Navigation path

Left navigation

Additional tools

Europeiska kommissionen - Faktablad

Frågor och svar – EU-kommissionen rekommenderar gemensam EU-strategi för säkerhet i 5G-nät

Strasbourg den 26 mars 2019

.

Varför är 5G-nät viktiga för EU?

Femte generationens (5G) nät kommer att bli ryggraden i våra samhällen och ekonomier, och ansluta miljarder föremål och system inom bl.a. kritiska sektorer som energi, transport, banker och vård, samt industriella styrsystem som innehåller känslig information och ligger till grund för säkerhetssystem. Demokratiska processer, t.ex. val, bygger i allt högre grad på digital infrastruktur och 5G-nät, vilket visar hur viktigt det är att ta itu med sårbarheter och gör att den rekommendation som kommissionen lägger fram i dag är särskilt relevant inför valet till Europaparlamentet i maj.

5G är också en viktig förutsättning för att EU ska vara konkurrenskraftigt i världen. Inkomsterna från 5G spås 2025 uppgå till 225 miljarder euro i hela världen. Vinsterna med 5G-utbyggnad i fyra viktiga näringsgrenar, nämligen biltillverkning, hälsa, transport och energi, kan bli så mycket som 114 miljarder euro per år.

Det är EU-ländernas ansvar att bygga ut 5G. Tillsammans med operatörerna vidtar EU-länderna nu åtgärder för att förbereda det. Utauktionering av minst ett spektrumband planeras äga rum 2019 i elva medlemsländer: Österrike, Belgien, Tjeckien, Frankrike, Tyskland, Grekland, Ungern, Irland, Nederländerna, Litauen och Portugal. Ytterligare sex auktioner planeras 2020 i Spanien, Malta, Litauen, Slovakien, Polen och Storbritannien.

På EU-nivå finns handlingsplanen för 5G som har som mål att 5G ska lanseras kommersiellt 2020 i alla EU-länder, och 2025 ska det vara utbyggt i städer och längs större transportstråk. Den senaste rapporten från kommissionens 5G-grupp visar att de europeiska företagen tävlar med andra ledande regioner i världen när de förbereder sig inför den kommersiella lanseringen av 5G i år. EU är en världsledare inom försök med 5G, främst tack vare kommissionens offentlig-privata partnerskap om 5G, med 139 försök i 23 EU-länder, främst i centrala vertikala tillämpningar.

Den europeiska kodexen för elektronisk kommunikation ska stödja utbyggnaden och användningen av 5G-nät, framför allt vad gäller tilldelning av radiospektrum, investeringsincitament och gynnsamma ramvillkor, medan de nyligen antagna bestämmelserna om öppet internet ska skapa rättssäkerhet när det gäller införandet av 5G-tillämpningar. På den privata sidan planerar operatörerna investeringar i infrastruktur och bygger upp partnerskap för att föra de tekniska lösningarna vidare från försök till kommersiell drift.

 

Varför behöver man bedöma riskerna med framtida 5G-nät?

När 5G-näten väl tagits i drift kommer de att utgöra stommen i en rad tjänster som är helt nödvändiga för den inre marknaden och för livsviktiga samhälleliga och ekonomiska funktioner, t.ex. energi, transport, banktjänster, hälso- och sjukvård samt industriell processtyrning. Demokratiska processer som val kommer också att bli alltmer beroende av digital infrastruktur och 5G-nät.

Sårbarheter i 5G-näten kan utnyttjas för att kompromettera system och digital infrastruktur, och det kan leda till mycket allvarliga skador eller användas för storskalig datastöd eller spionage. Att många kritiska tjänster är beroende av 5G-nät gör att konsekvenserna av systemomfattande och utbredda störningar kan bli särskilt allvarliga. Det motiverar en ordentlig riskbaserad strategi i stället för en strategi som främst går ut på att laga och lappa i efterhand.

EU-länderna har uttryckt oro för säkerhetsrisker i 5G-näten och tittat på sätt att hantera riskerna, och i Europeiska rådets slutsatser av den 22 mars 2019 efterlyste de en samordnad EU-strategi.

 

Varför behöver vi agera på EU-nivå för säkra 5G-nät? 

Den sammankopplade och gränsöverskridande karaktären hos den digitala infrastrukturen och de aktuella hotens gränsöverskridande karaktär innebär att alla sårbarheter och it-säkerhetsincidenter som påverkar 5G-nät i en medlemsstat får följder för EU som helhet. Därför behövs samordnade åtgärder på både nationell nivå och EU-nivå för en hög nivå av it-säkerhet.

Säkra 5G-nät har strategisk betydelse för EU, eftersom it-angrepp ökar och blir alltmer sofistikerade, och dessutom blir det allt viktigare att skydda mänskliga fri- och rättigheter på nätet.

EU:s stats- och regeringschefer uttalade vid sitt möte den 22 mars 2019 att de såg fram emot kommissionens rekommendation om en samordnad strategi i fråga om 5G-nätens säkerhet. Europaparlamentet uppmanar även i sin resolution om säkerhetshot kopplade till Kinas ökande teknologiska närvaro i EU kommissionen och EU-länderna att vidta åtgärder på EU-nivå.

Säkerheten i 5G-näten är också avgörande för EU:s strategiska oberoende, vilket nämns i det gemensamma meddelandet EU och Kina – En strategisk hållning. Utländska investeringar i strategiska sektorer, förvärv av kritisk materiel, teknik och infrastruktur i EU, inblandning i EU:s standardiseringsprocess samt leveranser av kritisk utrustning kan också utgöra hot mot EU:s säkerhet. Detta är särskilt relevant för kritisk infrastruktur, t.ex. 5G-nät, som kommer att vara avgörande för vår framtid och måste vara helt säker.

 

Hur fungerar samordningen i EU? Vad måste göras?

1. På nationell nivå

Alla EU-länder bör i slutet av juni 2019 ha utfört en nationell riskbedömning av 5G-infrastrukturen. Med det som utgångspunkt bör EU-länderna uppdatera befintliga säkerhetskrav för nätoperatörer och ställa villkor om säkerhet i allmänna nät, särskilt när de beviljar rätt att använda radiofrekvenser i 5G-banden. Strängare krav ska ställas på leverantörer och operatörer så att de ser till att näten är säkra. De nationella riskbedömningarna ska beakta riskfaktorer som tekniska risker och risker på grund av leverantörernas och operatörernas agerande, även dem från länder utanför EU. De nationella riskbedömningarna blir ett viktigt underlag för en samordnad EU-riskbedömning. 

EU-länderna har möjlighet att utestänga företag från sina marknader av skäl som rör nationell säkerhet, om de inte följer landets standarder och regler.

 

2. På EU-nivå

EU-länderna bör utbyta information med varandra, och ska i samarbete med kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) bli färdiga med en samordnad riskbedömning senast den 1 oktober 2019. Med utgångspunkt i den ska EU-länderna enas om en verktygslåda med riskhanteringsåtgärder som de kan sätta in. Några exempel på åtgärder är certifieringskrav, provning, kontroller och identifiering av produkter och leverantörer som anses osäkra. Arbetet utförs av en samordningsgrupp, som består av de behöriga myndigheterna och som inrättades genom nätverks- och informationssäkerhetsdirektivet, där även kommissionen och Enisa medverkar. Detta arbete bör stödja EU-ländernas insatser och fungera som vägledning för kommissionen vid eventuella åtgärder på EU-nivå. Dessutom bör EU-länderna ta fram särskilda säkerhetskrav som kan tillämpas vid offentlig upphandling av 5G-nät, t.ex. obligatoriska krav på it-säkerhetscertifiering.

Den rekommendation som läggs fram i dag bygger på den omfattande lagstiftning som redan finns eller är på väg om stärkt samarbete mot it-angrepp, och gör det möjligt för EU att agera gemensamt för att skydda sin ekonomi och sitt samhälle. Här ingår den första EU-omfattande lagstiftningen om it-säkerhet (nätverks- och informationssäkerhetsdirektivet), cybersäkerhetsakten, som Europaparlamentet nyligen godkände, och de nya telereglerna.

Rekommendationen ska också hjälpa EU-länderna att tillämpa den nya lagstiftningen konsekvent när det gäller 5G-säkerhet.

 

Vilken EU-lagstiftning finns eller är på gång för att skydda 5G-näten?

EU har en rad rättsakter för att skydda elektroniska kommunikationsnät, däribland den första rättsakten om it-säkerhet för hela EU (nätverks- och informationssäkerhetsdirektivet), cybersäkerhetsakten som Europaparlamentet nyligen godkände samt de nya telereglerna.

EU-länderna har dessutom möjlighet att utestänga företag från sina marknader av skäl som rör nationell säkerhet, om de inte följer landets standarder och regler.

Teleregler: EU-länderna ska se till att de allmänna kommunikationsnätens integritet och säkerhet upprätthålls, förenat med skyldigheten att säkerställa att operatörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att på ett tillfredsställande sätt skydda säkerheten för sina nät eller tjänster. Vidare föreskrivs att de behöriga nationella regleringsmyndigheterna ska ha befogenheter, inbegripet befogenheter att utfärda bindande instruktioner, för att se till att sådana skyldigheter efterlevs. Dessutom kan medlemsstaterna förena den generella auktorisationen med villkor för allmänna näts säkerhet mot olovlig åtkomst i syfte att skydda telehemligheten.

It-säkerhetsverktyg: Den kommande EU-certifieringen av digitala produkter, processer och tjänster, som Europaparlamentet nyligen godkände, bör ge ett viktigt bidrag till en jämn it-säkerhetsnivå. Den bör göra det möjligt att utveckla system för it-säkerhetscertifiering för att tillgodose behoven hos användare av 5G-relaterad utrustning och programvara.

Till stöd för genomförandet av dessa skyldigheter har EU inrättat ett antal samarbetsorgan. Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), kommissionen, medlemsstaterna och de nationella regleringsmyndigheterna har tagit fram tekniska riktlinjer för de nationella regleringsmyndigheternas rapportering av incidenter, säkerhetsåtgärder, hot och resurser. Den samarbetsgrupp som inrättats genom nätverks- och informationssäkerhetsdirektivet sammanför de behöriga myndigheterna för att understödja och underlätta samarbetet, särskilt genom att tillhandahålla strategisk vägledning.

För it-säkerhet krävs också ett tillräckligt strategiskt oberoende som skapas genom en kritisk massa av investeringar i it-säkerhet och avancerad digital teknik i EU. Kommissionen föreslår därför att detta mål prioriteras i EU:s nästa budgetperiod, bl.a. genom förslaget om programmet för ett digitalt Europa och förslaget till Europeiska kompetenscentrumet för cybersäkerhet med tillhörande nätverk som ska driva projekt inom it-säkerhet.

Regler om offentlig upphandling: EU:s regler om offentlig upphandling bidrar till att ge skattebetalarna mer valuta för pengarna genom att offentliga kontrakt tilldelas i konkurrensutsatta, öppna och välreglerade anbudsförfaranden. 

EU:s direktiv om offentlig upphandling gör ingen skillnad mellan ekonomiska aktörer i och utanför EU, men omfattar ett antal skyddsåtgärder. Exempelvis får de upphandlande myndigheterna på vissa villkor avvisa anbud som är omotiverat låga eller som inte uppfyller säkerhets-, arbets- och miljönormer. De upphandlande myndigheterna får också skydda sina väsentliga säkerhets- och försvarsintressen.

Regler om granskning av utländska direktinvesteringar: Den nya förordningen träder i kraft i april 2019 och ska tillämpas fullt ut från och med november 2020. Förordningen blir ett kraftfullt sätt att kartlägga och öka medvetenheten om utländska investeringar i kritisk materiel, teknik och infrastruktur. Dessutom kan hot mot säkerhet och allmän ordning på grund av uppköp i känsliga sektorer kartläggas och hanteras gemensamt. EU-länderna bör utnyttja tiden mellan förordningens ikraftträdande och tillämpning för att ändra inhemsk praxis och lagstiftning och bygga upp administrativa strukturer för ett effektivt samarbete på EU-nivå med kommissionen i enlighet med de fastställda mekanismerna.

Övergripande sanktioner för att motverka cyberattacker: Enligt kommissionens och utrikesrepresentantens förslag ska ett nytt system täcka hela världen och göra det möjligt för EU att gripa in på ett flexibelt sätt, oavsett varifrån it-angreppen kommer och oavsett om stater eller andra aktörer ligger bakom dem. När det här systemet antagits kan EU reagera på it-angrepp med ”väsentlig effekt”, som hotar EU:s, medlemsländernas eller EU-medborgarnas integritet och säkerhet.

 

Vad gör Enisa i den här samordningen?

Cybersäkerhetsakten, som Europaparlamentet nyligen godkände, ger ett permanent, förstärkt uppdrag till Enisa (Europeiska unionens byrå för nät- och informationssäkerhet).

Enisa ger redan i dag stöd till kommissionen när det gäller telenätens säkerhet. Tillsammans med EU-länderna och de nationella regleringsmyndigheterna har Enisa tagit fram tekniska riktlinjer för de nationella regleringsmyndigheternas rapportering av incidenter, säkerhetsåtgärder, hot och resurser.

Enligt rekommendationen ska Enisa dessutom bidra till en samordnad EU-riskbedömning av 5G-nät.

Enisa ska också arbeta för att utveckla EU-omfattande certifieringssystem, i enlighet med cybersäkerhetsakten.

 

Vad blir nästa steg?

  • EU-länderna bör slutföra sina nationella riskbedömningar senast den 30 juni 2019 och uppdatera sina säkerhetsåtgärder. Den nationella riskbedömningen bör överlämnas till kommissionen och Enisa senast den 15 juli 2019.
  • Samtidigt ska EU-länderna och kommissionen inleda verksamheten i den samarbetsgrupp som inrättats enligt direktivet om säkerhet i nätverks- och informationssystem. Enisa kommer att färdigställa en 5G-hotbildskartläggning för att hjälpa EU-länderna att utföra den EU-omfattande riskbedömningen senast den 1 oktober 2019.
  • Senast den 31 december 2019 bör samarbetsgruppen komma överens om en verktygslåda med riskhanteringsåtgärder för att ta itu med de identifierade it-säkerhetsriskerna på nationell nivå och EU-nivå.
  • Så snart som cybersäkerhetsakten, nyligen godkänd av Europaparlamentet, träder i kraft under de närmaste veckorna ska kommissionen och Enisa vidta alla nödvändiga åtgärder för att inrätta den EU-omfattande certifieringsramen. EU-länderna uppmanas att samarbeta med kommissionen och Enisa för att prioritera ett certifieringssystem som omfattar 5G-nät och 5G-utrustning.
  • Senast den 1 oktober 2020 bör EU-länderna i samarbete med kommissionen utvärdera rekommendationen för att avgöra om det behövs ytterligare åtgärder. Vid denna bedömning bör resultaten av den samordnade EU-riskbedömningen och EU-verktygslådan beaktas.

 

Läs mer

Rekommendation om it-säkerhet i 5G-nät

Pressmeddelande

Säkerhetsunionen: 15 av 22 lagförslag överenskomna hittills

Pressmeddelande: EU-förhandlare enas om att stärka cybersäkerheten i Europa

Handlingsplan för 5G

Pressmeddelande: Gemensamt meddelande EU och Kina – En strategisk hållning

MEMO/19/1833

Presskontakter:

För allmänheten: Europe Direct på telefon 00 800 67 89 10 11 eller via e-post


Side Bar