EVROPSKÁ KOMISE
V Bruselu dne 29.1.2020
COM(2020) 50 final
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ
Bezpečné zavádění sítí 5G v EU – Implementace souboru opatření EU
EVROPSKÁ KOMISE
V Bruselu dne 29.1.2020
COM(2020) 50 final
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ
Bezpečné zavádění sítí 5G v EU – Implementace souboru opatření EU
1.Úvod
Telekomunikační sítě páté generace (5G) mají hrát ve vývoji evropské společnosti a ekonomiky zásadní roli. Očekává se, že přinesou obrovské ekonomické příležitosti a budou tvořit důležitou základnu digitální a ekologické transformace odvětví, jako jsou doprava, energetika, výroba, zdravotnictví, zemědělství či média.
Sítě 5G tak mohou ovlivnit téměř všechny aspekty života občanů EU. Otázka jejich kybernetické bezpečnosti je proto zásadní, nejen abychom ochránili své ekonomiky, společnosti a demokratické procesy, ale také abychom v zájmu všech občanů EU zajistili důvěryhodnou digitální transformaci.
Vzhledem k závislosti řady kritických služeb na sítích 5G by jakékoliv systematické a rozsáhlé narušení mělo velmi vážné následky, a jelikož jsou digitální ekosystémy vzájemně propojené, mohlo by mít značný dopad i za hranicemi jednotlivých států. Zajištění kybernetické bezpečnosti sítí 5G má proto pro Unii v době, kdy jsou kybernetické útoky stále častější a sofistikovanější než kdykoliv předtím a přicházejí od celé řady aktérů, zejména zemí mimo EU nebo státem podporovaných subjektů, strategický význam. V otázce bezpečnosti kritických infrastruktur jako 5G bylo proto rozhodnuto poprvé definovat společný evropský přístup. Ten plně respektuje otevřenost vnitřního trhu EU – za předpokladu, že budou dodrženy bezpečnostní požadavky EU vycházející z analýzy rizik.
Evropská rada dne 22. března 2019 vyzvala k tomu, aby byl k bezpečnosti sítí 5G zaujat jednotný přístup. Dne 26. března 2019 přijala Komise doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G 1 . V něm vyzvala členské státy, aby provedly vnitrostátní posouzení rizik a přezkoumaly svá národní opatření a aby na unijní úrovni spolupracovaly na koordinovaném posouzení rizik a vypracovaly soubor možných zmírňujících opatření. Toto sdělení je součástí komplexní evropské digitální strategie vyžádané Evropskou radou.
2.Spuštění sítí 5G v EU
Vybudovat v Evropě infrastrukturu sítí 5G je ústředním prvkem evropské průmyslové strategie a konkurenceschopnosti. Komise označila zavedení síťových technologií 5G za jeden z hlavních předpokladů budoucích digitálních služeb. V roce 2016 přijala Komise akční plán 5G, který má zajistit, aby Unie disponovala odpovídající infrastrukturou pro konektivitu potřebnou k digitální transformaci počínaje rokem 2020 a do roku 2025 ji měla komplexně zavedenou v městských oblastech a na hlavních přepravních trasách 2 . Ve sdělení o gigabitové společnosti byl stanoven cíl, aby bylo všude, včetně venkovských a odlehlých oblastí, dostupné mobilní datové připojení 3 .
Co se týká přidělování kmitočtů, zatím členské státy přidělily 16 % prvotních pásem 5G 4 . V několika příštích měsících by měly proběhnout konzultace k dalšímu přidělování, a to s ohledem na právní povinnost umožnit do konce roku využívání všech prvotních pásem 5G.
Z hlediska spuštění komerčních služeb 5G je Evropa celosvětově jedním z nejpokročilejších regionů 5 . Podle současných předpokladů budou první služby 5G do konce roku 2020 k dispozici v 138 evropských městech. První sítě 5G staví na současné čtvrté generaci (4G) síťových technologií a služby 5G jsou nabízeny zejména široké veřejnosti, buď v rámci zrychlení a zvýšení kapacity 4G, nebo jako nákladově efektivní alternativa k pevným sítím 6 .
Pokud jde o příležitosti v nových službách B2B v odvětvích, jako je energetika, potravinářství a zemědělství, zdravotnictví, výroba nebo doprava, Evropa velmi pokročila. Její investice v této oblasti se pohybují v řádu 1 miliardy EUR, což zahrnuje 300 milionů EUR z prostředků EU v kontextu partnerství veřejného a soukromého sektoru v oblasti 5G v rámci programu Horizont 2020. Tyto investice zahrnují přes 160 rozsáhlých testovacích projektů 5G v Evropě, včetně deseti přeshraničních dálničních koridorů pro rozsáhlé testování 5G služeb propojené a automatizované mobility. Mezi projekty je využití 5G v oblastech od udržitelné zdravotní péče a zemědělství účinně využívajícího zdroje a automatizovanou mobilitu po inteligentní elektroenergetické sítě a průmysl 4.0. Kromě toho EIB s podporou Evropského fondu pro strategické investice poskytla úvěry na urychlení výzkumu a vývoje technologií 5G.
Důležitý základ pro vznik prostředí příznivého pro investice do 5G a dalších sítí představuje evropský kodex pro elektronické komunikace (dále jen „kodex“) 7 , který začne platit 21. prosince 2020. Důležité budou v podpoře dalšího zavádění sítí 5G také programy veřejného financování jako Nástroj pro propojení Evropy – Digitální technologie 8 nebo evropské strukturální a investiční fondy, které budou ke službám založeným na 5G zejména připojovat komunity, jako jsou školy, nemocnice, města a místní samosprávy.
Vzhledem ke strategickým příležitostem, které služby 5G v řadě odvětví Evropě otevírají, bude nanejvýš důležité, aby provozovatelé a poskytovatelé služeb investovali do pokročilých 5G síťových řešení a řešení v oblasti služeb. K tomu budou třeba nejen nové 5G rádiové sítě, ale také nové tzv. stand-alone páteřní sítě 5G, které umožní poskytovat pokročilé 5G funkcionality jako segmentaci sítě 9 a edge computing 10 .
Komise bude úspěšné spuštění sítí 5G v EU dál plně podporovat, a to i ve spolupráci s členskými státy a zainteresovanými stranami, aby se příležitosti 5G využily. V souladu se zásadou předběžné opatrnosti 11 a ve spolupráci s příslušnými mezinárodními organizacemi a vědeckou obcí bude věnována patřičná pozornost relevantním zdravotním aspektům.
3.Koordinované posouzení rizik EU v oblasti kybernetické bezpečnosti sítí 5G
Členské státy v úzké spolupráci v rámci skupiny pro spolupráci v oblasti bezpečnosti sítí a informací 12 dokončily svá vnitrostátní posouzení rizik své infrastruktury sítí 5G a výsledky předaly nejpozději začátkem července 2019 Komisi a Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA).
Na základě vnitrostátních posouzení rizik skupina pro spolupráci v oblasti bezpečnosti sítí a informací, tvořená zástupci členských států, Komise a agentury ENISA, zveřejnila dne 9. října 2019 zprávu o koordinovaném posouzení rizik souvisejících s kybernetickou bezpečností sítí 5G v EU 13 . Zpráva poukazuje na hlavní hrozby a jejich původce, nejcitlivější aktiva a hlavní zranitelnosti (včetně technických a jiných typů zranitelností), jež sítě 5G ohrožují. Na základě toho také zpráva uvádí několik kategorií rizik, jež mají pro EU strategický význam a jež ilustruje konkrétními rizikovými scénáři odrážejícími příslušné kombinace různých parametrů (zranitelností, hrozeb a původců) u jednotlivých aktiv (viz dodatek).
Agentura ENISA ke zprávě jako další podklad pro soubor opatření připojila analýzu souvisejících forem hrozeb 14 , která podrobně rozebírá určité technické aspekty, zejména identifikaci síťových aktiv a s nimi souvisejících hrozeb.
Zpráva o koordinovaném posouzení rizik EU vyzdvihuje několik aspektů, které jsou pro sítě 5G důležité, konkrétně:
a) V důsledku technologických změn, které s sebou 5G přinese, se zvětší celkový prostor k útokům a množství potenciálních přístupových bodů pro útočníky:
– rozšířené funkce na okraji sítě a méně centralizovaná architektura oproti předchozím generacím mobilních sítí znamenají, že některé z funkcí páteřních sítí lze integrovat do jiných částí sítě, čímž se zvýší citlivost daných zařízení (např. základnových stanic či funkcí MANO (řízení a orchestrace)),
– výraznější role, kterou v zařízeních 5G hraje software, s sebou nese větší riziko spojené s vývojem a aktualizacemi softwaru, vznikají nová rizika konfiguračních chyb a na důležitosti z hlediska bezpečnostní analýzy nabývají konkrétní rozhodnutí, jež ve fázi zavádění sítě přijmou jednotliví provozovatelé.
b) Vzhledem k těmto novým technologickým vlastnostem vzroste závislost provozovatelů mobilních sítí na externích dodavatelích a důležitost externích dodavatelů v dodavatelském řetězci 5G.
Tím pak vzroste množství možných způsobů napadení, jež mohou útočníci, zejména státy mimo EU nebo státem podporovaní aktéři, díky svým schopnostem (záměrům a zdrojům) útočit na telekomunikační sítě členských států EU využít, a také potenciální závažnost takových útoků.
Vzhledem ke zvýšené hrozbě útoků prostřednictvím externích dodavatelů bude obzvláště důležitý rizikový profil jednotlivých dodavatelů, zejména tehdy, má-li daný dodavatel v určité síti nebo oblasti výrazné zastoupení.
c) Značná závislost na jediném dodavateli zvyšuje míru expozice vůči jeho možnému selhání a rozsah důsledků takového selhání. Zhoršuje rovněž potenciální dopad slabých míst či zranitelností a jejich možného využití potenciálními útočníky, zejména v případech, kdy se závislost týká dodavatele, který představuje vysoký stupeň rizika.
d) Jestliže se 5G začne některým ze zamýšlených nových způsobů skutečně používat, stanou se sítě 5G důležitým článkem dodavatelského řetězce mnoha kritických IT aplikací, což se nejen dotkne požadavků na zachování důvěrnosti a soukromí, ale integrita a dostupnost těchto sítí se stanou důležitou otázkou národní bezpečnosti a pro EU velkou bezpečnostní výzvou.
Zdroj: koordinované posouzení rizik EU
Zpráva o koordinovaném posouzení rizik EU dále uvádí, že vyjmenované výzvy vytvářejí nové bezpečnostní paradigma, a je proto nutné přehodnotit dosavadní politiku a bezpečnostní rámec týkající se odvětví 5G a jeho ekosystému a členské státy musí podniknout nezbytná opatření ke zmírnění rizik.
K efektivnímu řešení zjištěných rizik a posílení bezpečnosti a odolnosti sítí 5G bude nutné přistupovat komplexně, což zahrnuje zavedení řady klíčových opatření a podniknutí souvisejících podpůrných kroků, jež budou zároveň řešit daná rizika. Koordinované posouzení rizik v EU posloužilo jako základ pro identifikaci zmírňujících opatření, jež lze na vnitrostátní a evropské úrovni aplikovat.
Rada ve svých závěrech ze dne 3. prosince 2019 podpořila závěry koordinovaného posouzení rizik a zdůraznila „význam koordinovaného přístupu a účinného provádění doporučení, aby se zabránilo roztříštění jednotného trhu“ 15 . Z toho důvodu Rada vyzvala členské státy, Komisi a agenturu ENISA, aby „přijaly veškerá nezbytná opatření v rámci svých pravomocí k zajištění bezpečnosti a integrity sítí elektronických komunikací, zejména sítí 5G, a aby nadále konsolidovaly koordinovaný přístup k řešení bezpečnostních výzev souvisejících s technologiemi 5G“.
4.Soubor opatření EU pro kybernetickou bezpečnost sítí 5G
Skupina pro spolupráci v oblasti bezpečnosti sítí a informací vydala dne 29. ledna 2020 soubor opatření EU ke zmírnění rizik 16 . Ten se zabývá všemi riziky zjištěnými v rámci koordinovaného posouzení rizik.
Soubor opatření EU identifikuje a popisuje jednak soubor strategických a technických opatření, jednak odpovídající podpůrné kroky ke zvýšení jejich efektivity, jež lze podniknout za účelem zmírnění zjištěných rizik. Strategická opatření zahrnují opatření týkající se silnějších regulačních pravomocí orgánů, pokud jde o kontrolu pořizování a zavádění sítí, konkrétní opatření k řešení rizik souvisejících s netechnickými zranitelnostmi a možné iniciativy na podporu udržitelného a různorodého dodavatelského a hodnotového řetězce 5G, aby se předešlo riziku systémové, dlouhodobé závislosti. Technická opatření zahrnují kroky k posílení bezpečnosti sítí a zařízení 5G odstraňováním rizik plynoucích z technologií, procesů a lidských a fyzických činitelů. Kromě toho koordinované posouzení rizik EU obsahuje pro každou zjištěnou rizikovou oblast plán na zmírňování rizik založený na nejefektivnějších opatřeních.
Z nich se v závěrech souboru opatření EU, na nichž se dohodla skupina pro spolupráci v oblasti bezpečnosti sítí a informací, doporučuje několik klíčových opatření, jež by měly členské státy a Komise přijmout:
Závěry souboru opatření EU
Soubor opatření EU obsahuje řadu opatření a kroků, které – pokud jsou vhodně zkombinované a provedené efektivně – tvoří základ koordinovaného přístupu v této oblasti. Vzhledem k široké škále rizikových oblastí, jež koordinované posouzení rizik EU odhalilo, a jejich různému charakteru nebude dostačovat jen jeden typ opatření. K ošetření všech klíčových rizikových oblastí bude třeba vhodně zkombinovat více opatření.
Soubor opatření na základě posouzení možných plánů na zmírnění rizik a identifikace nejefektivnějších opatření doporučuje následující:
1. Všechny členské státy by si měly zajistit, že budou mít zavedeny nástroje (včetně pravomocí vnitrostátních orgánů), s jejichž pomocí budou moci vhodně a přiměřeně reagovat na v současnosti známá i budoucí rizika, a zejména zajistit, že budou schopny na základě posouzení rizik a z konkrétních bezpečnostních důvodů omezit, zakázat nebo podmínit zvláštními požadavky či podmínkami dodávky, zavádění a provoz zařízení pro sítě 5G.
Zejména by měly:
zpřísnit bezpečnostní požadavky na provozovatele mobilních sítí (např. přísné kontroly přístupu, pravidla bezpečného provozu a sledování, omezení externího zajišťování specifických funkcí apod.);
posoudit rizikový profil dodavatelů a v návaznosti na něj uplatňovat příslušná omezení vůči dodavatelům, kteří jsou považováni za vysoce rizikové, včetně vyloučení nezbytného k účinnému zmírnění rizik, pokud jde o klíčová aktiva označená v koordinovaném posouzení rizik jako kritická a citlivá (např. funkce páteřní sítě, funkce správy a orchestrace sítě a funkce přístupu k síti);
zajistit, aby měl každý provozovatel vhodnou strategii využívání více prodejců, aby se vyhnul jakékoli významné závislosti na jediném dodavateli (nebo dodavatelích s podobným rizikovým profilem) nebo takovou závislost omezil, zajistit odpovídající rovnováhu dodavatelů v rámci státu a předejít závislosti na dodavatelích, kteří jsou považováni za vysoce rizikové. K tomu je nutné také vyhýbat se vzniku závislosti na jediném dodavateli, a to mimo jiné podporováním větší interoperability zařízení.
2. Evropská komise by se spolu s členskými státy měla podílet na:
udržování rozmanitého a udržitelného dodavatelského řetězce v oblasti 5G s cílem zabránit dlouhodobé závislosti, mimo jiné prostřednictvím:
o maximálního využití stávajících nástrojů a opatření EU, zejména prověřovat potenciální přímé zahraniční investice, které mají dopad na klíčová aktiva 5G, a bránit narušení trhu s dodávkami pro 5G, ke kterému by mohlo dojít v důsledku dumpingu nebo subvencí,
o dalšího posilování kapacit EU v oblasti technologií 5G a post-5G, a to využíváním příslušných programů a financování EU.
zprostředkování koordinace mezi členskými státy, pokud jde o normalizaci za účelem dosažení konkrétních bezpečnostních cílů, a rozvoji příslušných celounijních systémů certifikace s cílem podpořit bezpečnější produkty a procesy.
3. Aby tento koordinovaný přístup obstál v čase, měl by být prodloužen mandát skupiny pro spolupráci v oblasti bezpečnosti sítí a informací k zvláštní činnosti a zachována spolupráce s dalšími relevantními institucemi a subjekty, a zejména s cílem:
pravidelně přezkoumávat – za podpory Komise a agentury ENISA – vnitrostátní a unijní posouzení rizik v oblasti bezpečnosti sítí 5G a sítí, jež budou následovat, dále rozpracovávat a sjednocovat použitou metodiku a zohledňovat vývoj technologie 5G,
pravidelně a podrobně sledovat a vyhodnocovat realizaci souboru opatření, a to na základě strukturovaných zpráv členských států,
koordinovat a podporovat realizaci podpůrných kroků, k nimž je nutná spolupráce na úrovni EU, zejména vypracování pokynů a výměnu osvědčených postupů k různým opatřením,
podporovat další možnou koordinaci na úrovni EU, je-li to vhodné, zejména další sbližování technicko- a organizačně-bezpečnostních požadavků na provozovatele sítí.
Zdroj: soubor opatření EU
Závěry souboru opatření dokládají, že členské státy jsou pevně odhodlány hledat řešení bezpečnostních výzev spojených se sítěmi 5G společně. To má zásadní význam z hlediska bezpečnosti jak jednotlivých členských států, tak celé EU, pro vnitrostátní ekonomiky i pro vnitřní trh EU a technologickou suverenitu Evropy. Jak z koordinovaného posouzení rizik EU, tak ze souboru opatření EU je patrné, jak vysoce hodnotnou práci skupina pro spolupráci v oblasti bezpečnosti sítí a informací v úzké spolupráci se zástupci členských států, Komise a agentury ENISA odvedla.
S pomocí souboru opatření může EU v otázce kybernetické bezpečnosti 5G postupovat společně. Prostřednictvím politik EU a koordinace a také výkonu kompetencí členských států, zejména v oblasti národní bezpečnosti, soubor pomáhá dosáhnout toho, aby byl vnitřní trh v tomto ohledu konzistentní. Opatření a plány na zmírnění rizik v něm obsažené umožňují EU reagovat na společné bezpečnostní výzvy 5G odpovídajícím, efektivním a přiměřeným způsobem.
Komise vydání souboru opatření EU pro kybernetickou bezpečnost sítí 5G vítá a veškeré výše uvedené závěry plně podporuje.
Komise vyzývá členské státy a příslušné orgány, agentury a jiné subjekty Unie, aby:
i) zajistily v celé EU urychlenou realizaci odpovídajících a efektivních strategií ke zmírnění rizika v souladu se souborem opatření EU;
ii) podnikly veškeré další kroky nezbytné ke koordinaci na úrovni Unie, mimo jiné pokračovaly v práci v rámci skupiny pro spolupráci v oblasti bezpečnosti sítí a informací a zřídily spolehlivý mechanismus dohledu nad realizací souboru opatření, tak aby byla zajištěna efektivita opatření a hladké fungování vnitřního trhu.
5.Realizace souboru opatření
Rozhodnutí členských států souboru opatření plně využít je pro to, aby byl společný postoj EU k bezpečnosti 5G důvěryhodný a úspěšný, zcela zásadní. Ačkoliv se každý členský stát rozhodne o konkrétních vhodných opatřeních podle své vlastní vnitrostátní situace, k řešení zjištěných rizik je naprosto nezbytné, aby sadu určitých klíčových opatření, jež doporučila skupina pro spolupráci v oblasti bezpečnosti sítí a informací (viz závěry souboru opatření výše), zavedly všechny členské státy. Některá z nich by pak měla být zavedena na úrovni EU.
Komise hodlá dál nabízet plnou podporu v dalších fázích a vyzývá členské státy, aby:
– do 30. dubna 2020 podnikly konkrétní a měřitelné kroky k realizaci sady klíčových opatření doporučených v závěrech souboru opatření EU,
– do 30. června 2020 v rámci skupiny pro spolupráci v oblasti bezpečnosti sítí a informací vypracovaly zprávu o stavu implementace sady klíčových opatření v jednotlivých členských státech, která bude vycházet z pravidelných zpráv a sledování zejména v rámci této skupiny a s podporou Komise a agentury ENISA.
5.1 Jednotný přístup k dodavatelům 5G vycházející z posouzení rizik
Jelikož konečným cílem jsou bezpečné a odolné sítě 5G a jejich udržitelnost, dohodly se členské státy, že je třeba posoudit rizikový profil jednotlivých dodavatelů a v návaznosti na to uplatnit vůči dodavatelům vyhodnoceným jako vysoce rizikoví odpovídající restrikce, včetně vyloučení nezbytného za účelem účinného zmírnění rizik, pokud jde o klíčová aktiva, jak je uvedeno v souboru opatření. Komise je připravená poskytnout členským státům při zavádění těchto opatření potřebnou podporu.
Aby se zavádění v celé EU usnadnilo, obsahují koordinované posouzení rizik EU a soubor opatření EU pokyny 1) k posouzení rizikového profilu dodavatelů 17 a 2) ohledně citlivosti síťových prvků a funkcí 18 a dalších aktiv. Jak koordinované posouzení rizik EU, tak soubor opatření se týkají rizik, jež souvisejí s dodavateli zařízení pro sítě 5G a síťových služeb. Nezabývají se dalšími produkty či službami, jež tito či jiní dodavatelé nabízejí.
Jak je uvedeno v bodě 2.37 koordinovaného posouzení rizik EU, rizikový profil dodavatele lze posoudit z několika hledisek.
Posouzení rizikového profilu dodavatele by se mělo provádět výhradně z bezpečnostních důvodů a podle objektivních kritérií. Aby bylo možné přistupovat k implementaci těchto opatření koordinovaně, doporučuje soubor opatření, aby členské státy sdílely své vnitrostátní postupy a osvědčenou praxi. Komise se dále domnívá, že tento krok by měl být v další fázi pro skupinu pro spolupráci v oblasti bezpečnosti sítí a informací, Komisi a agenturu ENISA jednou z hlavních priorit.
Důležité je, aby restrikce vůči dodavatelům považovaným za vysoce rizikové, včetně vyloučení nezbytného k účinnému zmírnění rizik, a také opatření za účelem vyloučení závislosti na takových dodavatelích byla zavedena včas. Budou-li zavedeny co možná nejdříve, a to pokud možno i ve vztahu k udělování licencí k využívání kmitočtů pro 5G, vzroste i předvídatelnost pro organizátory trhu, což přispěje k rychlému spuštění sítí 5G a zajistí jejich dlouhodobou bezpečnost i odolnost dodavatelského řetězce 5G.
Zároveň realizace těchto opatření na úrovni jednotlivých států může v nezbytných a odůvodněných případech probíhat v jiných časových horizontech, zejména pokud již existuje vysoká závislost na zařízeních a službách od dodavatelů vyhodnocených jako vysoce rizikoví (např. lze zohlednit cyklus modernizace zařízení, zejména přechod z non stand-alone na stand-alone sítě 5G). Členské státy by mohly zvážit prováděcí plány, které by u daných provozovatelů sítě počítaly s odpovídajícím přechodným obdobím. V tomto kontextu by přechodná období měla být definována tak, aby byla zachována nebo dokonce vzrostla motivace k investicím do moderních síťových zařízení a urychlilo se zavádění plnohodnotných (stand-alone) páteřních sítí 5G a nahrazení stávajících 4G zařízení v jiných částech sítě (např. v rádiové přístupové síti) v souladu s cíli akčního plánu 5G 19 .
Kromě toho mohou telekomunikační operátoři vzhledem ke komplexitě sítí 5G postavených na softwaru spoléhat na externí subjekty nejen pokud jde o dodávky síťových zařízení, ale i o provádění určitých činností, jako jsou například údržba a modernizace softwaru a sítí 5G a další externě zajišťované řízené služby. Tento aspekt, jak je popsán v koordinovaném posouzení rizik EU, představuje vážné bezpečnostní riziko a měla by mu být věnována zvláštní pozornost. Je důležité, aby byly z hlediska bezpečnosti posouzeny i rizikové profily dodavatelů, kteří budou poskytováním těchto služeb pověřeni, zvláště pokud budou činnosti vykonávány mimo EU. Měla by proto být přijata odpovídající opatření, včetně omezení především v citlivých částech sítí 5G či nezbytného vyloučení vysoce rizikových subjektů v souladu s opatřeními ke zmírnění rizik popsanými v souboru opatření, aby se zachovala dlouhodobá integrita 5G infrastruktury.
5.2 Úloha Komise v implementaci sady opatření
Komise bude i nadále podporovat implementaci obecného přístupu EU ke kybernetické bezpečnosti 5G i konkrétní iniciativy ve vztahu k opatřením a cílům stanoveným v souboru opatření, a to vždy, kdy to bude přinášet přidanou hodnotu. V zájmu řešení zjištěných bezpečnostních aspektů využije v nezbytné míře všechny své pravomoci a relevantní nástroje. Tím, a jednáním společně s členskými státy i soukromým sektorem, hodlá Komise podpořit strategická opatření, která pomohou zajistit technologickou suverenitu a vedoucí postavení EU v dalším vývoji síťových technologií, v technologiích kybernetické bezpečnosti a ve všech důležitých stavebních prvcích, na nichž závisí celá naše ekonomika a bezpečnost.
Konkrétně podnikne Komise v zájmu implementace odpovídajících zmírňujících opatření podle souboru opatření v mezích svých pravomocí následující:
Zajištění kybernetické bezpečnosti sítí 5G a diverzifikovaného hodnotového řetězce 5G:
– Spolupráce v oblasti kybernetické bezpečnosti: Pokračující podpora členských států v efektivním, koordinovaném a včasném zavedení vnitrostátních opatření prostřednictvím skupiny pro spolupráci v oblasti bezpečnosti sítí a informací.
– Předpisy upravující telekomunikace a kybernetickou bezpečnost: Podpora realizace souboru opatření v souvislosti s bezpečnostními požadavky, zejména ve vztahu k příslušným ustanovením evropských předpisů o elektronických komunikacích, a zvážení přidané hodnoty možných prováděcích aktů obsahujících podrobná technicko- a organizačně-bezpečnostní opatření, které by doplňovaly vnitrostátní předpisy a zvýšily efektivitu a konzistentnost bezpečnostních opatření požadovaných od provozovatelů.
– Normalizace: Činnost napomáhající k pokračujícímu, případně intenzívnějšímu zapojení EU v příslušných normalizačních organizacích, tak aby byly naplněny cíle EU v oblasti bezpečnosti a interoperability. Zejména bude Komise společně s členskými státy posuzovat a prosazovat technické specifikace a normy umožňující interoperabilitu mezi dodavateli zařízení 5G v různých částech sítě, včetně starších sítí, tak aby například pomocí otevřených, interoperabilních rozhraní skutečně vzniklo prostředí s více prodejci.
– Certifikace: Podpora vývoje systémů certifikace 5G odpovídajících potřebám sítí 5G podle rámce EU o certifikaci kybernetické bezpečnosti.
– Prověřování přímých zahraničních investic: Podpora implementace rámce EU pro prověřování přímých zahraničních investic prostřednictvím analýzy hodnotového řetězce 5G, včetně citlivých aktiv sítí, a pravidelné sledování přímých zahraničních investic v celém hodnotovém řetězci. V souladu s harmonogramem prověřování přímých zahraničních investic (od října 2020) bude Komise prověřovat přímé zahraniční investice v oblasti 5G podle pokynů obsažených v nařízení (EU) 2019/452 a se zohledněním koordinovaného posouzení rizik EU a souboru opatření EU.
– Nástroje na ochranu obchodu: Sledování vývoje všech relevantních trhů v EU a třetích zemích a ochrana aktérů z EU na evropském trhu 5G s cílem odstranit praktiky potenciálně narušující trh (dumping či subvencování), v odůvodněných případech mimo jiné zahájením předběžného šetření.
– Pravidla hospodářské soutěže: Sledování fungování trhů s hardwarem a softwarem pro 5G, tak aby byly zajištěny konkurenceschopné výsledky, a to i co se týká možných situací smluvní či technické závislosti na jediném dodavateli.
– Programy financování EU: Zajištění podmíněnosti účasti na programech financování EU v příslušných technologických oblastech splněním bezpečnostních požadavků, a sice dalším začleňováním a plným využíváním podmínek souvisejících s bezpečností v programech výzkumu a inovací – Horizont Evropa, program Digitální Evropa, Nástroj pro propojení Evropy 2, evropské strukturální a investiční fondy a další relevantní programy. Podobný přístup by se měl zaujmout i v unijních programech a finančních nástrojích externího financování, a to i ve vztahu k financování poskytovanému prostřednictvím mezinárodních finančních institucí.
– Zadávání veřejných zakázek: Využití zadávání veřejných zakázek týkajících se sítí 5G a pomáhajících dosáhnout cílů v oblasti bezpečnosti, diverzity dodavatelů a dlouhodobé udržitelnosti sítí 5G, a zejména snaha o to, aby se v souladu s pravidly EU pro zadávání veřejných zakázek při udělování zakázek souvisejících s 5G řádně zohledňovaly bezpečnostní aspekty.
– Reakce na incidenty a krizové řízení (plán) a kybernetická cvičení: Plné využití plánu EU 20 na koordinovanou reakci na rozsáhlé kybernetické bezpečnostní incidenty. Společně s agenturou ENISA dále zvážit možnost zorganizovat cvičení v oblasti kybernetické bezpečnosti 5G, jakmile na to bude trh zralý.
V kompetenci vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku, místopředsedkyně Komise, a Rady:
– Rámec pro společnou diplomatickou reakci EU na nepřátelské činnosti v kyberprostoru (soubor nástrojů pro diplomacii v oblasti kybernetiky) 21 : Členské státy se vyzývají, aby v případě nepřátelské kybernetické činnosti ohrožující integritu a bezpečnost EU uplatnily příslušná opatření (v případě nutnosti i restriktivní) uvedená v souboru nástrojů pro diplomacii v oblasti kybernetiky, která se týkají společné zahraniční a bezpečnostní politiky a která mají zlepšit spolupráci, zmírnit hrozby a ovlivnit jednání potenciálních agresorů.
Několik programů se pak zaměří na podporu různorodosti a udržitelnosti trhu 5G, mimo jiné udržováním kapacit EU v hodnotovém řetězci 5G a investicemi do inovací, čímž pomohou zabránit dlouhodobé závislosti či omezit její riziko, a to v souladu s mezinárodními závazky EU.
Podpora inovací a investice do kybernetické bezpečnosti a technologií síťové infrastruktury:
– Programy financování EU: Vyšší investice do výzkumu, inovací a zavádění síťových technologií a relevantních základních prvků. Komise navrhla z příštího rozpočtu EU na období 2021–2027 investovat do technologií kybernetické bezpečnosti téměř 3 miliardy EUR. Patří sem i výzkum a inovace v rámci programu Horizont Evropa a rozvoj schopností v oblasti kybernetické bezpečnosti v rámci programu Digitální Evropa. Finanční podporu na výzkum a vývoj v oblasti 5G a zavádění 5G může být poskytnut i z Programu InvestEU.
Dále Komise navrhla v příštím programu Horizont Evropa 22 zřídit ve spolupráci s členskými státy a soukromým sektorem institucionalizované partnerství EU pro internet nové generace a 6G („inteligentní sítě a služby“), jehož úkolem má být dokončit zavádění sítí 5G a především připravit přechod na 6G, příští generaci mobilních technologií. Z rozpočtu EU (2021–2027) byly na tuto iniciativu navrženy investice v objemu více než 2,5 miliardy EUR, přičemž dalších nejméně 7,5 miliardy EUR mají přinést soukromé investice.
– Průmyslové využití a vývoj: Vyhodnocení potenciálních mezer na trhu či jeho selhání v hodnotovém řetězci 5G, jež by byly důvodem k cíleným intervencím z příštího dlouhodobého rozpočtu, případně k zahájení významného projektu společného evropského zájmu v oblasti kybernetické bezpečnosti dle doporučení fóra na vysoké úrovni pro významné projekty společného evropského zájmu. Rozhodnutí navrhnout a připravit významný projekt společného evropského zájmu je kompetenci členských států a společností. Předpisy EU nabízejí podpůrný rámec a Komise je připravená zprostředkovat nezbytné kontakty a vypracovat pokyny.
6.Závěr
Sítě 5G mají potenciál přinést evropským občanům, společnosti a ekonomice celou škálu možností. Je proto nanejvýš důležité, aby byly bezpečné a odolné. Kybernetické hrozby (včetně rizika interference země mimo EU či státem podporovaných aktérů) se přitom neustále vyvíjí a jejich význam se zvyšující se závislostí na technologiích a datech roste. Zanedbáním kybernetické bezpečnosti by se poškodila důvěra v rozvoj digitální ekonomiky a společnosti a EU by nebyla schopná plně využít jejích výhod. Proto je třeba, aby reakce byla dostatečně flexibilní a důrazná.
Má-li být EU technologicky suverénní, udržet si své průmyslové kapacity a rozvíjet je, musí v otázce kybernetické bezpečnosti kritických technologií a sítí postupovat koordinovaným a konzistentním způsobem. Komise bude realizaci opatření EU týkajících se kybernetické bezpečnosti sítí 5G plně podporovat a zároveň bude dbát, aby trhy EU zůstaly otevřené produktům a službám, které měnící se požadavky na důvěru a kybernetickou bezpečnost splňují.
Z toho důvodu je důležité, aby si všechny strany zainteresované v bezpečnosti sítí 5G udržely své odhodlání a členské státy, Komise a agentura ENISA nepřestávaly spolupracovat.
V první řadě nyní Komise, jak je popsáno výše, vyzývá členské státy, aby začaly co nejdříve efektivně a objektivně realizovat dohodnutá opatření, která jsou součástí tzv. souboru opatření EU, a s podporou Komise a agentury ENISA vzájemně spolupracovaly, aby byl postup na úrovni EU koordinovaný. Souběžně s tím Komise v mezích svých pravomocí začne podnikat veškeré relevantní kroky, aby implementaci souboru opatření členskými státy podpořila a umocnila jejich dopad.
Dodatek: Kategorie rizik (zdroj: koordinované posouzení rizik v EU)
|
Kategorie rizik |
|
|
Rizikové scénáře související s nedostatečnými bezpečnostními opatřeními |
R1: Nesprávně konfigurované sítě |
|
R2: Nedostatečná kontrola přístupu |
|
|
Rizikové scénáře související s dodavatelským řetězcem 5G |
R3: Nízká kvalita produktů |
|
R4: Závislost na jediném dodavateli v rámci jedné sítě nebo nedostatečná diverzita v celonárodním měřítku |
|
|
Rizikové scénáře související se způsobem práce hlavních původců hrozeb |
R5: Zásahy státu prostřednictvím dodavatelského řetězce 5G |
|
R6: Zneužití sítí 5G k organizované trestné činnosti nebo zločinným spolčením proti koncovým uživatelům |
|
|
Rizikové scénáře související se vzájemnou závislostí sítí 5G a dalších kritických systémů |
R7: Významné narušení kritické infrastruktury nebo služeb |
|
R8: Vážné selhání sítí způsobené přerušením dodávky elektřiny nebo jinými podpůrnými systémy |
|
|
Rizikové scénáře související se zařízeními koncových uživatelů |
R9: Zneužití internetu věcí |
Doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G, Úř. věst. L 88, 29.3.2019, s. 42.
COM(2016) 588 ze dne 14. června 2016 Akční plán 5G pro Evropu.
COM(2016) 587 Připojení pro konkurenceschopný jednotný digitální trh – na cestě k evropské gigabitové společnosti.
Některé nové funkcionality 5G se budou zavádět postupně. V první fázi (v krátkém nebo velmi krátkém časovém horizontu) bude zavádění 5G sestávat primárně z tzv. non stand-alone sítí, kdy se na technologii 5G upgraduje pouze rádiová přístupová síť a jinak se budou dál využívat stávající páteřní sítě 4G, čímž koncoví uživatelé získají výkonnější mobilní širokopásmový přístup. V dalších fázích (krátko/střednědobých až dlouhodobých) se budou zavádět tzv. stand-alone sítě 5G včetně páteřních funkcí, což si vyžádá (a časem vyústí v) mnohem rozsáhlejší změny v síťové architektuře.
Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (přepracované znění).
Návrh nařízení COM(2018) 438 ze dne 6. června 2018, kterým se zřizuje Nástroj pro propojení Evropy a zrušují nařízení (EU) č. 1316/2013 a (EU) č. 283/2014.
Segmentace sítě 5G umožňuje vysoký stupeň oddělení různých vrstev služeb v téže fyzické síti, čímž se zvýší možnost nabízet v celé síti diferencované služby.
Edge computing je paradigma distribuovaného computingu , v němž výpočty a ukládání dat probíhají blíže k místu, kde jsou potřeba, čímž se zkracuje doba odezvy a šetří šířka pásma.
Doporučení Rady ze dne 12. července 1999 o omezení expozice osob elektromagnetickým polím (od 0 Hz do 300 GHz) (1999/519/ES).
Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (směrnice o bezpečnosti sítí a informací). Skupina pro spolupráci v oblasti bezpečnosti sítí a informací byla směrnicí o bezpečnosti sítí a informací zřízena, aby se zajistila strategická spolupráce a výměna informací týkajících se kybernetické bezpečnosti mezi členskými státy EU.
Zpráva o typech ohrožení sítí 5G: https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-5g-networks.
Závěry Rady o významu 5G pro evropské hospodářství a potřebě zmírnit bezpečnostní rizika spojená s 5G. 3. prosince 2019, 14517/19 https://www.consilium.europa.eu/media/41595/st14517-en19.pdf .
Kybernetická bezpečnost sítí 5G – soubor opatření EU ke zmírnění rizik, 29. ledna 2020. https://ec.europa.eu/digital-single-market/en/nis-cooperation-group.
Bod 2.37 koordinovaného posouzení rizik EU.
Bod 2.21 koordinovaného posouzení rizik EU představuje hlavní kategorie prvků a funkcí a jejich celkovou citlivost a vyjmenovává několik klíčových prvků, jež členské státy u každé kategorie identifikovaly. Odstavce 2.28 a 2.29 obsahují několik dalších typů citlivých aktiv či oblastí (např. určitých subjektů nebo geografických oblastí).
COM(2016) 588 ze dne 14. září 2016 Akční plán 5G pro Evropu.
Doporučení Komise (EU) 2017/1584 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize.
Závěry Rady z 20. listopadu 2017, 9916/17.
Financování bude možné poskytnout také z Nástroje pro propojení Evropy 2.0 a programu Digitální Evropa.