkach; bezpieczeństwo tej technologii ma zatem decydujące znaczenie dla zapewnienia strategicznej autonomii Unii.
Każda luka w sieciach 5G lub każdy cyberatak na przyszłe sieci w jednym państwie członkowskich będą miały wpływ na całą Unię. Dlatego też skoordynowane działania podejmowane zarówno na szczeblu krajowym, jak i na szczeblu Unii muszą gwarantować wysoki poziom cyberbezpieczeństwa.
W zaleceniu określono szereg środków operacyjnych:
1. Na szczeblu krajowym
Każde państwo członkowskie powinno do końca czerwca 2019 r. przeprowadzić krajową ocenę ryzyka związanego z infrastrukturą sieci 5G. Na tej podstawie państwa członkowskie powinny zaktualizować dotychczasowe wymogi w zakresie bezpieczeństwa, którym podlegają dostawcy usług sieciowych, oraz wprowadzić warunki gwarantujące bezpieczeństwo sieci publicznych, zwłaszcza przy przyznawaniu praw użytkowania częstotliwości radiowych w pasmach 5G. Środki te powinny obejmować nałożenie na dostawców i operatorów zaostrzonych wymogów, zobowiązujących ich do zapewnienia bezpieczeństwa sieci. Krajowe oceny ryzyka oraz środki powinny uwzględniać różne czynniki ryzyka, takie jak ryzyko techniczne oraz ryzyko związane z zachowaniem dostawców lub operatorów, w tym dostawców i operatorów z państw trzecich. Krajowe oceny ryzyka będą stanowić centralny element w procesie opracowywania skoordynowanej unijnej oceny ryzyka.
Państwa członkowskie UE mają prawo wykluczyć przedsiębiorstwa ze swoich rynków ze względów bezpieczeństwa narodowego, jeżeli przedsiębiorstwa te nie przestrzegają norm i przepisów obowiązujących w danym państwie.
2. Na szczeblu UE
Państwa członkowskie powinny wymieniać się informacjami oraz – przy wsparciu Komisji i Agencji UE ds. Cyberbezpieczeństwa (ENISA) – ukończyć do 1 października 2019 r. skoordynowaną ocenę ryzyka. Na jej podstawie państwa członkowskie uzgodnią zestaw środków ograniczających ryzyko, które można będzie stosować na szczeblu krajowym. Mogą one obejmować np. wymóg certyfikacji, testy, kontrole, jak również wskazanie produktów lub dostawców uznanych za potencjalnie niebezpiecznych. Prace te będą prowadzone – przy wsparciu Komisji i ENISA – przez grupę współpracy skupiającą właściwe organy, utworzoną na podstawiedyrektywy w sprawie bezpieczeństwa sieci i informacji. Te skoordynowane prace powinny stanowić wsparcie dla podejmowanych przez państwa członkowskie działań na poziomie krajowym oraz powinny być źródłem wytycznych dla Komisji przy planowaniu możliwych dalszych działań na szczeblu UE. Ponadto państwa członkowskie powinny sformułować szczególne wymogi w zakresie bezpieczeństwa, które mogłyby mieć zastosowanie w kontekście zamówień publicznych związanych z sieciami 5G, w tym bezwzględny wymóg wdrażania systemów certyfikacji cyberbezpieczeństwa.
W przedstawionym dziś zaleceniu przewidziano wykorzystanie szerokiego wachlarza instrumentów, które już przyjęto lub uzgodniono, z myślą o wzmocnieniu współpracy w obliczu cyberataków oraz umożliwieniu UE podejmowania wspólnych działań w celu ochrony unijnej gospodarki i unijnego społeczeństwa. Proponowane rozwiązania obejmują m.in. pierwsze ogólnounijne przepisy w sprawie cyberbezpieczeństwa (dyrektywa w sprawie bezpieczeństwa sieci i informacji), akt w sprawie cyberbezpieczeństwaWyszukaj ten link w innym językuEN••• zatwierdzony w ostatnim czasie przez Parlament Europejski, a także nowe przepisy telekomunikacyjne. Zalecenie pomoże państwom członkowskim we wdrażaniu tych nowych instrumentów tak, by w spójny sposób zagwarantować bezpieczeństwo sieci 5G.
W dziedzinie cyberbezpieczeństwa przyszłe ramy europejskiego systemu certyfikacji produktów, procesów i usług cyfrowych pod kątem cyberbezpieczeństwa, przewidziane w akcie w sprawie cyberbezpieczeństwa, powinny stać się ważnym instrumentem wsparcia służącym promowaniu spójnego poziomu bezpieczeństwa. Wdrażając te ramy, państwa członkowskie powinny również niezwłocznie podjąć aktywną współpracę z wszystkimi pozostałymi zainteresowanymi stronami przy opracowywaniu specjalnych ogólnounijnych systemów certyfikacji związanych z 5G. Gdy tego rodzaju systemy staną się już dostępne, państwa członkowskie powinny wprowadzić obowiązkową certyfikację w tej dziedzinie w drodze krajowych przepisów technicznych.
W obszarze przedsiębiorstw telekomunikacyjnych państwa członkowskie muszą zadbać o to, by zapewniono integralność i bezpieczeństwo publicznych sieci łączności, a także bezwzględnie dopilnować, by operatorzy stosowali środki techniczne i organizacyjne w celu odpowiedniego zarządzania zagrożeniami dla bezpieczeństwa sieci i usług.
Dalsze działania
Do 30 czerwca 2019 r. państwa członkowskie powinny ukończyć swoje krajowe oceny ryzyka oraz zaktualizować niezbędne środki w zakresie bezpieczeństwa. Krajowe oceny ryzyka powinny zostać przekazane Komisji i Agencji UE ds. Cyberbezpieczeństwa do 15 lipca 2019 r.
Jednocześnie państwa członkowskie i Komisja rozpoczną prace koordynacyjne w ramach grupy współpracy ds. bezpieczeństwa sieci i informacji. ENISA przeprowadzi analizę krajobrazu zagrożeń związanych z sieciami 5G, która stanowić będzie wsparcie dla państw członkowskich w realizacji – do 1 października 2019 r. – ogólnounijnej oceny ryzyka.
Do 31 grudnia 2019 r. grupa współpracy ds. bezpieczeństwa sieci i informacji powinna uzgodnić środki ograniczające ryzyko, które umożliwią wyeliminowanie zagrożeń dla cyberbezpieczeństwa wskazanych na szczeblu krajowym i unijnym.
Po wejściu w życie w nachodzących tygodniach aktu w sprawie cyberbezpieczeństwa, który został w ostatnim czasie zatwierdzony przez Parlament Europejski, Komisja i ENISA ustanowią ogólnounijne ramy certyfikacji. Państwa członkowskie zachęca się do współpracy z Komisją i ENISA w celu utworzenia w trybie priorytetowym systemu certyfikacji obejmującego sieci i urządzenia 5G.
Do 1 października 2020 r. państwa członkowskie – we współpracy z Komisją – powinny ocenić skutki wspomnianego zalecenia, aby ustalić, czy istnieje konieczność podjęcia dalszych działań. W ocenie tej należy uwzględnić wyniki skoordynowanej unijnej oceny ryzyka oraz skuteczność unijnego zestawu środków.
Kontekst prawny zaleceń KE
W swoich konkluzjach z 22 marca Rada Europejska wyraziła poparcie dla zalecenia Komisji w sprawie skoordynowanego podejścia do bezpieczeństwa sieci 5G. W rezolucji Parlamentu Europejskiego w sprawie zagrożeń dla bezpieczeństwa wynikających z rosnącej obecności technologicznej Chin w Unii, przegłosowanej 12 marca, również wezwano Komisję i państwa członkowskie do podjęcia działań na szczeblu Unii.
Ponadto cyberbezpieczeństwo sieci 5G ma zasadnicze znaczenie dla zapewnienia strategicznej autonomii Unii, jak podkreślono we wspólnym komunikacie „UE-Chiny – perspektywa strategiczna”. Dlatego też należy w trybie pilnym dokonać przeglądu i zaostrzenia istniejących przepisów w zakresie bezpieczeństwa w tym obszarze, aby zadbać o to, by odzwierciedlały strategiczne znaczenie sieci 5G oraz uwzględniały ewoluujące zagrożenia, w tym rosnącą liczbę coraz bardziej wyrafinowanych cyberataków. Technologia 5G jest atutem Europy, który umożliwia jej konkurowanie na globalnym rynku. W 2025 r. światowe przychody z sieci 5G powinny osiągnąć równowartość 225 miliardów euro. Inne źródło podaje, że wprowadzenie technologii 5G w czterech kluczowych sektorach przemysłu, a mianowicie w motoryzacji, ochronie zdrowia, transporcie i energetyce, może przynieść korzyści rzędu 114 mld euro rocznie.
Dodatkowe informacje:
- Zalecenie w sprawie cyberbezpieczeństwa sieci 5G
- Pytania i odpowiedzi
- Unia bezpieczeństwa: osiągnięto dotąd porozumienie w sprawie 15 z 22 inicjatyw ustawodawczych
- Komunikat prasowy: Unijni negocjatorzy osiągnęli porozumienie w sprawie wzmocnienia cyberbezpieczeństwa Europy
- Komunikat prasowy: Wspólny komunikat „UE-Chiny – perspektywa strategiczna
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?