(1)

Komisja uznała wdrożenie technologii sieciowych 5. generacji (5G) za jeden z najważniejszych czynników sprzyjających rozwojowi przyszłych usług cyfrowych oraz za priorytet strategii jednolitego rynku cyfrowego. Komisja przyjęła plan działania dotyczący sieci 5G, aby zadbać o to, by Unia dysponowała do roku 2020 infrastrukturą telekomunikacyjną niezbędną do przeprowadzenia jej transformacji cyfrowej (1).

(2)

Sieci 5G będą opierać się na obecnych technologiach sieciowych 4. generacji (4G), zapewniając nowe możliwości pod względem usług oraz stając się centralną infrastrukturą i siłą napędową dla znacznej części unijnej gospodarki. Gdy już zostaną wdrożone, sieci 5G będą stanowić podbudowę szerokiego zakresu usług niezbędnych do funkcjonowania rynku wewnętrznego oraz utrzymania i realizacji podstawowych funkcji społecznych i gospodarczych – takich jak energetyka, transport, bankowość i opieka zdrowotna oraz systemy sterowania produkcją. Od cyfrowej infrastruktury oraz sieci 5G w coraz większym stopniu zależna również będzie organizacja procesów demokratycznych, takich jak wybory.

(3)

Z powodu uzależnienia wielu usług o krytycznym znaczeniu od sieci 5G konsekwencje systemowych i rozległych zakłóceń byłyby szczególnie poważne. W rezultacie zapewnienie cyberbezpieczeństwa sieci 5G jest kwestią o strategicznym znaczeniu dla Unii w czasie, gdy cyberataki przybierają na sile i są coraz bardziej wyrafinowane.

(4)

Ponadnarodowy charakter infrastruktury stanowiącej podstawę ekosystemu cyfrowego, która charakteryzuje się siecią wzajemnych powiązań, jak również transgraniczny charakter zagrożeń oznaczają, że wszelkie istotne luki bezpieczeństwa lub cyberincydenty dotyczące sieci 5G występujące w jednym państwie członkowskim miałyby wpływ na całą Unię. Dlatego też należy przewidzieć środki w celu zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa sieci 5G.

(5)

Państwa członkowskie potwierdziły konieczność podjęcia działań na szczeblu Unii. W swoich konkluzjach z dnia 21 marca 2019 r. Rada Europejska wyraziła pragnienie, by Komisja przyjęła zalecenie w sprawie skoordynowanego podejścia do bezpieczeństwa sieci 5G (2).

(6)

Głównym celem powinno być zapewnienie suwerenności Europy, przy pełnym poszanowaniu europejskich wartości: otwartości i tolerancji (3). Inwestycje zagraniczne w sektorach strategicznych, nabywanie aktywów, technologii i infrastruktury o krytycznym znaczeniu w Unii oraz dostawy urządzeń mających krytyczne znaczenie mogą również stanowić zagrożenie dla bezpieczeństwa Unii.

(7)

Cyberbezpieczeństwo sieci 5G ma kluczowe znaczenie dla zapewnienia strategicznej autonomii Unii, co znalazło odzwierciedlenie we wspólnym komunikacie „UE-Chiny – perspektywa strategiczna” (4).

(8)

W rezolucji Parlamentu Europejskiego w sprawie zagrożeń dla bezpieczeństwa wynikających z rosnącej obecności technologicznej Chin w Unii również wezwano Komisję i państwa członkowskie do podjęcia działań na szczeblu Unii (5).

(9)

W niniejszym zaleceniu odniesiono się do zagrożeń dla cyberbezpieczeństwa w sieciach 5G poprzez określenie wytycznych dotyczących odpowiednich środków w zakresie analizy ryzyka i zarządzania nim na szczeblu krajowym, opracowania skoordynowanej europejskiej oceny ryzyka oraz ustanowienia procesu mającego na celu opracowanie wspólnego zbioru najlepszych środków zarządzania ryzykiem.

(10)

Istnieją już solidne unijne ramy prawne służące ochronie sieci łączności elektronicznej.

(11)

Obowiązujące w Unii ramy z zakresu łączności elektronicznej (6) wspierają konkurencję, rynek wewnętrzny i interesy użytkowników końcowych oraz – wraz z Europejskim kodeksem łączności elektronicznej (7) – służą realizacji dodatkowego celu w zakresie łączności, którego osiągnięcie powinno przynieść oczekiwane rezultaty, a mianowicie: powszechny dostęp do łączności stacjonarnej i ruchomej o wysokiej przepustowości dla wszystkich obywateli Unii i unijnych przedsiębiorstw przy zagwarantowaniu interesów obywateli oraz upowszechnienie tego rodzaju łączności na szeroką skalę. W dyrektywie 2002/21/WE zobowiązano państwa członkowskie do zapewnienia integralności i bezpieczeństwa publicznych sieci łączności, powierzając im obowiązek dbania o to, by przedsiębiorstwa udostępniające publiczne sieci łączności lub świadczące publicznie dostępne usługi łączności elektronicznej stosowały środki techniczne i organizacyjne w celu odpowiedniego zarządzania zagrożeniami dla bezpieczeństwa sieci i usług. Przewidziano w niej również uprawnienia dla właściwych krajowych organów regulacyjnych, w tym uprawnienia do wydawania wiążących instrukcji, w celu zapewnienia wypełniania tych obowiązków.

(12)

Ponadto w dyrektywie 2002/20/WE Parlamentu Europejskiego i Rady (8) zezwolono państwom członkowskim na obwarowanie ogólnych zezwoleń warunkami dotyczącymi zabezpieczenia sieci publicznych przed nieuprawnionym dostępem z myślą o ochronie poufności komunikacji zgodnie z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady (9).

(13)

W celu wsparcia realizacji tych obowiązków Unia utworzyła szereg organów ds. współpracy. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), Komisja, państwa członkowskie oraz krajowe organy regulacyjne opracowały skierowane do krajowych organów regulacyjnych wytyczne techniczne w sprawie zgłaszania incydentów, środków bezpieczeństwa oraz zagrożeń i aktywów (10). Grupa współpracy utworzona na mocy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 (11) („grupa współpracy”) skupia właściwe organy z myślą o wspieraniu i ułatwianiu współpracy, w szczególności poprzez wydawanie strategicznych wytycznych dotyczących działalności sieci zespołów reagowania na incydenty bezpieczeństwa komputerowego, co na poziomie technicznym ułatwia współpracę operacyjną.

(14)

Przyszłe ramy europejskiego systemu certyfikacji cyberbezpieczeństwa (12) powinny stanowić istotne narzędzie wsparcia służące propagowaniu spójnego poziomu bezpieczeństwa. Powinny one umożliwiać opracowywanie systemów certyfikacji cyberbezpieczeństwa w odpowiedzi na potrzeby użytkowników sprzętu i oprogramowania 5G. Ze względu na krytyczne znaczenie tej infrastruktury opracowanie odpowiednich europejskich systemów certyfikacji cyberbezpieczeństwa na potrzeby produktów, usług i procesów z zakresu technologii informacyjno-komunikacyjnych stosowanych w ramach sieci 5G powinno stać się pilnym priorytetem. Państwa członkowskie i uczestnicy rynku powinni aktywnie uczestniczyć w opracowywaniu takich systemów certyfikacji, w tym udzielać wsparcia przy formułowaniu definicji szczegółowych profilów ochrony dla sieci 5G.

(15)

Wobec braku zharmonizowanych przepisów unijnego prawa państwa członkowskie mogą przewidzieć – w drodze krajowych przepisów technicznych przyjętych zgodnie z prawem Unii – że europejski system certyfikacji cyberbezpieczeństwa powinien być obowiązkowy. Państwa członkowskie mają również możliwość odwoływania się do europejskich systemów certyfikacji cyberbezpieczeństwa w kontekście zamówień publicznych oraz dyrektywy Parlamentu Europejskiego i Rady 2014/24/UE (13), a także mogłyby wspierać opracowywanie mechanizmów pomocy – takich jak centrum wsparcia – na potrzeby zakupów rozwiązań z zakresu cyberbezpieczeństwa przez nabywców z sektora publicznego.

(16)

W zapewnieniu bezpieczeństwa sieci 5G istotną rolę odgrywa wysoki poziom ochrony danych i prywatności. Na poziomie Unii określono również przepisy gwarantujące bezpieczeństwo przetwarzania danych osobowych, w tym w łączności elektronicznej. W ogólnym rozporządzeniu o ochronie danych (14) przewidziano wymóg przetwarzania danych osobowych w sposób, który zapewnia ich bezpieczeństwo, w tym w celu zapobiegania nieuprawnionemu dostępowi do danych osobowych i sprzętu służącego do ich przetwarzania oraz nieuprawnionemu wykorzystywaniu tych danych i tego sprzętu. W dyrektywie o prywatności i łączności elektronicznej określono szczegółowe przepisy dotyczące ochrony poufności komunikacji oraz ochrony urządzeń końcowych stosowanych przez użytkowników końcowych. Nałożono w niej również na dostawców usług obowiązek stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa świadczonych przez nich usług.

(17)

Unia przyjęła również instrument, który zapewni ochronę infrastruktury krytycznej oraz technologii o krytycznym znaczeniu, m.in. wykorzystywanych w komunikacji, umożliwiając państwom członkowskim monitorowanie bezpośrednich inwestycji zagranicznych pod kątem zagrożeń dla bezpieczeństwa lub porządku publicznego oraz tworząc mechanizm współpracy, w ramach którego państwa członkowskie i Komisja będą mogły wymieniać się informacjami oraz zgłaszać zastrzeżenia do konkretnych inwestycji (15).

(18)

Państwa członkowskie i operatorzy podejmują obecnie istotne działania przygotowawcze, które mają umożliwić wprowadzenie na szeroką skalę sieci 5G. Kilka państw członkowskich wyraziło obawy dotyczące potencjalnych zagrożeń dla bezpieczeństwa związanych z sieciami 5G w kontekście postępowań o przyznanie praw do użytkowania pasm widma radiowego wyznaczonych na potrzeby sieci 5G (16) oraz analizuje środki, które pozwoliłyby zaradzić tym zagrożeniom.

(19)

Działania mające na celu wyeliminowanie zagrożeń dla cyberbezpieczeństwa w sieciach 5G powinny uwzględniać czynniki techniczne oraz czynniki innego rodzaju. Czynniki techniczne mogą obejmować luki cyberbezpieczeństwa, które mogą być wykorzystane w celu uzyskania nieuprawnionego dostępu do informacji (cyberszpiegostwo motywowane gospodarczo lub politycznie) lub do innych złośliwych celów (cyberataki mające na celu zakłócanie lub niszczenie systemów i danych). Ważne aspekty, które należy wziąć pod uwagę, obejmują konieczność ochrony sieci przez cały cykl ich życia oraz potrzebę objęcia działaniami wszystkich odpowiednich urządzeń, w tym na etapie projektowania, rozwoju, zakupu, wdrażania, eksploatacji i utrzymania sieci 5G.

(20)

Inne czynniki mogą obejmować wymogi regulacyjne lub innego rodzaju wymogi, którym podlegają dostawcy sprzętu informacyjno-komunikacyjnego. Przy ocenie istotności tych czynników należałoby brać pod uwagę m.in. ogólne ryzyko wywierania wpływu przez państwo trzecie, zwłaszcza w świetle funkcjonującego w nim modelu sprawowania rządów, brak porozumień między Unią a danym państwem trzecim o współpracy w zakresie bezpieczeństwa lub podobnych ustaleń – takich jak decyzje stwierdzające odpowiedni stopień ochrony – dotyczących ochrony danych bądź to, czy państwo to jest stroną międzynarodowych, wielostronnych lub dwustronnych umów w sprawie cyberbezpieczeństwa, zwalczania cyberprzestępczości lub ochrony danych.

(21)

Ocena ryzyka – jako istotny krok w kierunku opracowania unijnego podejścia do cyberbezpieczeństwa sieci 5G – powinna zostać przeprowadzona na szczeblu krajowym. Pomogłoby to państwom członkowskim dostosować krajowe środki w zakresie wymogów bezpieczeństwa i zarządzania ryzykiem z uwzględnieniem wyników tej oceny.

(22)

Należy opracować mechanizmy koordynacji, aby zapewnić skuteczność środków mających na celu eliminowanie zagrożeń dla cyberbezpieczeństwa oraz środków istotnych do zapewnienia sprawnego funkcjonowania rynku wewnętrznego i ochrony danych osobowych i prywatności.

(23)

Krajowe oceny ryzyka powinny stanowić podstawę skoordynowanej unijnej oceny ryzyka, obejmującej analizę krajobrazu zagrożeń oraz wspólny przegląd prowadzony przez państwa członkowskie przy wsparciu Komisji oraz wraz z Agencją Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).

(24)

Uwzględniając krajowe oceny ryzyka i unijną ocenę ryzyka, grupa współpracy powinna opracować zestaw instrumentów służący identyfikacji różnego rodzaju zagrożeń dla cyberbezpieczeństwa oraz zbiór możliwych środków mających na celu ograniczenie zagrożeń w obszarach takich jak certyfikacja, testy i kontrole dostępu. Grupa ta powinna również wskazać możliwe szczególne środki, które byłyby właściwe w celu wyeliminowania zagrożeń zidentyfikowanych przez państwo lub państwa członkowskie. Grupa współpracy powinna korzystać ze wsparcia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), Europolu, Organu Europejskich Regulatorów Łączności Elektronicznej (BEREC) oraz Centrum Analiz Wywiadowczych Unii Europejskiej. Wspomniane instrumenty powinny służyć Komisji pomocą przy opracowywaniu minimalnych wspólnych wymogów, aby w jeszcze większym stopniu zagwarantować wysoki poziom cyberbezpieczeństwa sieci 5G w całej Unii.

(25)

Przy stosowaniu środków mających na celu zaradzenie zagrożeniom dla cyberbezpieczeństwa należy rozważyć wspieranie cyberbezpieczeństwa poprzez zróżnicowanie grona dostawców w przypadku budowy każdej pojedynczej sieci.

(26)

Niniejsze zalecenie powinno pozostawać bez uszczerbku dla kompetencji państw członkowskich w odniesieniu do działalności z zakresu bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego oraz działalności państwa w obszarach prawa karnego, w tym dla prawa państw członkowskich do wykluczenia usługodawców lub dostawców z ich rynków ze względów bezpieczeństwa narodowego,

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.