(1)

Komisija je prepoznala važnost upotrebe mrežnih tehnologija pete generacije (5G) za razvoj budućih digitalnih usluga i strategiju jedinstvenog digitalnog tržišta. Komisija je donijela akcijski plan za 5G tehnologije kako bi Uniji osigurala infrastrukturu za povezivost koja joj je potrebna za digitalnu transformaciju od 2020. (1)

(2)

5G mreže temeljit će se na postojećoj četvrtoj generaciji (4G) mrežnih tehnologija, omogućiti nove kapacitete usluga i postati središnja infrastruktura i pokretač velikog dijela gospodarstva Unije. Nakon uvođenja 5G mreže činit će okosnicu širokog raspona usluga bitnih za funkcioniranje unutarnjeg tržišta te za održavanje i rad ključnih socijalnih i gospodarskih funkcija, kao što su energija, prijevoz, bankarstvo i zdravstvo, te industrijskih kontrolnih sustava. U organizaciji demokratskih postupaka, kao što su izbori, također će se sve više oslanjati na digitalnu infrastrukturu i 5G mreže.

(3)

Budući da ključne usluge ovise o 5G mrežama, sistemski i širi poremećaji mogli bi imati posebno ozbiljne posljedice. Stoga je od strateške važnosti za Uniju osigurati kibersigurnost 5G mreža, u vremenu u kojem se povećava broj kibernapada i njihova složenost.

(4)

Zbog povezanosti i transnacionalnosti infrastrukture na kojoj se temelji digitalni ekosustav te prekogranične naravi povezanih prijetnji, sve veće slabosti i/ili kibersigurnosni incidenti povezani s 5G mrežama u jednoj državi članici utjecali bi na Uniju u cjelini. Zato bi trebalo donijeti mjere kojima će se poduprijeti visoka zajednička razina kibersigurnosti 5G mreža.

(5)

Države članice potvrdile su da je potrebno djelovati na razini Unije. U zaključcima Europskog vijeća od 21. ožujka 2019. Komisija se poziva da donese preporuku o usklađenom pristupu sigurnosti 5G mreža (2).

(6)

Jedan od glavnih ciljeva trebalo bi biti osiguranje europskog suvereniteta, uz poštovanje europskih vrijednosti otvorenosti i tolerancije (3). Ulaganja stranih subjekata u strateške sektore, njihovo stjecanje ključne imovine, tehnologije i infrastrukture u Uniji i dobava ključne opreme također mogu predstavljati rizik za sigurnost Unije.

(7)

Prema Zajedničkoj komunikaciji „EU i Kina – strateški pregled” (4) kibersigurnost 5G mreža ključna je za osiguravanje strateške autonomije Unije.

(8)

U rezoluciji Europskog parlamenta o sigurnosnim prijetnjama povezanima sa sve većom tehnološkom prisutnošću Kine također se poziva Komisiju i države članice da djeluju na razini Unije (5).

(9)

U toj se preporuci utvrđuju smjernice za suzbijanje kibersigurnosnih rizika u 5G mrežama putem odgovarajućih analiza rizika i mjera upravljanja rizikom na nacionalnoj razini, izrade usklađene europske procjene rizika te uspostave postupka za izradu zajedničkog skupa najboljih mjera za upravljanje rizikom.

(10)

Na snazi je jak zakonodavni okvir Unije o zaštiti elektroničkih komunikacijskih mreža.

(11)

Okvirom Unije u području elektroničkih komunikacija (6) promiču se tržišno natjecanje, unutarnje tržište i interesi krajnjih korisnika, a Europskim zakonikom elektroničkih komunikacija (7) nastoji se ostvariti dodatni cilj povezivosti, izražen u obliku sljedećeg rezultata: opća dostupnost i primjena fiksne i pokretne povezivosti vrlo visokog kapaciteta za sve građane i poduzeća u Uniji, uz zaštitu interesa građana. Direktivom 2002/21/EZ od država članica zahtijeva se da očuvaju integritet i sigurnost javnih komunikacijskih mreža te da osiguraju da poduzeća koja pružaju javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge poduzmu tehničke i organizacijske mjere kako bi na odgovarajući način upravljala rizicima za sigurnost mreža i usluga. Njome je predviđeno i da nadležna državna regulatorna tijela imaju ovlasti za osiguranje usklađenosti s tim obvezama, uključujući ovlast objave obvezujućih uputa.

(12)

Osim toga, Direktivom 2002/20/EZ Europskog parlamenta i Vijeća (8) državama članicama omogućuje se da općem ovlaštenju dodaju uvjete koji se odnose na zaštitu javnih mreža od neovlaštenog pristupa kako bi se zaštitila povjerljivost komunikacije u skladu s Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (9).

(13)

Kako bi podržala provedbu tih obveza, Unija je osnovala niz tijela za suradnju. Agencija za mrežnu i informacijsku sigurnost (ENISA), Komisija, države članice i državna regulatorna tijela izradili su za državna regulatorna tijela tehničke smjernice o izvješćivanju o incidentima, sigurnosnim mjerama te prijetnjama i sredstvima (10). Skupina za suradnju osnovana Direktivom (EU) 2016/1148 Europskog parlamenta i Vijeća (11) („skupina za suradnju”) okuplja nadležna tijela kako bi potaknula i olakšala suradnju, posebno pružanjem strateških smjernica za aktivnosti timova za odgovor na računalne sigurnosne incidente, čime se olakšava operativna suradnja na tehničkoj razini.

(14)

Budući europski okvir o kibersigurnosnoj certifikaciji (12) trebao bi biti ključno pomoćno sredstvo za promicanje dosljednih razina sigurnosti. Taj bi okvir trebao omogućiti uspostavu programa kibersigurnosne certifikacije kojima će se zadovoljiti potrebe korisnika opreme i softvera za 5G. Zbog velike važnosti te infrastrukture, trebalo bi hitno uspostaviti relevantne europske programe kibersigurnosne certifikacije za proizvode, usluge ili procese informacijske i komunikacijske tehnologije koji se upotrebljavaju za 5G mreže. Države članice i sudionici na tržištu trebali bi aktivno sudjelovati u uspostavi takvih programa certifikacije, među ostalim pružanjem potpore u definiranju specifičnih profila zaštite za 5G mreže.

(15)

U nedostatku usklađenog zakonodavstva Unije, države članice mogu nacionalnim tehničkim propisima donesenima u skladu s pravom Unije odrediti da bi europski program kibersigurnosne certifikacije trebao biti obvezan. Države članice mogu primijeniti europske programe kibersigurnosne certifikacije i u kontekstu javne nabave i Direktive 2014/24/EU Europskog parlamenta i Vijeća (13) te bi mogle pružiti potporu uspostavi pomoćnih mehanizama, npr. centra za pomoć, za javne kupce kibersigurnosnih rješenja.

(16)

Visoka razina zaštite podataka i privatnosti važan je element sigurnosti 5G mreža. Na razini Unije također su definirana pravila kojima se osigurava sigurnost obrade osobnih podataka, među ostalim u elektroničkoj komunikaciji. Općom uredbom o zaštiti podataka (14) utvrđuje se obveza obrade osobnih podataka na siguran način, među ostalim, sprečavanjem neovlaštenog pristupa ili upotrebe osobnih podataka i opreme koja se upotrebljava za obradu. Direktivom o privatnosti u elektroničkoj komunikaciji utvrđuju se posebna pravila o zaštiti povjerljivosti komunikacije i terminalne opreme krajnjih korisnika. Na temelju te direktive pružatelji usluga dužni su poduzeti odgovarajuće tehničke i organizacijske mjere za zaštitu sigurnosti svojih usluga.

(17)

Unija je donijela i instrument kojim će se zaštititi ključna infrastruktura i tehnologije, npr. one koje se upotrebljavaju za komunikaciju, tako što će državama članicama omogućiti da provjeravaju izravna strana ulaganja radi sigurnosti ili održavanja javnog reda te da uspostave mehanizam suradnje u okviru kojeg će države članice i Komisija moći razmjenjivati informacije i izražavati dvojbe u pogledu određenih ulaganja (15).

(18)

Države članice i subjekti trenutačno poduzimaju važne pripremne korake kako bi se omogućilo opsežno uvođenje 5G mreža. Više je država članica izrazilo zabrinutost u pogledu potencijalnih sigurnosnih rizika povezanih s 5G mrežama u kontekstu provođenja postupaka za dodjelu prava na korištenje radiofrekvencijskih spektara namijenjenih za 5G mreže (16) i razmatraju mjere kojima bi te rizike uklonile.

(19)

Pri uklanjaju kibersigurnosnih rizika u 5G mrežama trebalo bi uzimati u obzir tehničke i druge čimbenike. Tehnički čimbenici mogu uključivati kibersigurnosne slabosti koje se mogu iskoristiti za dobivanje neovlaštenog pristupa informacijama (kiberšpijunaža, iz ekonomskih ili političkih razloga) ili za drugu zlonamjernu svrhu (kibernapadi u cilju ometanja ili uništavanja sustava i podataka). Važno je razmotriti aspekte kao što su potreba za zaštitom mreža tijekom cijelog životnog ciklusa te potreba za obuhvaćanjem sve relevantne opreme, uključujući onu koja se koristi u fazi dizajna, izrade, nabave, upotrebe, rada i održavanja 5G mreža.

(20)

Drugi čimbenici mogu uključivati regulatorne ili druge zahtjeve za dobavljače opreme za informacijske i komunikacijske tehnologije. Pri procjeni važnosti takvih čimbenika trebalo bi među ostalim uzeti u obzir ukupan rizik utjecaja treće zemlje, posebno kad je riječ o njezinu modelu upravljanja, postoji li sporazum o suradnji ili sličan dogovor, kao što su odluke o primjerenosti, u području zaštite podataka između Unije i dotične treće zemlje ili je li ta zemlja stranka multilateralnih, međunarodnih ili bilateralnih sporazuma o kibersigurnosti, borbi protiv kiberkriminaliteta ili zaštiti podataka.

(21)

Kao važan korak u razvoju Unijina pristupa kibersigurnosti 5G mreža, trebalo bi provesti i dovršiti procjenu rizika na nacionalnoj razini. Time bi se državama članicama pomoglo da s obzirom na tu procjenu prilagode nacionalne mjere o sigurnosnim zahtjevima i upravljanju rizicima.

(22)

Trebalo bi provesti usklađivanje kako bi se osigurala učinkovitost mjera usmjerenih na uklanjanje prijetnji kibersigurnosti jer su te mjere ključne za neometano funkcioniranje unutarnjeg tržišta i zaštitu osobnih podataka i privatnosti.

(23)

Procjene rizika na nacionalnoj razini trebale bi biti osnova za usklađenu procjenu rizika na razini Unije koja će obuhvaćati pregled prijetnji i zajedničko preispitivanje koje uz potporu Komisije i zajedno s Europskom agencijom za kibersigurnost (ENISA) trebaju provesti države članice.

(24)

Na temelju procjena rizika na razini Unije i na nacionalnoj razini skupina za suradnju trebala bi izraditi skup alata za utvrđivanje vrsta rizika u području kibersigurnosti i mogućih mjera za smanjenje rizika u područjima kao što su certifikacija, testiranje i kontrola pristupa. Trebala bi utvrditi i moguće posebne mjere prikladne za uklanjanje rizika koje utvrdi jedna ili više država članica. Skupina za suradnju trebala bi se oslanjati na potporu Europske agencije za kibersigurnost (ENISA), Europola, Tijela europskih regulatora za elektroničke komunikacije (BEREC) te Obavještajnog i situacijskog centra EU-a. Komisija bi s pomoću tog skupa alata trebala utvrditi minimalne zajedničke zahtjeve za daljnje osiguravanje visoke razine kibersigurnosti 5G mreža u cijeloj Uniji.

(25)

Pri poduzimanju mjera za uklanjanje kibersigurnosnih rizika trebalo bi uzeti u obzir da se kibersigurnost može promicati tako da se za izgradnju svake jedinstvene mreže osigura raznolik izbor dobavljača.

(26)

Ovom se Preporukom ne bi trebale dovoditi u pitanje nadležnosti država članica za aktivnosti koje se odnose na javnu sigurnost, obranu, nacionalnu sigurnost i djelovanje države u području kaznenog prava, uključujući pravo država članica da iz razloga nacionalne sigurnosti isključe pružatelje ili dobavljače sa svojih tržišta,

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.