Securitatea rețelelor 5G în UE: Mai multe țări vor aplica restricții față de producătorii cu grad ridicat de risc la adresa securității naționale
Statele membre UE au publicat vineri un raport privind progresele înregistrate în aplicarea setului comun de instrumente de securitate cibernetică a viitoarelor rețele 5G. Măsurile vizând restricționarea participării furnizorilor în funcție de profilul lor de risc sunt deja în vigoare în câteva state membre și se află într-un stadiu avansat de pregătire în multe alte state membre. Vezi în articol ce restricții au decis că vor impune Estonia și Franța.
Statele membre ale UE, cu sprijinul Comisiei Europene și al ENISA, Agenția UE pentru Securitate Cibernetică, au publicat vineri, 24 iulie, un raport privind progresele înregistrate în punerea în aplicare a setului de instrumente comun al UE privind securitatea rețelelor 5G, a anunțat Comisia Europeană.
Comisia Europeană spune că s-au înregistrat deja progrese satisfăcătoare în ceea ce privește unele dintre măsurile prevăzute în setul de instrumente, și anume în următoarele domenii:
- Competențele autorităților naționale de reglementare a securității rețelelor 5G au fost sau sunt în curs de consolidare în marea majoritate a statelor membre, inclusiv competențele de a reglementa achiziționarea de echipamente și servicii de rețea de către operatori.
- Măsurile vizând restricționarea participării furnizorilor în funcție de profilul lor de risc sunt deja în vigoare în câteva state membre și se află într-un stadiu avansat de pregătire în multe alte state membre. Raportul le solicită celorlalte state membre să continue pe această cale și să finalizeze acest proces în lunile următoare.
În raport sunt date ca exemplu măsurile luate de Estonia și Franța.
- În Estonia, Parlamentul a adoptat un amendament la Lege Comunicațiilor electronice care dă Guvernului puterea de a impune obligații privind furnizarea de informații legate de hardware-ul și software-ul folosit în rețelele de comunicații, precum și obligația ca operatorii telecom să obțină o autorizație cu privire la folosirea de hardware și software care să garanteze securitatea națională. Aceste obligații vor fi detaliate prin legislație secundară.
- În Franța, a fost adoptată o lege în luna august a anului trecut, care permite autorităților să restricționeze ori să interzică ori să impună cerințe și condiții cu privire la echipamentele 5G folosite pentru furnizarea, dezvoltarea și operarea rețelelor prin stabilirea obligației de a obține autorizație de la Primul Ministru înainte de a face implementa și a operaționaliza echipamente sensibile în rețelele 5G.
În ceea ce privește domeniul de aplicare precis al acestor restricții, raportul subliniază importanța examinării rețelei în ansamblu și a abordării elementelor centrale, precum și a altor elemente critice și foarte sensibile, inclusiv funcțiile de gestionare și rețeaua de acces radio, precum și a impunerii de restricții și asupra altor active esențiale, cum ar fi zonele geografice delimitate, administrația publică sau alte entități critice. Pentru operatorii care au încheiat deja contracte cu vânzători care prezintă un risc ridicat, ar trebui să se instituie perioade de tranziție.
Cerințele privind securitatea și reziliența rețelelor pentru operatorii de rețele mobile sunt revizuite în majoritatea statelor membre. Raportul subliniază importanța asigurării faptului că aceste cerințe sunt consolidate, că urmează cele mai avansate practici și că punerea lor în aplicare de către operatori este efectiv auditată și realizată.
Pe de altă parte, mai spune Comisia Europeană, unele măsuri se află într-un stadiu mai puțin avansat de punere în aplicare, în special în următoarele domenii:
- Sunt necesare progrese urgente pentru reducerea riscului de dependență față de furnizorii cu risc ridicat, inclusiv pentru reducerea dependențelor la nivelul Uniunii. Acest demers ar trebui să se bazeze pe un inventar riguros al lanțului de aprovizionare a rețelelor și presupune monitorizarea evoluției situației.
- Au fost identificate provocări în ceea ce privește conceperea unor strategii adecvate multi-furnizor și aplicarea lor de către diferiții MNO (operatori de rețele mobile) sau la nivel național din cauza unor dificultăți tehnice sau operaționale (de exemplu, lipsa interoperabilității, dimensiunea țării).
- În ceea ce privește examinarea investițiilor străine directe, ar trebui luate măsuri pentru introducerea fără întârziere a mecanismului de examinare a ISD în 13 state membre în care acest mecanism nu este încă în vigoare, având în vedere faptul că, din octombrie 2020, va începe să se aplice cadrul UE de examinare a investițiilor. Aceste mecanisme de examinare ar trebui să se aplice evoluțiilor investițiilor care ar putea afecta lanțul valoric în domeniul 5G, ținând seama de obiectivele setului de instrumente.
Pe viitor, raportul recomandă, de asemenea, ca autoritățile statelor membre:
- să facă schimb de mai multe informații privind provocările, bunele practici și soluțiile pentru punerea în aplicare a măsurilor prevăzute în setul de instrumente;
- să continue monitorizarea și evaluarea punerii în aplicare a setului de instrumente,
- precum și să continue să colaboreze cu Comisia pentru a pune în aplicare acțiunile la nivelul UE enumerate în setul de instrumente, inclusiv în domeniul standardizării și al certificării, al instrumentelor de apărare comercială și al normelor de concurență, pentru a evita efectele de denaturare a concurenței pe piața furnizării tehnologiei 5G. De asemenea, investițiile în capacitățile UE în ceea ce privește tehnologiile 5G și post-5G și asigurarea finanțării din fonduri publice a proiectelor 5G țin seama de riscurile în materie de securitate cibernetică.
Următoarele etape
Comisia va continua să colaboreze cu statele membre și cu ENISA în cadrul Grupului de cooperare NIS, pentru a monitoriza implementarea setului de instrumente și pentru a asigura eficacitatea și coerența aplicării sale. Grupul va promova, de asemenea, alinierea abordărilor naționale, prin schimburi de experiență și prin colaborarea cu Organismul Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (OAREC).
Ca parte a punerii în aplicare a recomandării Comisiei adoptate anul trecut, statele membre, în cooperare cu Comisia, ar trebui să evalueze, până la 1 octombrie 2020, efectele recomandării și să determine dacă sunt necesare măsuri suplimentare. Această evaluare ar trebui să țină seama de rezultatul evaluării coordonate la nivelul UE a riscurilor, care a fost publicată în octombrie 2019, precum și de eficacitatea măsurilor prevăzute în setul de instrumente.
Context
În martie 2019, în urma unei solicitări a Consiliului European privind o abordare concertată a securității rețelelor 5G, Comisia a adoptat o Recomandare privind securitatea cibernetică a rețelelor 5G.
Comisia a invitat statele membre să finalizeze evaluările naționale ale riscurilor, să revizuiască măsurile naționale și să colaboreze la nivelul UE pentru a realiza o evaluare coordonată a riscurilor și un set comun de măsuri de atenuare.
Pe baza evaluării riscurilor efectuată de către statele membre la nivel național, Raportul privind evaluarea coordonată la nivelul UE a riscurilor referitoare la securitatea cibernetică a rețelelor 5G, prezentat în octombrie 2019, a identificat principalele amenințări și principalii actori care generează amenințări, activele cele mai sensibile, principalele vulnerabilități, precum și o serie de riscuri strategice.
În completarea acestui raport și cu scopul de a servi drept contribuție suplimentară la setul de instrumente al UE, ENISA a realizat o cartografiere a situației amenințărilor, constând într-o analiză detaliată a anumitor aspecte tehnice, în special identificarea activelor rețelei și a amenințărilor la adresa acestora.
În ianuarie 2020, statele membre, prin intermediul Grupului de cooperare NIS, au adoptat setul de instrumente al UE, o panoplie de măsuri de atenuare a riscurilor. În aceeași zi, Comisia a adoptat o comunicare prin care a aprobat setul de instrumente, subliniind importanța punerii sale în aplicare efective și rapide și a invitat statele membre să întocmească un raport privind punerea sa în aplicare până la 30 iunie 2020; raportul a fost, așadar, publicat astăzi.