(1)

Комисията разглежда разгръщането на мрежовите технологии от 5-то поколение (5G) като важен фактор за предоставянето на цифрови услуги в бъдеще и приоритет в стратегията за цифров единен пазар. Комисията прие план за действие за 5G с цел Съюзът да разполага с инфраструктура за свързаност, необходима за неговата цифровата трансформация от 2020 г. нататък (1).

(2)

5G мрежите ще се основават на настоящите мрежови технологии от 4-то поколение (4G), като ще осигурят нови възможности за предоставяне на услуги и ще се превърнат в централната инфраструктура и фактор за развитието на големи части от икономиката на Съюза. След разгръщането на 5G мрежите те ще образуват гръбнака на широк набор от услуги, които са от съществено значение за функционирането на вътрешния пазар и за поддръжката и осъществяването на жизненоважни обществени и икономически функции, като например енергетиката, транспорта, банковото дело и здравеопазването, както и системите за промишлен контрол. Организацията на демократичните процеси, например избори, също все повече ще зависи от цифровата инфраструктура и 5G мрежите.

(3)

Тъй като множество критични услуги са зависими от 5G мрежите, последиците от системни и широкоразпространени смущения ще са особено сериозни. Поради това осигуряването на киберсигурността на 5G мрежите е въпрос от стратегическо значение за Съюза във време, в което кибератаките стават все по-чести и по-сложни от когато и да било.

(4)

Взаимозависимостта и транснационалният характер на инфраструктурите в основата на цифровата екосистема и трансграничният характер на заплахите означават, че всички значителни уязвимости и/или киберинциденти, свързани с 5G мрежите в една държава членка, ще засегнат целия Съюз. Затова трябва да се предприемат мерки за осигуряване на високо общо ниво на киберсигурност на 5G мрежите.

(5)

Необходимостта от действия на равнището на Съюза бе потвърдена от държавите членки. В своите заключения от 21 март 2019 г. Европейският съвет посочва, че очаква препоръка на Комисията относно съгласуван подход към сигурността на 5G мрежите (2).

(6)

Гарантирането на европейския суверенитет следва да бъде основна цел при пълно зачитане на европейските ценности отвореност и толерантност (3). Чуждестранните инвестиции в стратегически сектори, придобиването на критични активи, технологии и инфраструктура в Съюза и доставката на оборудване от критично значение също могат да представляват риск за сигурността на Съюза.

(7)

Както се посочва в съвместното съобщение „ЕС—Китай — стратегически перспективи“ (4), киберсигурността на 5G мрежите е от ключово значение за гарантиране на стратегическата автономност на Съюза.

(8)

В резолюцията на Европейския парламент относно заплахите за сигурността във връзка със засилващото се технологично присъствие на Китай в Съюза също се призовават Комисията и държавите членки да предприемат действия на равнището на Съюза (5).

(9)

В настоящата препоръка се разглеждат рисковете за киберсигурността на 5G мрежите, като се определят насоки за подходящите мерки за анализ и управление на риска на национално равнище, за извършване на координирана европейска оценка и за установяване на процедура за разработване на общ инструментариум, съдържащ най-добрите мерки за управление на риска.

(10)

Съществува стабилна правна уредба на Съюза за защита на електронните съобщителни мрежи.

(11)

С регулаторната рамка на Съюза в областта на електронните комуникации (6) се насърчават конкуренцията, вътрешният пазар и интересите на крайните ползватели, а с Европейския кодекс за електронните съобщения (7) се преследва допълнителна цел за свързаност, изразена в резултати: широко разпространение и използване на фиксирани и мобилни мрежи с много голям капацитет за всички граждани и предприятия в Съюза, като в същото време се защитават интересите на гражданите. В Директива 2002/21/ЕО от държавите членки се изисква да гарантират поддържането на целостта и сигурността на обществените съобщителни мрежи, като са предвидени задължения за гарантиране, че предприятията, предоставящи обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги, предприемат технически и организационни мерки за подходящо управление на рисковете за сигурността на мрежите и услугите. Съгласно Директивата компетентните национални регулаторни органи трябва да разполагат с правомощия, включително правомощие за издаване на задължителни указания, за да се осигури спазването на тези задължения.

(12)

Освен това Директива 2002/20/ЕО на Европейския парламент и на Съвета (8) позволява на държавите членки да добавят условия относно защитата на обществените мрежи срещу неразрешен достъп към общото разрешение с цел защита на поверителността на комуникациите в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (9).

(13)

С цел подпомагане на изпълнението на тези задължения Съюзът създаде редица органи за сътрудничество. Агенцията за мрежова и информационна сигурност (ENISA), Комисията, държавите членки и националните регулаторни органи разработиха технически насоки за националните регулаторни органи относно докладването на инциденти, мерките за сигурност и заплахите и активите (10). С Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (11) бе създадена група за сътрудничество („групата за сътрудничество“), в която участват компетентните органи, с цел подкрепа и улесняване на сътрудничеството, по-специално чрез предоставяне на стратегически насоки за дейностите на мрежата от екипи за реагиране при инциденти с компютърната сигурност, които улесняват оперативното сътрудничество на техническо ниво.

(14)

Бъдещата европейска рамка за сертифициране на киберсигурността (12) следва да осигури важен помощен инструмент за насърчаване на последователност по отношение на равнищата на сигурност. Тя следва да даде възможност за разработване на схеми за сертифициране на киберсигурността с цел посрещане на нуждите на ползвателите на оборудване и софтуер, свързани с 5G мрежите. Поради критичното значение на тези инфраструктури разработването на съответните европейски схеми за сертифициране на киберсигурността на информационните и комуникационните продукти, услуги или процеси, използвани за 5G мрежите, следва да бъде непосредствен приоритет. Държавите членки и участниците на пазара следва активно да участват в разработването на такива схеми за сертифициране, включително като предоставят подкрепа за определянето на специфичните профили на защита за 5G мрежите.

(15)

При липсата на хармонизирано законодателство на Съюза държавите членки могат да постановят посредством национални технически правила, приети в съответствие с правото на Съюза, че участието в дадена европейска схема за сертифициране на киберсигурността е задължително. Държавите членки могат също така да използват европейските схеми за сертифициране на киберсигурността в контекста на обществените поръчки и на Директива 2014/24/ЕС на Европейския парламент и на Съвета (13) и да подкрепят разработването на механизми за подпомагане — например център за подпомагане — с цел закупуване на решения за киберсигурност от страна на публичните купувачи.

(16)

Наличието на високо равнище на защита на данните и неприкосновеността на личния живот е важен елемент от гарантирането на сигурността на 5G мрежите. На равнището на Съюза също така са определени правила за гарантиране на сигурността на обработването на личните данни, включително в сферата на електронните комуникации. В Общия регламент относно защитата на данните (14) се съдържа задължение личните данните да се обработват по начин, който гарантира тяхната сигурност, включително като се предотвратява неразрешен достъп или използване на личните данни и оборудването за тяхното обработване. В Директивата за правото на неприкосновеност на личния живот и електронни комуникации са определени специфични правила за защита на поверителността на комуникациите и на крайното оборудване на крайните потребители. С нея също така на доставчиците на услуги се налагат задължения да предприемат подходящи технически и организационни мерки, за да гарантират сигурността на своите услуги.

(17)

Съюзът също така е приел инструмент, с който ще се защитават критичната инфраструктура и технологии, като тези, използвани в сферата на комуникациите, като се предоставя възможност на държавите членки да извършват скрининг на преки чуждестранни инвестиции на основания, свързани със сигурността или обществения ред, при което държавите членки и Комисията ще могат да обменят информация и да изразяват безпокойство във връзка с конкретни инвестиции (15).

(18)

Понастоящем държавите членки и операторите предприемат важни подготвителни стъпки за създаването на условия за широкомащабното разгръщане на 5G мрежи. Няколко държави членки изразиха безпокойство относно потенциалните рискове за сигурността, свързани с 5G мрежите в контекста на провеждането на процедури за предоставяне на права за използване на радиочестотни ленти, определени за 5G мрежи (16), и проучват мерки за справяне с тези рискове.

(19)

За справяне с рисковете за киберсигурността на 5G мрежите следва да се вземат предвид както техническите, така и други фактори. Техническите фактори могат да включват аспекти, свързани с уязвимости в сигурността, които могат да бъдат използвани за получаване на неразрешен достъп до информация (кибершпионаж по икономически или политически причини) или за други злонамерени цели (кибератаки с цел предизвикване на смущения в системи и данни или тяхното унищожение). Сред важните аспекти, които следва да бъдат взети под внимание, са необходимостта от защита на мрежите през целия им жизнен цикъл и необходимостта от обхващане на цялото съответно оборудване, включително по време на етапите на проектиране, разработване, възлагане, разгръщане, експлоатация и поддръжка на 5G мрежите.

(20)

Сред другите фактори могат да бъдат регулаторни или други изисквания, наложени на доставчиците на информационно и комуникационно оборудване. При оценката на значението на тези фактори следва да се вземат предвид, inter alia, цялостният риск от влияние от страна на трета държава, по-специално по отношение на нейния режим на управление, липсата на споразумения за сътрудничество в областта на сигурността или подобни договорености относно защитата на данните между Съюза и въпросната трета държава, като например решения относно адекватното ниво на защита, или дали тази държава е страна по многостранни, международни или двустранни споразумения в областта на киберсигурността, борбата с киберпрестъпността или защитата на данните.

(21)

На национално равнище следва да се извърши оценка на риска като важна стъпка от разработването на подход на Съюза към киберсигурността на 5G мрежите. Това ще помогне на държавите членки да адаптират националните мерки относно изискванията за сигурност и управлението на риска в светлината на тази оценка.

(22)

Следва да се извършва координация, за да се гарантира ефективността на мерките за справяне с тези заплахи за киберсигурността — мерки, които са от съществено значение за гладкото функциониране на вътрешния пазар и за защитата на личните данни и неприкосновеността на личния живот.

(23)

Националните оценки на риска следва да формират основата на координирана оценка на риска на равнището на Съюза, състояща се от установяване на картината на заплахите и съвместен преглед, който следва да се извърши от държавите членки заедно с Агенцията на Европейския съюз за киберсигурност (ENISA) и с подкрепата на Комисията.

(24)

Като вземе предвид националните оценки на риска и оценката на риска на равнището на Съюза, групата за сътрудничество следва да създаде инструментариум за идентифициране на видовете рискове за киберсигурността и определяне на евентуални мерки за намаляване на рисковете в области като сертифициране, изпитване и контрол на достъпа. Тя също така следва да определи евентуални специфични мерки, подходящи за справяне с рисковете, идентифицирани от една или повече държави членки. Групата за сътрудничество следва да се ползва от подкрепата на Агенцията на Европейския съюз за киберсигурност (ENISA), Европол, Органа на европейските регулатори в областта на електронните съобщения (ОЕРЕС) и Центъра на ЕС за анализ на информация. Този инструментариум следва да послужи за консултиране на Комисията във връзка с разработването на минимални общи изисквания за гарантиране в още по-голяма степен на високо ниво на киберсигурност на 5G мрежите в целия Съюз.

(25)

Когато се предприемат мерки за справяне с рисковете за киберсигурността, следва да се обърне внимание на насърчаването на киберсигурността чрез разнообразие на доставчиците при изграждането на дадена мрежа.

(26)

Настоящата препоръка следва да не засяга компетентността на държавите членки по отношение на дейностите, свързани с обществената сигурност, отбраната и националната сигурност, и дейностите на държавите в областта на наказателното право, включително правото на държавите членки да не допускат доставчици до своите пазари по съображения, свързани с националната сигурност,

1)

2)

3)

4)

5)

6)

7)

8)

9)

10)

11)

12)

13)

14)

15)

16)

17)

18)

19)