Navigation path

Left navigation

Additional tools

Europäische Kommission - Factsheet

Fragen und Antworten – Kommission empfiehlt gemeinsames Vorgehen der EU bei der Sicherheit der 5G-Netze

Straßburg, 26. März 2019

.

Warum ist die Einführung von 5G-Netzen für Europa von entscheidender Bedeutung?

Netze der 5. Generation (5G) werden künftig das Rückgrat unserer Gesellschaften und Volkswirtschaften bilden und Milliarden von Objekten und Systemen mit einander verbinden, auch in kritischen Sektoren wie Energie, Verkehr, Bank- und Gesundheitswesen. Sie werden industrielle Steuerungssysteme ermöglichen, die sensible Informationen verarbeiten, und Sicherheitssysteme unterstützen. Auch demokratische Prozesse, z. B. Wahlen, beruhen zunehmend auf digitalen Infrastrukturen und 5G-Netzen. Dies macht die Beseitigung etwaiger Schwachstellen umso wichtiger und verleiht der heute vorgelegten Empfehlung der Kommission im Vorfeld der Wahlen zum Europäischen Parlament im Mai eine noch größere Bedeutung.

Außerdem ist 5G ein Schlüsselfaktor der Wettbewerbsfähigkeit Europas auf dem Weltmarkt. Im Jahr 2025 dürften die mit 5G erwirtschafteten Umsätze einen Gegenwert von 225 Mrd. EUR erreichen. Die mit der 5G-Einführung allein in vier Schlüsselbranchen (Automobilsektor, Gesundheitswesen, Verkehr und Energie) erzielten Gewinne könnten 114 Mrd. EUR pro Jahr erreichen.

Die Einführung von 5G fällt in die Zuständigkeit der Mitgliedstaaten. Gemeinsam mit den Betreibern unternehmen die Mitgliedstaaten derzeit wichtige Schritte zu ihrer Vorbereitung. Für 2019 ist das Auktionsverfahren für mindestens ein Frequenzband in elf Mitgliedstaaten (Belgien, Tschechien, Deutschland, Irland, Griechenland, Frankreich, Litauen, Ungarn, Niederlande, Österreich, Portugal) vorgesehen. Für 2020 sind sechs weitere Auktionen geplant (Spanien, Litauen, Malta, Polen, Slowakei, Vereinigtes Königreich).

Im 5G-Aktionsplan werden Fristen für die gewerbliche Einführung der Netze in allen Mitgliedstaaten bis 2020 sowie für die umfassende Einführung in Städten und entlang wichtiger Verkehrswege bis 2025 vorgegeben. Der jüngste Bericht der 5G-Beobachtungsstelle der Kommission zeigt, dass die europäischen Betreiber bei der Vorbereitung der gewerblichen Einführung von 5G in diesem Jahr mit anderen weltweit führenden Regionen konkurrieren. Dank der öffentlich-privaten Partnerschaft für 5G liegt Europa mit 139 Tests vor allem in wichtigen vertikalen Sektoren, die aus 23 Mitgliedstaaten gemeldet wurden, bei der 5G-Erprobung weltweit vorn.

Der vorgeschlagene Europäische Kodex für die elektronische Kommunikation wird Aufbau und Nutzung von 5G-Netzen unterstützen, insbesondere in Bezug auf die Zuteilung von Funkfrequenzen, Investitionsanreize und günstige Rahmenbedingungen, während die kürzlich angenommenen Bestimmungen zum offenen Internet Rechtssicherheit in Bezug auf die Einführung von 5G-Anwendungen schaffen. Auf der Privatkundenseite planen die Marktteilnehmer ihre Infrastrukturinvestitionen und bilden Partnerschaften, um die technischen Lösungen von der Testphase zur Markteinführung zu bringen.

 

Welche Risiken müssen in Verbindung mit den künftigen 5G-Netzen bewertet werden?

Sobald die 5G-Netze eingeführt sind, werden sie das Rückgrat eines breiten Spektrums von Diensten bilden, die für das Funktionieren des Binnenmarkts, die Aufrechterhaltung und Ausführung wichtiger gesellschaftlicher und wirtschaftlicher Funktionen – wie Energie, Verkehr, Bank- und Gesundheitswesen – sowie industrieller Steuerungssysteme unverzichtbar sind. Die Organisation demokratischer Prozesse, z. B. von Wahlen, wird sich mehr und mehr auf digitale Infrastrukturen und 5G-Netze stützen.

Jede Schwachstelle in 5G-Netzen könnte genutzt werden, um solche Systeme und die digitale Infrastruktur zu gefährden, was potenziell sehr schwere Schäden verursachen könnte, oder um im großen Maßstab Datendiebstahl bzw. Datenspionage zu betreiben. Aufgrund der Abhängigkeit vieler kritischer Dienste von 5G-Netzen wären die Folgen systemischer und weitverbreiteter Störungen besonders gravierend. Deshalb wird ein solider, risikobasierter Ansatz benötigt, statt vor allem auf nachträgliche Risikominderungsmaßnahmen zu setzen.

Die Mitgliedstaaten haben Bedenken hinsichtlich potenzieller Sicherheitsrisiken der 5G-Netze geäußert und prüfen Maßnahmen zur Bewältigung dieser Risiken. Gleichzeitig erklärten sie in den Schlussfolgerungen des Europäischen Rats vom 22. März 2019, dass sie einem abgestimmten Vorgehen auf EU-Ebene erwartungsvoll entgegensehen.

 

Warum müssen wir auf europäischer Ebene für die Sicherheit der 5G-Netze sorgen? 

Aufgrund der Vernetzung und des transnationalen Charakters der digitalen Infrastrukturen sowie des grenzübergreifenden Charakters der betreffenden Bedrohungen würden sich alle Schwachstellen oder Cybersicherheitsvorfälle, die künftige Netze in einem Mitgliedstaat betreffen, auf die Union als Ganzes auswirken. Deshalb müssen sowohl auf nationaler als auch auf europäischer Ebene abgestimmte Maßnahmen getroffen werden, die ein hohes Maß an Cybersicherheit gewährleisten.

Die Gewährleistung der Cybersicherheit von 5G-Netzen ist ein Thema von strategischer Bedeutung für die EU in einer Zeit, in der Cyberangriffe zunehmen und immer komplexer werden und in der der Schutz der Menschenrechte und Grundfreiheiten im Internet an Gewicht gewinnt.

Auf ihrer Tagung am 22. März 2019 erklärten die Staats- und Regierungschefs der EU, dass sie der Empfehlung der Kommission zu einem abgestimmten Vorgehen bei der Sicherheit von 5G-Netzen erwartungsvoll entgegensehen. In der Entschließung des Europäischen Parlaments zu Sicherheitsbedrohungen im Zusammenhang mit der zunehmenden technologischen Präsenz Chinas in der EU werden die Kommission und die Mitgliedstaaten ebenfalls aufgefordert, Maßnahmen auf Unionsebene zu ergreifen.

Darüber hinaus ist die Cybersicherheit der 5G-Netze von entscheidender Bedeutung für die Gewährleistung der strategischen Autonomie der Union, wie in der Gemeinsamen Mitteilung „EU-China – Strategische Perspektiven“ anerkannt wird. Ausländische Investitionen in strategischen Sektoren, der Erwerb kritischer Anlagen, Technologien und Infrastrukturen in der EU sowie die Beteiligung an der Normung auf EU-Ebene und die Versorgung mit kritischen Ausrüstungen können ebenfalls eine Gefahr für die Sicherheit der EU darstellen. Dies gilt insbesondere für kritische Infrastrukturen wie 5G-Netze, die für unsere Zukunft von entscheidender Bedeutung sein werden und ein höchstes Maß an Sicherheit aufweisen müssen.

 

Wie wird die Koordinierung auf EU-Ebene ablaufen? Welche Schritte sind nötig?

1. Auf nationaler Ebene:

Jeder Mitgliedstaat sollte bis Ende Juni 2019 seine nationale Risikobewertung der 5G-Netzinfratrukturen abschließen. Auf dieser Grundlage sollten die Mitgliedstaaten sodann die bestehenden Sicherheitsanforderungen an Netzbetreiber überarbeiten und Bedingungen zur Gewährleistung der Sicherheit öffentlicher Netze, insbesondere bei der Erteilung von Nutzungsrechten für Funkfrequenzen in 5G-Bändern, festlegen. Diese Maßnahmen sollten verstärkte Verpflichtungen für Anbieter und Betreiber bezüglich der Gewährleistung der Sicherheit der Netze umfassen. In den nationalen Risikobewertungen und Maßnahmen sollten die verschiedenen Risikofaktoren berücksichtigt werden, z. B. technische Risiken und Risiken im Zusammenhang mit dem Verhalten von Anbietern oder Betreibern, auch denen aus Drittländern. Die nationalen Risikobewertungen werden ein zentrales Element für den Aufbau einer koordinierten EU-Risikobewertung bilden. 

Die EU-Mitgliedstaaten werden befugt sein, bestimmte Unternehmen aus Gründen der nationalen Sicherheit von ihren Märkten auszuschließen, wenn diese gegen nationale Standards und gegen den Rechtsrahmen des Landes verstoßen.

 

2. Auf EU-Ebene

Die Mitgliedstaaten sollten Informationen untereinander austauschen und mit Unterstützung der Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) bis zum 1. Oktober 2019 eine koordinierte Risikobewertung vornehmen. Auf dieser Grundlage werden die Mitgliedstaaten dann eine Reihe von Risikominderungsmaßnahmen vereinbaren, die auf nationaler Ebene eingesetzt werden können. Dies wären beispielsweise Zertifizierungsanforderungen, Tests und Kontrollen sowie die Benennung von Produkten oder Anbietern, die als potenziell unsicher gelten. Diese Arbeiten werden im Rahmen der durch die Richtlinie zur Netz- und Informationssicherheit geschaffenen Kooperationsgruppe mit Unterstützung der Kommission und der ENISA erfolgen. Mit dieser koordinierten Arbeit sollen die Maßnahmen der Mitgliedstaaten auf nationaler Ebene unterstützt und der Kommission Leitlinien für mögliche weitere Schritte auf EU-Ebene vorgegeben werden. Darüber hinaus sollten die Mitgliedstaaten besondere Sicherheitsanforderungen ausarbeiten, die im Zusammenhang mit der Vergabe öffentlicher Aufträge in Bezug auf 5G-Netze gelten könnten, darunter auch verbindliche Anforderungen an die Umsetzung von Systemen für die Cybersicherheitszertifizierung.

Mit der heutigen Empfehlung wird ein breites Spektrum an bereits bestehenden oder vereinbarten Instrumenten genutzt, um die Zusammenarbeit bei der Bekämpfung von Cyberangriffen zu intensivieren und die EU in die Lage zu versetzen, gemeinsam Maßnahmen zum Schutz ihrer Wirtschaft und Gesellschaft zu ergreifen. Dazu zählen die ersten EU-weiten Rechtsvorschriften über die Cybersicherheit (Richtlinie über die Netz- und Informationssicherheit)‚ der kürzlich vom Europäischen Parlament verabschiedete Rechtsakt zur Cybersicherheit und die neuen Telekommunikationsvorschriften.

Die Empfehlung wird außerdem den Mitgliedstaaten helfen, diese neuen Instrumente im Hinblick auf die 5G-Sicherheit in abgestimmter Weise umzusetzen.

 

Welche EU-Rechtsvorschriften bestehen bereits oder werden derzeit umgesetzt, um die künftigen 5G-Netze zu schützen?

Die EU verfügt über eine Reihe von Instrumenten zum Schutz der elektronischen Kommunikationsnetze, darunter die ersten EU-weiten Rechtsvorschriften über die Cybersicherheit (Richtlinie über die Netz- und Informationssicherheit)‚ der kürzlich vom Europäischen Parlament verabschiedete Rechtsakt zur Cybersicherheit und die neuen Telekommunikationsvorschriften.

Zudem können die EU-Mitgliedstaaten bestimmte Unternehmen aus Gründen der nationalen Sicherheit von ihren Märkten ausschließen, wenn diese gegen nationale Standards und gegen den Rechtsrahmen des Landes verstoßen.

Vorschriften im Telekommunikationsbereich: Die Mitgliedstaaten müssen dafür sorgen, dass die Integrität und Sicherheit der öffentlichen Kommunikationsnetze gewährleistet wird und dass Betreiber verpflichtet sind, technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten zu ergreifen. In der Richtlinie ist ferner vorgesehen, dass die zuständigen nationalen Regulierungsbehörden u. a. befugt sind, verbindliche Anweisungen zu erteilen, um die Einhaltung dieser Verpflichtungen sicherzustellen. Darüber hinaus können die Mitgliedstaaten Bedingungen im Hinblick auf den Schutz öffentlicher Netze gegen unbefugten Zugang an die Allgemeingenehmigung knüpfen, um die Vertraulichkeit der Kommunikation zu wahren.

Instrumente im Cybersicherheitsbereich: Der künftige europäische Rahmen für die Cybersicherheitszertifizierung digitaler Produkte, Prozesse und Dienstleistungen, dem das Europäische Parlament kürzlich zustimmte, sollte ein wesentliches Instrument sein, um ein einheitliches Sicherheitsniveau zu fördern. Dies sollte die Entwicklung von Systemen für die Cybersicherheitszertifizierung ermöglichen, die den Bedürfnissen der Nutzer von 5G-Geräten und -Software entsprechen.

Um die Umsetzung dieser Verpflichtungen und Instrumente zu unterstützen, hat die Union eine Reihe von Kooperationsgremien eingerichtet. Die Agentur der Europäischen Union für Cybersicherheit (ENISA), die Kommission, die Mitgliedstaaten und die nationalen Regulierungsbehörden haben technische Leitlinien für die nationalen Regulierungsbehörden in Bezug auf die Meldung von Sicherheitsvorfällen, Sicherheitsmaßnahmen und Bedrohungen und Anlagen ausgearbeitet. In der durch die Richtlinie über die Netz- und Informationssicherheit eingesetzten Kooperationsgruppe kommen die zuständigen Behörden zusammen, um die Zusammenarbeit insbesondere durch strategische Vorgaben zu unterstützen und zu erleichtern.

Die Gewährleistung der Cybersicherheit erfordert außerdem, dass für ein ausreichendes Maß an strategischer Autonomie gesorgt ist, indem bei den Investitionen in Cybersicherheit und fortschrittliche Digitaltechnik eine kritische Masse erreicht wird. Die Kommission hat daher insbesondere mit ihrem Vorschlag für das Programm „Digitales Europa“ angeregt, diesem Ziel im nächsten EU-Haushaltszeitraum Priorität einzuräumen. Ferner schlug sie ein neues europäisches Kompetenzzentrum für Cybersicherheit und ein entsprechendes Netz vor, um einschlägige Projekt im Bereich der Cybersicherheit durchzuführen.

Vorschriften im Bereich der öffentlichen Auftragsvergabe: Die Vorschriften der EU für die öffentliche Auftragsvergabe tragen zum effizienteren Einsatz von Steuergeldern bei, da sie sicherstellen, dass öffentliche Aufträge im Rahmen wettbewerblicher, offener, transparenter und geregelter Ausschreibungsverfahren vergeben werden. 

Die EU-Richtlinien für die Vergabe öffentlicher Aufträge unterscheiden nicht zwischen Wirtschaftsakteuren aus der EU und aus Drittländern, enthalten jedoch eine Reihe von Sicherheitsvorkehrungen. Beispielsweise gestatten sie den öffentlichen Auftraggebern unter bestimmten Umständen Angebote abzulehnen, die ungerechtfertigt niedrig liegen oder die die Sicherheits-, Arbeits- und Umweltstandards nicht einhalten. Ferner erlauben die den öffentlichen Auftraggebern den Schutz ihrer wesentlichen Sicherheitsinteressen.

Vorschriften über die Überprüfung ausländischer Direktinvestitionen: Die neue Verordnung wird im April 2019 in Kraft treten und ab November 2020 in vollem Umfang gelten. Damit wird die EU über ein wirksames Instrument verfügen, um ausländische Investitionen in kritische Ressourcen, Technologien und Infrastrukturen zu ermitteln und das Bewusstsein für diese Problematik zu schärfen. Darüber hinaus wird sie die gemeinsame Ermittlung und Abwehr von Bedrohungen für die Sicherheit und die öffentliche Ordnung ermöglichen, die durch den Erwerb von Beteiligungen in sensiblen Sektoren entstehen. Die Mitgliedstaaten sollten den Zeitraum zwischen dem Inkrafttreten und dem Beginn der Anwendung der Verordnung nutzen, um die erforderlichen Änderungen ihrer nationalen Praktiken und Rechtsvorschriften vorzunehmen und die Verwaltungsstrukturen zu schaffen, die eine wirksame Zusammenarbeit mit der Kommission auf EU-Ebene gemäß den festgelegten Mechanismen gewährleisten.

Horizontale Sanktionsregelung gegen Cyberangriffe: Die von der Kommission und der Hohen Vertreterin vorgeschlagene neue Regelung wird weltweit gelten und eine flexible Reaktion der EU ermöglichen, unabhängig vom Standort, von dem aus ein Cyberangriff verübt wird, und unabhängig davon, ob staatliche oder nichtstaatliche Akteure dafür verantwortlich sind. Wenn sie verabschiedet wird, würde diese Sanktionsregelung die Union in die Lage versetzen, auf Cyberangriffe mit „erheblichen Auswirkungen“, die die Integrität und Sicherheit der EU, ihrer Mitgliedstaaten und ihrer Bürger bedrohen, angemessen zu reagieren.

 

Welche Rolle spielt die Agentur der Europäischen Union für Cybersicherheit bei dieser Koordinierung?

Der kürzlich vom Europäischen Parlament verabschiedete Rechtsakt zur Cybersicherheit verleiht der Agentur der Europäischen Union für Cybersicherheit (ENISA) ein ständiges und stärkeres Mandat.

Die ENISA unterstützt die Kommission bereits im Bereich der Sicherheit von Telekommunikationsnetzen. Gemeinsam mit den Mitgliedstaaten und den nationalen Regulierungsbehörden hat die ENISA technische Leitlinien für die nationalen Regulierungsbehörden in Bezug auf die Meldung von Sicherheitsvorfällen, Sicherheitsmaßnahmen und Bedrohungen und Anlagen ausgearbeitet.

Ferner wird die ENISA in der Empfehlung aufgefordert, Unterstützung bei der Ausarbeitung einer koordinierten Risikobewertung von 5G-Netzen zu leisten.

Darüber hinaus wird die ENISA auf die Entwicklung eines EU-weiten Zertifizierungssystems hinarbeiten, wie im Rechtsakt zur Cybersicherheit vorgesehen.

 

Nächste Schritte

  • Die Mitgliedstaaten sollten ihre nationalen Risikobewertungen bis zum 30. Juni 2019 abschließen und ihre erforderlichen Sicherheitsmaßnahmen auf den neuesten Stand bringen. Die nationalen Risikobewertungen sollten der Kommission und der Agentur der Europäischen Union für Cybersicherheit bis zum 15. Juli 2019 vorliegen.
  • Parallel dazu werden die Mitgliedstaaten und die Kommission ihre Koordinierungsarbeiten innerhalb der durch die Richtlinie über die Netz- und Informationssicherheit eingesetzten Kooperationsgruppe aufnehmen. Die ENISA wird ihren Bericht über die 5G-Bedrohungslage abschließen, auf dessen Grundlage die Mitgliedstaaten dann bis zum 1. Oktober 2019 die EU-weite Risikobewertung vornehmen werden.
  • Bis zum 31. Dezember 2019 sollte sich die Kooperationsgruppe dann auf ein Instrumentarium von Risikominderungsmaßnahmen einigen, mit dem auf die festgestellten Cybersicherheitsrisiken auf nationaler und Unionsebene reagiert werden soll.
  • Sobald der kürzlich vom Europäischen Parlament verabschiedete Rechtsakt zur Cybersicherheit in den kommenden Wochen in Kraft tritt, werden die Kommission und die ENISA alle erforderlichen Schritte zur Aufstellung des EU-weiten Zertifizierungsrahmen einleiten. Die Mitgliedstaaten sind aufgerufen, mit der Kommission und der ENISA zusammenzuarbeiten, damit das Zertifizierungssystem für 5G-Netze und ‑Ausrüstungen vorrangig aufgestellt wird.
  • Bis zum 1. Oktober 2020 sollten die Mitgliedstaaten – in Zusammenarbeit mit der Kommission – die Auswirkungen dieser Empfehlung bewerten, um zu ermitteln, ob weitere Maßnahmen erforderlich sind. Bei dieser Bewertung sollten die Ergebnisse der koordinierten europäischen Risikobewertung und die Wirksamkeit der Maßnahmen berücksichtigt werden.

 

Weitere Informationen

Empfehlung zur Cybersicherheit der 5G-Netze

Pressemitteilung

Sicherheitsunion: bisher Einigung über 15 von 22 Gesetzgebungsinitiativen im Zusammenhang mit der Sicherheitsunion erzielt

Pressemitteilung: EU-Verhandlungsführer einigen sich auf Erhöhung der Cybersicherheit in Europa

5G-Aktionsplan

Pressemitteilung: Gemeinsame Mitteilung „EU-China – Strategische Perspektiven“

MEMO/19/1833

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar