Navigation path

Left navigation

Additional tools

Komisja Europejska - Zestawienie informacji

Pytania i odpowiedzi – Komisja zaleca wspólne podejście do bezpieczeństwa sieci 5G

Strasburg, 26 marca 2019 r.

.

Dlaczego wprowadzenie sieci 5G ma kluczowe znaczenie dla Europy?

Sieci piątej generacji (5G) będą stanowić trzon naszych społeczeństw i gospodarek, łącząc miliardy przedmiotów i systemów, w tym w kluczowych sektorach, takich jak energetyka, transport, bankowość i opieka zdrowotna, a także w systemach kontroli przemysłowej zawierających wrażliwe informacje oraz w pomocniczych systemach bezpieczeństwa. Procesy demokratyczne, takie jak wybory, w coraz większym stopniu opierają się na infrastrukturze cyfrowej i sieciach 5G, a więc tym pilniejsza jest potrzeba wyeliminowania wszelkich słabych punktów. W związku z tym, biorąc pod uwagę majowe wybory do Parlamentu Europejskiego, zalecenie przedstawione dziś przez Komisję ma jeszcze większe znaczenie.

5G jest również kluczowym atutem, dzięki któremu Europa będzie mogła konkurować na rynku globalnym. W 2025 r. światowe przychody z sieci 5G powinny osiągnąć równowartość 225 mld euro. Korzyści płynące z wprowadzenia sieci 5G w czterech najważniejszych sektorach przemysłowych (samochodowym, opieki zdrowotnej, transportu i energetyki) mogą wynieść 114 mld euro rocznie.

Za wprowadzenie sieci 5G odpowiedzialne są państwa członkowskie. Kraje UE wraz z operatorami podejmują obecnie ważne kroki w celu przygotowania sieci. Na 2019 r. przewidziano procedurę aukcyjną dotyczącą co najmniej jednego pasma widma radiowego w 11 państwach członkowskich: w Austrii, Belgii, Czechach, Francji, Niemczech, Grecji, na Węgrzech, w Irlandii, Holandii, na Litwie i w Portugalii. Na 2020 r. zaplanowano sześć kolejnych aukcji w Hiszpanii, na Malcie, Litwie, Słowacji, w Polsce i w Wielkiej Brytanii.

Na szczeblu UE w planie działania dotyczącym sieci 5G określono, że komercyjne uruchomienie sieci we wszystkich państwach członkowskich nastąpi w 2020 r., zaś na 2025 r. zaplanowano kompleksowe wprowadzenie w miastach i wzdłuż najważniejszych korytarzy transportowych. Z najnowszego sprawozdania działającego w ramach Komisji centrum monitorowania ds. sieci 5G wynika, że europejscy operatorzy konkurują z wiodącymi regionami świata w przygotowaniach do komercyjnego wprowadzenia technologii 5G jeszcze w tym roku. Europa jest liderem, jeśli chodzi o działania pilotażowe w dziedzinie 5G, głównie dzięki partnerstwu publiczno-prywatnemu Komisji ds. sieci 5G. W 23 państwach członkowskich odnotowano 139 takich działań, głównie w kluczowych sektorach wertykalnych.

Europejski kodeks łączności elektronicznej będzie wspierał rozmieszczenie i upowszechnianie sieci 5G, zwłaszcza w odniesieniu do przydziału widma radiowego, zachęt inwestycyjnych oraz korzystnych warunków ramowych, natomiast niedawno przyjęte zasady dotyczące otwartego internetu zapewniają pewność prawa w zakresie uruchomienia zastosowań sieci 5G. Jeśli chodzi o sektor prywatny, uczestnicy rynku planują inwestycje w infrastrukturę i ustanawiają partnerstwa w celu przeniesienia rozwiązań technologicznych z etapu badań na etap zastosowania komercyjnego.

 

Dlaczego należy ocenić ryzyko związane z przyszłymi sieciami 5G?

Po wprowadzeniu sieci 5G, będą one stanowić trzon szerokiego zakresu usług umożliwiających funkcjonowanie rynku wewnętrznego oraz utrzymanie i prowadzenie podstawowych funkcji społecznych i gospodarczych, takich jak energetyka, transport, bankowość i opieka zdrowotna, a także systemy kontroli przemysłowej. Organizacja procesów demokratycznych, takich jak wybory, będzie również w coraz większym stopniu zależna od infrastruktury cyfrowej i sieci 5G.

Ewentualne słabości sieci 5G mogłyby zostać wykorzystane do naruszenia integralności takich systemów i infrastruktury cyfrowej – co może prowadzić do bardzo poważnych szkód lub służyć kradzieży danych lub szpiegostwu na dużą skalę. Ze względu na zależność wielu usług o krytycznym znaczeniu od sieci 5G konsekwencje systemowego i szerokiego zakłócenia byłyby szczególnie poważne. Dlatego konieczne jest przyjęcie solidnego podejścia opartego na analizie ryzyka, zamiast polegania głównie na środkach ograniczających ryzyko po fakcie.

Państwa członkowskie wyraziły obawy co do potencjalnych zagrożeń dla bezpieczeństwa związanych z sieciami 5G i rozważają lub podejmują środki w celu zaradzenia tym zagrożeniom. W konkluzjach Rady Europejskiej z dnia 22 marca 2019 r. państwa członkowskie stwierdziły także, że oczekują wspólnego podejścia na szczeblu UE.

 

Dlaczego musimy działać na poziomie europejskim w celu zabezpieczenia sieci 5G? 

Połączony i ponadnarodowy charakter infrastruktury cyfrowej, a także transgraniczny charakter związanych z nią zagrożeń, oznaczają, że wszelkie słabe punkty sieci 5G lub cyberataki ukierunkowane na przyszłe sieci w jednym państwie członkowskim miałyby wpływ na całą Unię. Dlatego też skoordynowane działania zarówno na szczeblu krajowym, jak i europejskim, muszą zapewnić wysoki poziom cyberbezpieczeństwa.

Zapewnienie cyberbezpieczeństwa sieci 5G jest kwestią o strategicznym znaczeniu dla UE, w czasie gdy ataki cybernetyczne stają się coraz częstsze i bardziej wyrafinowane niż kiedykolwiek dotychczas i kiedy wzrasta konieczność ochrony praw człowieka i podstawowych wolności w internecie.

Na posiedzeniu w dniu 22 marca 2019 r. szefowie państw lub rządów UE stwierdzili, że oczekują przyjęcia przez Komisję zalecenia w sprawie wspólnego podejścia do bezpieczeństwa sieci 5G. W rezolucji Parlamentu Europejskiego w sprawie zagrożeń dla bezpieczeństwa wynikających z rosnącej obecności technologicznej Chin w UE również wezwano Komisję i państwa członkowskie do podjęcia działań na szczeblu Unii.

Ponadto cyberbezpieczeństwo sieci 5G ma kluczowe znaczenie dla zapewnienia strategicznej autonomii Unii, co podkreślono we wspólnym komunikacie „UE–Chiny – perspektywa strategiczna”. Zagrożenie dla bezpieczeństwa UE mogą stanowić: inwestycje zagraniczne w sektorach strategicznych, nabywanie krytycznych aktywów, technologii i infrastruktury w UE, udział w określaniu norm UE i dostawach sprzętu o krytycznym znaczeniu. Dotyczy to w szczególności infrastruktury krytycznej, takiej jak sieci 5G, które będą miały podstawowe znaczenie dla naszej przyszłości i powinny być całkowicie bezpieczne.

 

Jak będzie wyglądać koordynacja UE? Jakie są niezbędne kroki?

1. Na szczeblu krajowym

Do końca czerwca 2019 r. każde państwo członkowskie powinno przeprowadzić krajową ocenę ryzyka dotyczącą infrastruktury sieci 5G. Na tej podstawie państwa członkowskie powinny zaktualizować obowiązujące wymogi bezpieczeństwa dotyczące dostawców sieci i ustanowić warunki zapewnienia bezpieczeństwa sieci publicznych, zwłaszcza przy przyznawaniu praw użytkowania częstotliwości radiowych w pasmach 5G. Środki te powinny obejmować zwiększone obowiązki dostawców i operatorów w odniesieniu do zapewnienia bezpieczeństwa sieci. W krajowych ocenach ryzyka i środkach należy uwzględnić różne czynniki ryzyka, takie jak ryzyko techniczne i ryzyko związane z zachowaniem dostawców lub operatorów, w tym z państw trzecich. Krajowe oceny ryzyka będą centralnym elementem procesu tworzenia skoordynowanej oceny ryzyka na szczeblu UE. 

Państwa członkowskie UE mają prawo do wykluczenia danych przedsiębiorstw ze swojego rynku z powodów dotyczących bezpieczeństwa narodowego, jeżeli nie spełniają one krajowych norm i nie przestrzegają krajowych przepisów prawnych.

 

2. Na szczeblu UE

Państwa członkowskie powinny wymieniać się informacjami, a przy wsparciu Komisji i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) do dnia 1 października 2019 r. ukończą skoordynowaną ocenę ryzyka. Na tej podstawie państwa członkowskie uzgodnią zestaw środków ograniczających ryzyko, które można stosować na szczeblu krajowym. Do środków takich mogą należeć: wymogi certyfikacyjne, testy i kontrole, jak również identyfikacja potencjalnie niezabezpieczonych produktów lub dostawców. Prace te zostaną zrealizowane przez grupę współpracy – którą utworzono na mocy dyrektywy w sprawie bezpieczeństwa sieci i informacji i w której skład wchodzą właściwe organy – z pomocą Komisji i agencji ENISA. Te skoordynowane prace powinny pomóc państwom członkowskim w realizacji działań na szczeblu krajowym i zaoferować Komisji wskazówki dotyczące ewentualnych przyszłych działań na szczeblu UE. Ponadto państwa członkowskie powinny opracować szczegółowe wymagania dotyczące bezpieczeństwa, które mogłyby być stosowane w kontekście zamówień publicznych związanych z sieciami 5G, w tym obowiązkowe wymogi w zakresie wdrażania systemów certyfikacji cyberbezpieczeństwa.

W wydanym dzisiaj zaleceniu uwzględniono wiele już istniejących lub już uzgodnionych instrumentów służących zacieśnieniu współpracy na rzecz walki z cyberatakami i umożliwieniu UE podejmowania wspólnych działań na rzecz ochrony jej gospodarki i społeczeństwa. Przykładem takich działań są: pierwszy ogólnounijny akt prawny dotyczący cyberbezpieczeństwa (dyrektywa w sprawie bezpieczeństwa sieci i informacji), zatwierdzony niedawno przez Parlament Europejski akt w sprawie cyberbezpieczeństwa oraz nowe przepisy dotyczące telekomunikacji.

Zalecenie to pomoże również państwom członkowskim w spójnym wdrażaniu tych nowych instrumentów pod kątem bezpieczeństwa sieci 5G.

 

Jakie przepisy unijne służące ochronie przyszłych sieci 5G już obowiązują lub są wdrażane?

UE dysponuje szeregiem instrumentów w celu ochrony sieci łączności elektronicznej. Są to m.in.: pierwszy ogólnounijny akt prawny dotyczący cyberbezpieczeństwa (dyrektywa w sprawie bezpieczeństwa sieci i informacji), zatwierdzony niedawno przez Parlament Europejski akt w sprawie cyberbezpieczeństwa oraz nowe przepisy dotyczące telekomunikacji.

Ponadto państwa członkowskie UE mogą wykluczyć dane przedsiębiorstwa ze swojego rynku z powodów dotyczących bezpieczeństwa narodowego, jeżeli nie spełniają one krajowych norm i nie przestrzegają krajowych przepisów prawnych.

Przepisy w dziedzinie telekomunikacji: Państwa członkowskie muszą zapewnić utrzymanie integralności i bezpieczeństwa publicznych sieci łączności, m.in. poprzez wprowadzenie obowiązku, aby operatorzy wdrażali właściwe środki techniczne i organizacyjne w celu odpowiedniego zarządzania wszelkimi zagrożeniami dla bezpieczeństwa sieci lub usług. Właściwe krajowe organy regulacyjne mają także odpowiednie uprawnienia, mogą np. wydawać wiążące instrukcje i zapewniać ich przestrzeganie. W celu ochrony poufności komunikacji państwa członkowskie mogą również określać warunki dotyczące zabezpieczenia sieci publicznych przed dostępem podmiotów nieuprawnionych.

Narzędzia w dziedzinie cyberbezpieczeństwa: Przyszłe europejskie ramy certyfikacji cyberbezpieczeństwa cyfrowych produktów, procesów i usług, zaakceptowane niedawno przez Parlament Europejski, powinny stanowić niezbędne narzędzie wsparcia w celu promowania spójnych poziomów bezpieczeństwa. Powinny one umożliwiać rozwój systemów certyfikacji cyberbezpieczeństwa, aby można było odpowiadać na potrzeby użytkowników sprzętu i oprogramowania 5G.

By wesprzeć realizację tych zobowiązań i wdrażanie tych instrumentów, Unia ustanowiła szereg organów współpracy. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), Komisja, państwa członkowskie i krajowe organy regulacyjne opracowały wytyczne techniczne dla krajowych organów regulacyjnych dotyczące zgłaszania incydentów, środków ochrony oraz zagrożeń i zasobów. W skład grupy współpracy utworzonej na mocy dyrektywy w sprawie bezpieczeństwa sieci i informacji wchodzą właściwe organy, a jej celem jest wspieranie i ułatwianie współpracy, zwłaszcza przez zapewnianie doradztwa strategicznego.

Zapewnianie cyberbezpieczeństwa wymaga również utrzymania wystarczającego poziomu autonomii strategicznej dzięki osiągnięciu masy krytycznej inwestycji w cyberbezpieczeństwo oraz zaawansowane technologie cyfrowe w UE. Komisja zaproponowała więc w swoim wniosku dotyczącym programu „Cyfrowa Europa”, aby cel ten traktować priorytetowo w kolejnym okresie budżetowym UE, oraz zaproponowała utworzenie nowego Europejskiego Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa oraz sieci krajowych ośrodków koordynacji w celu realizacji odnośnych projektów w dziedzinie cyberbezpieczeństwa.

Przepisy w dziedzinie zamówień publicznych: Przepisy UE dotyczące zamówień publicznych pomagają efektywniej wykorzystać pieniądze podatników, ponieważ zapewniają, by zamówienia publiczne były udzielane w drodze konkurencyjnej, otwartej, przejrzystej i dobrze uregulowanej procedury przetargowej. 

Unijne dyrektywy w sprawie zamówień publicznych nie wprowadzają rozróżnienia między podmiotami gospodarczymi z UE i spoza UE, ale przewidują szereg zabezpieczeń. Na przykład umożliwiają one instytucjom zamawiającym odrzucenie – pod pewnymi warunkami – ofert, które są bezzasadnie niskie lub które nie są zgodne z normami w zakresie bezpieczeństwa, prawa pracy i ochrony środowiska. Dyrektywy te przewidują również, że instytucje zamawiające mogą chronić swoje podstawowe interesy w dziedzinie bezpieczeństwa i obrony.

Przepisy dotyczące monitorowania bezpośrednich inwestycji zagranicznych: Nowe rozporządzenie wejdzie w życie w kwietniu 2019 r. i będzie w całości stosowane od listopada 2020 r. Zapewni ono skuteczny instrument służący wykrywaniu inwestycji zagranicznych w krytyczne aktywa, technologie i infrastrukturę oraz zwiększaniu świadomości w tym zakresie. Rozporządzenie to umożliwi także wspólne identyfikowanie zagrożeń dla bezpieczeństwa i porządku publicznego stwarzanych przez inwestycje w sektorach wrażliwych oraz wspólne eliminowanie tych zagrożeń. Państwa członkowskie powinny wykorzystać okres między wejściem w życie i rozpoczęciem stosowania rozporządzenia, aby wprowadzić konieczne zmiany w swoich krajowych praktykach i przepisach oraz uruchomić procedury administracyjne w celu zapewnienia skutecznej współpracy z Komisją na szczeblu UE w ramach ustanowionych mechanizmów.

System sankcji horyzontalnych służących zwalczaniu cyberataków: Nowy system, zaproponowany przez Komisję i Wysoką Przedstawiciel, będzie miał zasięg ogólnoświatowy i umożliwi Unii elastyczne reagowanie, niezależnie od miejsca, w którym cyberatak miał swój początek, oraz faktu, czy atak był prowadzony przez podmioty państwowe czy też inne. W razie przyjęcia ten system sankcji umożliwiłby Unii reagowanie na cyberataki o znacznym zasięgu, które zagrażają integralności i bezpieczeństwu UE, jej państw członkowskich oraz jej obywateli.

 

Jaką rolę w tej koordynacji odgrywa Agencja Unii Europejskiej ds. Cyberbezpieczeństwa?

W zatwierdzonym niedawno przez Parlament Europejski akcie w sprawie cyberbezpieczeństwa udzielono stałego i silniejszego upoważnienia Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji – ENISA).

ENISA już wspiera Komisję w dziedzinie bezpieczeństwa sieci telekomunikacyjnych. Wraz z państwami członkowskimi i krajowymi organami regulacyjnymi ENISA opracowała wytyczne techniczne dla krajowych organów regulacyjnych dotyczące zgłaszania incydentów, środków ochrony oraz zagrożeń i zasobów.

Ponadto w zaleceniu zwrócono się do ENISA, by udzielała wsparcia na rzecz rozwoju skoordynowanej unijnej oceny ryzyka dotyczącego sieci 5G.

ENISA będzie również działać na rzecz rozwoju ogólnoeuropejskich systemów certyfikacji, jak przewidziano w akcie w sprawie cyberbezpieczeństwa.

 

Jakie będą kolejne działania?

  • Państwa członkowskie powinny ukończyć krajowe oceny ryzyka do dnia 30 czerwca 2019 r. i zaktualizować niezbędne środki bezpieczeństwa. Krajową ocenę ryzyka należy przekazać Komisji i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa do dnia 15 lipca 2019 r.
  • Jednocześnie państwa członkowskie i Komisja rozpoczną działania koordynacyjne w ramach grupy współpracy ustanowionej na mocy dyrektywy w sprawie bezpieczeństwa sieci i informacji. ENISA uzupełni krajobraz zagrożeń dotyczący 5G. Będzie on pomocny państwom członkowskim przy przeprowadzaniu ogólnounijnej oceny ryzyka, która ma zostać zakończona do dnia 1 października 2019 r.
  • Do dnia 31 grudnia 2019 r. grupa współpracy powinna uzgodnić zestaw narzędzi obejmujący środki ograniczające ryzyko, które mają służyć eliminacji zidentyfikowanych zagrożeń dla cyberbezpieczeństwa na szczeblu krajowym i unijnym.
  • Po wejściu w życie w najbliższych tygodniach zatwierdzonego niedawno przez Parlament Europejski aktu w sprawie cyberbezpieczeństwa Komisja i ENISA podejmą wszelkie niezbędne działania w celu ustanowienia ogólnounijnych ram certyfikacji. Zachęca się państwa członkowskie do współpracy z Komisją i ENISA w celu priorytetowego potraktowania systemu certyfikacji obejmującego sieci i urządzenia 5G.
  • Do dnia 1 października 2020 r. państwa członkowskie – we współpracy z Komisją – powinny ocenić skutki zalecenia, aby ustalić, czy konieczne są dalsze działania. Ocena ta powinna uwzględniać wyniki skoordynowanej europejskiej oceny ryzyka i skuteczności środków.

 

Dodatkowe informacje:

Zalecenie w sprawie cyberbezpieczeństwa sieci 5G

Komunikat prasowy

Unia bezpieczeństwa: uzgodniono dotąd 15 z 22 inicjatyw ustawodawczych

Komunikat prasowy: Unijni negocjatorzy osiągnęli porozumienie w sprawie wzmocnienia cyberbezpieczeństwa Europy

Plan działania dotyczący 5G

Komunikat prasowy: Wspólny komunikat „UE-Chiny – perspektywa strategiczna”

MEMO/19/1833

Kontakty z mediami:

Zapytania od obywateli: Serwis Europe Direct – tel. [ 00 800 67 89 10 11 ] lub e-mail


Side Bar