Komisia odporúča konkrétne opatrenia na posúdenie rizík v oblasti kybernetickej bezpečnosti sietí 5G

Siete piatej generácie (5G) budú tvoriť základ našich spoločností a hospodárstiev vďaka prepojeniu miliárd objektov a systémov, a to aj v kritických odvetviach ako energetika, doprava, bankovníctvo a zdravotníctvo, ako aj v systémoch priemyselnej kontroly, ktoré uchovávajú citlivé informácie a podporujú bezpečnostné systémy. Demokratické procesy, ako sú voľby, sa čoraz viac opierajú o digitálne infraštruktúry a siete 5G, čo zdôrazňuje potrebu riešiť akékoľvek slabé miesta a vyzdvihnúť význam odporúčaní Komisie ešte pred májovými voľbami do Európskeho parlamentu.

V nadväznosti na podporu, ktorú hlavy štátov alebo predsedovia vlád vyjadrili v Európskej rade 22. marca v súvislosti so spoločnou koncepciou v otázke bezpečnosti sietí 5G Európska komisia odporúča súbor konkrétnych opatrení na posúdenie rizík v oblasti kybernetickej bezpečnosti sietí 5G a posilnenie preventívnych opatrení. Odporúčania sú kombináciou legislatívnych a politických nástrojov, ktoré slúžia na ochranu našich ekonomík, spoločností a demokratických systémov. Keďže celosvetové výnosy z technológie 5G v roku 2025 sa odhadujú na 225 miliárd EUR, Európa môže získať kľúčovú konkurenčnú výhodu na globálnom trhu, a preto je zaistenie kybernetickej bezpečnosti nevyhnutné pre zaručenie strategickej autonómie Únie.

Podpredseda Andrus Ansip, zodpovedný za jednotný digitálny trh, povedal: „Technológia 5G prinesie transformáciu nášho hospodárstva a spoločnosti, ako aj obrovské príležitosti pre ľudí a podniky. Tento vývoj však nemôžeme akceptovať bez záruky úplnej bezpečnosti. Preto je nevyhnutné, aby infraštruktúry 5G v EÚ boli odolné a plne zabezpečené pred technickými alebo právnymi zadnými dvierkami.“

Komisár Julian King, zodpovedný za bezpečnostnú úniu, uviedol: „Odolnosť našej digitálnej infraštruktúry má kritický význam pre vlády, podniky, bezpečnosť našich osobných údajov a fungovanie našich demokratických inštitúcií. Musíme vypracovať európsku koncepciu na ochranu integrity technológie 5G, ktorá bude fungovať ako digitálny krvný obeh nášho prepojeného bytia.“

Komisárka Mariya Gabrielová, zodpovedná za digitálnu ekonomiku a spoločnosť, dodala: „Cieľom ochrany sietí 5G je ochrana infraštruktúry, ktorá bude tvoriť základ dôležitých spoločenských a hospodárskych funkcií, ako sú napríklad energetika, doprava, bankovníctvo a zdravotníctvo, ako aj čoraz automatizovanejších tovární budúcnosti. Ide aj o ochranu našich demokratických procesov, ako sú voľby, pred zásahmi zvonka a šírením dezinformácií.“

Každá slabina sietí 5G alebo kybernetický útok zameraný na budúce siete v jednom členskom štáte by ovplyvnili Úniu ako celok. Zosúladené opatrenia na úrovni jednotlivých štátov a EÚ preto musia zabezpečiť vysokú úroveň kybernetickej bezpečnosti.

V dnešnom odporúčaní sa stanovuje súbor operačných opatrení:

1. Na vnútroštátnej úrovni

Každý členský štát by mal do konca júna 2019 dokončiť vnútroštátne posúdenie rizika infraštruktúry siete 5G. Na tomto základe by mali aktualizovať existujúce bezpečnostné požiadavky určené prevádzkovateľom sietí a zahrnúť do nich podmienky zaručenia bezpečnosti verejných sietí, najmä pri udeľovaní práv na využívanie rádiových frekvencií v pásmach 5G. Mali by to byť sprísnené povinnosti pre dodávateľov a prevádzkovateľov v záujme zaručenia bezpečností sietí. Členské štáty by pri vnútroštátnom posúdení rizika a opatreniach mali vziať do úvahy rôzne rizikové faktory, napríklad technické riziká a riziká spojené s konaním dodávateľov a prevádzkovateľov – vrátane dodávateľov a prevádzkovateľov z tretích krajín. Vnútroštátne posúdenia rizika budú ústredným prvkom pri koncipovaní koordinovaného posúdenia rizika EÚ.

Členské štáty EÚ majú právo rozhodnúť sa vylúčiť z dôvodu národnej bezpečnosti zo svojho trhu spoločnosti, ak nespĺňajú normy a právny rámec danej krajiny.

2. Na úrovni EÚ

Členské štáty by si mali navzájom vymieňať informácie a s podporou Komisie a Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA) do 1. októbra 2019 dokončia koordinované posúdenie rizika. Na jeho základe sa dohodnú na súbore zmierňujúcich opatrení, ktoré možno využiť na vnútroštátnej úrovni. Ako príklad možno uviesť požiadavky na certifikáciu, testy, kontroly, ako aj identifikáciu produktov alebo dodávateľov, ktorí sa považujú za potenciálne nie bezpečných. Za vykonanie práce bude zodpovedná skupina pre spoluprácu združujúca príslušné orgány v zmysle smernice o kybernetickej bezpečnosti (smernica NIS), s pomocou Komisie a agentúry ENISA. Táto koordinovaná práca by mala fungovať ako podpora vnútroštátnych opatrení členských štátov a zároveň by z nej mali plynúť usmernenia pre Komisiu pri možných budúcich krokoch na úrovni EÚ. Okrem toho by členské štáty mali sformulovať konkrétne bezpečnostné požiadavky, ktoré by sa mohli uplatňovať pri verejnom obstarávaní v súvislosti so sieťami 5G, vrátane povinných požiadaviek na vykonávanie systémov certifikácie kybernetickej bezpečnosti.

V dnešnom odporúčaní sa uvádza využívanie širokej škály nástrojov, ktoré sú už zavedené alebo sa odsúhlasili s cieľom posilniť spoluprácu v boji proti kybernetickým útokom a umožnia EÚ postupovať spoločne pri ochrane jej hospodárstva a spoločnosti, vrátane prvých právnych predpisov na úrovni EÚ o kybernetickej bezpečnosti (smernica o kybernetickej bezpečnosti), aktu o kybernetickej bezpečnosti, ktorý nedávno schválil Európsky parlament, a nových pravidiel v oblasti telekomunikácií. Okrem toho pomôže členským štátom pri jednotnom zavádzaní týchto nových nástrojov týkajúcich sa bezpečnosti sietí 5G.

Pokiaľ ide o kybernetickú bezpečnosť, budúci rámec európskeho certifikátu kybernetickej bezpečnosti pre digitálne produkty, procesy a služby, ktorý sa uvádza v akte o kybernetickej bezpečnosti, by mal byť základným podporným nástrojom na propagáciu stabilných úrovní bezpečnosti. Pri jeho vykonávaní by sa členské štáty spolu s ostatnými zúčastnenými stranami mali takisto aktívne zapojiť do procesu vyvíjania špecializovaných systémov certifikácie v oblasti 5G. Keď budú k dispozícii, členské štáty by mali vo svojich vnútroštátnych technických predpisoch zaviesť povinnú certifikáciu v tejto oblasti.

Pokiaľ ide o telekomunikácie, členské štáty musia zabezpečiť integritu a bezpečnosť verejných komunikačných sietí a prevádzkovateľom uložiť povinnosť vykonať technické a organizačné opatrenia na primerané riadenie rizík spojených s bezpečnosťou sietí a služieb.

Ďalšie kroky

• Členské štáty by mali do 30. júna 2019 dokončiť svoje vnútroštátne posúdenie rizika a aktualizovať potrebné bezpečnostné opatrenia. Vnútroštátne posúdenie rizika by sa malo do 15. júla 2019 postúpiť Komisii a Agentúre Európskej únie pre kybernetickú bezpečnosť.
• Členské štáty a Komisia súčasne začnú koordinačné činnosti v rámci skupiny spoluprácu zriadenej podľa smernice NIS. ENISA dokončí mapovanie hrozieb v súvislosti s 5G, ako pomôcku pre členské štáty, aby mohli do 1. októbra 2019 dokončiť posúdenie rizika na celom území EÚ.
• Skupina pre spoluprácu zriadená smernicou NIS by sa mala do 31. decembra 2019 dohodnúť na zmierňujúcich opatreniach určených na riešenie zistených rizík v oblasti kybernetickej bezpečnosti na vnútroštátnej a únijnej úrovni.
• Keď akt o kybernetickej bezpečnosti (nedávno schválený Európskym parlamentom) v najbližších týždňoch nadobudne účinnosť, Komisia a agentúra ENISA zriadia celoúnijný certifikačný rámec. Členské štáty by mali spolupracovať s Komisiou a agentúrou ENISA, aby uprednostnili systém certifikácie, ktorý zahŕňa siete a zariadenia 5G.
• Členské štáty v spolupráci s Komisiou by mali do 1. októbra 2020 posúdiť účinky tohto odporúčania s cieľom určiť oblasti, kde treba ďalej konať. V danom posúdení by sa mal zohľadniť výsledok koordinovaného európskeho posúdenia rizika a účinnosť súboru opatrení.

Súvislosti

Európska rada vo svojich záveroch z 22. marca vyjadrila podporu Európskej komisii, ktorá odporúča spoločný prístup k bezpečnosti sietí 5G. Aj Európsky parlament vo svojom uznesení o bezpečnostných hrozbách v súvislosti s technologickou prítomnosťou Číny v Únii, o ktorom sa hlasovalo 12. marca, vyzval Komisiu a členské štáty, aby podnikli kroky na úrovni Únie.

Kybernetická bezpečnosť sietí 5G je okrem toho kľúčom k zaručeniu strategickej autonómie Únie, ako sa zdôraznilo v spoločnom oznámení „EÚ – Čína: strategická vízia“. Preto je nevyhnutné a naliehavé preskúmať a sprísniť existujúce bezpečnostné pravidlá v tejto oblasti s cieľom zabezpečiť, aby sa premietli do strategického významu sietí 5G, ako aj do vývoja hrozieb, vrátane čoraz častejších a zložitejších kybernetických útokov. Technológia 5G predstavuje pre Európu zásadnú výhodu v globálnej hospodárskej súťaži. Celosvetové výnosy z technológie 5G by mali v roku 2025 dosiahnuť ekvivalent sumy 225 miliárd EUR. Podľa iného zdroja môžu prínosy jej zavedenia v štyroch kľúčových priemyselných sektoroch (teda v automobilovom priemysle, zdravotníctve, doprave a energetike) dosiahnuť hodnotu 114 miliárd EUR ročne.