(1)

Komisia uznala zavedenie sieťových technológií 5. generácie (5G) za hlavný faktor umožňujúci budúce digitálne služby a za prioritu pre stratégiu digitálneho jednotného trhu. Komisia prijala akčný plán pre oblasť 5G s cieľom zabezpečiť, aby Únia mala od roku 2020 infraštruktúru pripojiteľnosti potrebnú pre svoju digitálnu transformáciu (1).

(2)

Základom sietí 5G budú súčasné sieťové technológie 4. generácie (4G). Tieto siete budú poskytovať nové kapacity služieb a stanú sa ústrednou infraštruktúrou a základným nástrojom pre mnohé odvetvia hospodárstva Únie. Po spustení budú siete 5G tvoriť základ pre širokú škálu služieb nevyhnutných pre fungovanie vnútorného trhu a zachovanie a fungovanie dôležitých spoločenských a hospodárskych funkcií, ako sú energetika, doprava, bankovníctvo a zdravotníctvo, ako aj priemyselných riadiacich systémov. Digitálna infraštruktúra a siete 5G sa budú čoraz viac využívať aj pri organizovaní demokratických procesov, ako sú voľby.

(3)

Z dôvodu závislosti mnohých kritických služieb od sietí 5G by dôsledky systémového a rozsiahleho narušenia boli mimoriadne závažné. V dôsledku toho je zaistenie kybernetickej bezpečnosti sietí 5G pre Úniu otázkou strategického významu v čase, keď sú kybernetické útoky na vzostupe a sú sofistikovanejšie než kedykoľvek predtým.

(4)

Prepojená a nadnárodná povaha infraštruktúr, ktoré tvoria základ digitálneho ekosystému, a cezhraničný charakter príslušných hrozieb znamenajú, že všetky výrazné zraniteľné miesta a/alebo kybernetické bezpečnostné incidenty týkajúce sa sietí 5G čo i len v jednom členskom štáte, by mali vplyv na Úniu ako celok. Preto by sa mali prijať opatrenia na podporu vysokej spoločnej úrovne kybernetickej bezpečnosti sietí 5G.

(5)

Členské štáty potvrdili potrebu opatrení na úrovni Únie. Európska rada vo svojich záveroch z 21. marca 2019 so záujmom očakáva odporúčanie Komisie týkajúce sa spoločného prístupu k bezpečnosti sietí 5G (2).

(6)

Hlavným cieľom by malo byť zabezpečenie európskej suverenity pri plnom rešpektovaní európskych hodnôt otvorenosti a tolerancie (3). Zahraničné investície do strategických odvetví, akvizícia kritických aktív, technológií a infraštruktúry v Únii a dodávanie kritických zariadení môžu takisto predstavovať riziká pre bezpečnosť Únie.

(7)

Kybernetická bezpečnosť sietí 5G je kľúčová na zabezpečenie strategickej autonómie Únie, ako sa uvádza v spoločnom oznámení „EÚ – Čína: strategická vízia“ (4).

(8)

V uznesení Európskeho parlamentu o bezpečnostných hrozbách súvisiacich s rastúcou čínskou technologickou prítomnosťou v Únii sa Komisia a členské štáty vyzývajú, aby prijali opatrenia na úrovni Únie (5).

(9)

Toto odporúčanie rieši riziká v oblasti kybernetickej bezpečnosti sietí 5G stanovením usmernení o vhodných analýzach rizík a riadiacich opatreniach na vnútroštátnej úrovni, o vypracovaní koordinovaného európskeho posúdenia rizík a o zavedení postupu na vypracovanie spoločného súboru najlepších opatrení na riadenie rizík.

(10)

Zaviedol sa silný legislatívny rámec Únie na ochranu elektronických komunikačných sietí.

(11)

Rámec Únie v oblasti elektronických komunikácií (6) podporuje hospodársku súťaž, vnútorný trh a záujmy koncových používateľov a pomocou európskeho kódexu elektronickej komunikácie (7) sleduje dodatočný cieľ v oblasti pripojiteľnosti vyjadrený v podobe výsledkov: všeobecný prístup k pevnému a mobilnému pripojeniu s veľmi vysokou kapacitou pre všetkých občanov a podniky v Únii a jeho využívanie, pri ochrane záujmov občanov Únie. V smernici 2002/21/ES sa od členských štátov vyžaduje, aby zabezpečili zachovanie integrity a bezpečnosti verejných komunikačných sietí. Ich povinnosťou je zaistiť, aby podniky, ktoré poskytujú verejné komunikačné siete alebo verejne dostupné elektronické komunikačné služby, prijali technické a organizačné opatrenia na primerané riadenie rizík spojených s bezpečnosťou sietí a služieb. Takisto sa v nej stanovuje, že príslušné národné regulačné orgány majú právomoci (vrátane právomoci vydávať záväzné usmernenia) na zabezpečenie dodržiavania týchto povinností.

(12)

Okrem toho smernica Európskeho parlamentu a Rady 2002/20/ES (8) umožňuje členským štátom, aby na účely ochrany dôvernosti komunikácií v súlade so smernicou Európskeho parlamentu a Rady 2002/58/ES (9) k všeobecnému povoleniu pripojili podmienky týkajúce sa zabezpečenia verejných sietí proti neoprávnenému prístupu.

(13)

Na podporu plnenia týchto povinností zriadila Únia niekoľko orgánov spolupráce. Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA), Komisia, členské štáty a národné regulačné orgány vypracovali pre národné regulačné orgány technické usmernenia týkajúce sa oznamovania bezpečnostných incidentov, bezpečnostných opatrení, hrozieb a aktív (10). Skupina pre spoluprácu zriadená smernicou Európskeho parlamentu a Rady (EÚ) 2016/1148 (11) (ďalej len „skupina pre spoluprácu“) združuje príslušné orgány s cieľom podporovať a uľahčovať spoluprácu, najmä poskytovaním strategického usmernenia pre činnosti siete jednotiek pre riešenie počítačových bezpečnostných incidentov, ktorá na technickej úrovni uľahčuje operačnú spoluprácu.

(14)

Budúci rámec certifikácie kybernetickej bezpečnosti (12) by mal poskytnúť nevyhnutný podporný nástroj na zaistenie konzistentnej úrovne bezpečnosti. Mal by umožňovať rozvoj systémov certifikácie kybernetickej bezpečnosti s cieľom reagovať na potreby používateľov zariadení a softvéru, ktoré využívajú 5G. Obrovský význam týchto infraštruktúr by mal byť dôvodom, aby sa rozvoj príslušných európskych systémov certifikácie kybernetickej bezpečnosti pre výrobky, služby alebo procesy informačných a komunikačných technológií používaných v sieťach 5G stal okamžitou prioritou. Členské štáty a účastníci trhu by sa mali aktívne zapájať do rozvoja takýchto systémov certifikácie vrátane poskytovania podpory pri definovaní špecifických profilov ochrany pre siete 5G.

(15)

Ak neexistuje harmonizované právo Únie, členské štáty môžu prostredníctvom vnútroštátnych technických predpisov prijatých v súlade s právom Únie stanoviť, že európsky systém certifikácie kybernetickej bezpečnosti by mal byť povinný. Členské štáty takisto využívajú európske systémy certifikácie kybernetickej bezpečnosti v kontexte verejného obstarávania a smernice Európskeho parlamentu a Rady 2014/24/EÚ (13) a mohli by podporovať rozvoj mechanizmov pomoci (ako napr. centra pomoci) slúžiacich verejným obstarávateľom pri nákupe kyberneticko-bezpečnostných riešení.

(16)

Vysoká úroveň ochrany údajov a súkromia je dôležitým prvkom pri zaisťovaní bezpečnosti sietí 5G. Na úrovni Únie sa stanovili aj pravidlá zaisťujúce bezpečnosť spracovania osobných údajov, a to aj v oblasti elektronických komunikácií. Vo všeobecnom nariadení o ochrane údajov (14) sa stanovuje povinnosť spracovávať osobné údaje spôsobom, ktorým sa zaistí ich bezpečnosť, vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení. V smernici o súkromí a elektronických komunikáciách sa stanovujú osobitné pravidlá ochrany dôvernosti komunikácie a koncových zariadení koncových používateľov. Ukladá sa v nej aj povinnosť poskytovateľom služieb prijať primerané technické a organizačné opatrenia na zaistenie bezpečnosti svojich služieb.

(17)

Únia takisto prijala nástroj, ktorým sa bude chrániť kritická infraštruktúra a technológie, ako napríklad tie, ktoré sa používajú v komunikácii, a to tak, že členským štátom umožní preverovať priame zahraničné investície z hľadiska bezpečnosti alebo verejného poriadku, a vytvorením mechanizmu spolupráce, v rámci ktorého si členské štáty a Komisia budú môcť vymieňať informácie a vyjadrovať obavy v súvislosti s konkrétnymi investíciami (15).

(18)

Členské štáty a prevádzkovatelia v súčasnosti prijímajú dôležité prípravné kroky smerujúce k rozsiahlemu zavádzaniu sietí 5G. Niekoľko členských štátov vyjadrilo obavy týkajúce sa možných bezpečnostných rizík súvisiacich so sieťami 5G, ktoré sa môžu objaviť v rámci vykonávania postupov udeľovania práv na využívanie rádiových frekvenčných pásiem určených pre siete 5G (16) a preskúmali opatrenia na riešenie týchto rizík.

(19)

Riešenie rizík v oblasti kybernetickej bezpečnosti sietí 5G by malo zohľadňovať technické aj iné faktory. Medzi technické faktory môžu patriť aj zraniteľné miesta z hľadiska kybernetickej bezpečnosti, ktoré možno využiť na získanie neoprávneného prístupu k informáciám (kybernetická špionáž, či už z ekonomických alebo politických dôvodov) alebo na iné škodlivé účely (kybernetické útoky zamerané na narušenie alebo zničenie systémov a údajov). Medzi dôležité aspekty, ktoré treba zvážiť, by mala patriť potreba chrániť siete počas ich celého životného cyklu a potreba zahrnúť všetky príslušné zariadenia, a to aj vo fáze navrhovania, vývoja, obstarávania, zavedenia, prevádzky a údržby sietí 5G.

(20)

Iné faktory môžu zahŕňať regulačné alebo iné požiadavky, ktoré boli uložené dodávateľom zariadení informačných a komunikačných technológií. Pri posúdení významu týchto faktorov by sa malo okrem iného zohľadniť celkové riziko vplyvu tretej krajiny, najmä v súvislosti s jej modelom riadenia, absenciou dohôd o spolupráci v oblasti bezpečnosti alebo podobných opatrení, ako napr. rozhodnutí o primeranosti, súvisiacich s ochranou údajov medzi Úniou a dotknutou treťou krajinou, alebo či je táto krajina zmluvnou stranou viacstranných, medzinárodných alebo dvojstranných dohôd v oblasti kybernetickej bezpečnosti, boja proti počítačovej kriminalite alebo ochrany údajov.

(21)

Jedným z dôležitých krokov pri rozvoji prístupu Únie ku kybernetickej bezpečnosti sietí 5G by malo byť vykonanie a dokončenie posúdenia rizika na vnútroštátnej úrovni. Členské štáty by mohli na základe tohto posúdenia upraviť vnútroštátne opatrenia týkajúce sa bezpečnostných požiadaviek a riadenia rizík.

(22)

Je potrebné posilňovať koordináciu, aby sa zabezpečila účinnosť opatrení zameraných na riešenie týchto kybernetických hrozieb, ktoré sú nevyhnutné pre hladké fungovanie vnútorného trhu a pre ochranu osobných údajov a súkromia.

(23)

Vnútroštátne posúdenia rizika by mali byť základom pre koordinované posúdenie rizika na úrovni Únie, ktoré pozostáva z mapovania situácie v súvislosti s kybernetickými hrozbami a spoločného preskúmania, ktoré majú vykonať členské štáty s podporou Komisie a Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA).

(24)

So zreteľom na posúdenia rizika na vnútroštátnej úrovni a na úrovni Únie by skupina pre spoluprácu mala vytvoriť súbor nástrojov na identifikáciu rizík v oblasti kybernetickej bezpečnosti a možných opatrení na zmiernenie rizík v oblastiach vrátane certifikácie, testovania a kontrol prístupu. Takisto by mala určiť prípadné osobitné opatrenia vhodné na riešenie rizík, ktoré identifikoval jeden alebo viacero členských štátov. Skupina pre spoluprácu by mala využiť podporu Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA), Europolu, Orgánu európskych regulátorov pre elektronické komunikácie (BEREC) a Spravodajského a situačného centra EÚ. Komisia by mala z tohto súboru nástrojov čerpať pri vypracúvaní minimálnych spoločných požiadaviek na ďalšie zabezpečenie vysokej úrovne kybernetickej bezpečnosti sietí 5G v celej Únii.

(25)

Pri prijímaní opatrení na riešenie rizík v oblasti kybernetickej bezpečnosti by sa pri budovaní akejkoľvek siete mala zvážiť podpora kybernetickej bezpečnosti prostredníctvom rozmanitosti dodávateľov.

(26)

Toto odporúčanie by nemalo mať vplyv na právomoci členských štátov, pokiaľ ide o činnosti týkajúce sa verejnej bezpečnosti, obrany, národnej bezpečnosti a činností štátu v oblasti trestného práva vrátane práva členských štátov vylúčiť poskytovateľov alebo dodávateľov zo svojich trhov z dôvodov národnej bezpečnosti.

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.