Comisia Europeană a recomandat o serie de etape și măsuri operaționale menite să asigure un nivel ridicat de securitate cibernetică a rețelelor 5G în întreaga UE. Rețelele de a cincea generație (5G) vor forma viitoarea structură fundamentală a societăților și a economiilor noastre, conectând miliarde de obiecte și de sisteme, inclusiv în sectoare critice, cum ar fi cel energetic, al transporturilor, al serviciilor bancare și al sănătății, precum și sisteme de control industrial care conțin informații sensibile și care sprijină sistemele de siguranță. Procesele democratice, cum ar fi alegerile, se bazează din ce în ce mai mult pe infrastructuri digitale și rețele 5G, scoțând în evidență necesitatea de a trata toate vulnerabilitățile și subliniind cu atât mai mult pertinența recomandărilor Comisiei înaintea alegerilor pentru Parlamentul European din luna mai. Vicepreședintele Andrus Ansip (foto), responsabil cu piața unică digitală, a declarat: „Tehnologia 5G va transforma economia și societatea noastră și va deschide oportunități masive pentru cetățeni și întreprinderi. Dar nu putem accepta acest lucru fără a asigura o securitate maximă. Este, prin urmare, esențial ca infrastructurile 5G din UE să fie reziliente și complet protejate împotriva vulnerabilităților tehnice sau juridice.”
În urma sprijinului acordat de șefii de stat sau de guvern, exprimat cu ocazia Consiliului European din 22 martie, în vederea unei abordări concertate a securității rețelelor 5G, Comisia Europeană recomandă astăzi un set de acțiuni concrete pentru evaluarea riscurilor de securitate cibernetică ale rețelelor 5G și pentru consolidarea măsurilor preventive. Recomandările reprezintă o combinație de instrumente legislative și de politică menite să protejeze economiile, societățile și sistemele noastre democratice. Având în vedere că veniturile la nivel mondial generate de rețelele 5G sunt estimate la 225 de miliarde EUR în 2025, tehnologia 5G reprezintă un atu esențial pentru ca Europa să concureze pe piața mondială, iar securitatea sa cibernetică este crucială pentru asigurarea autonomiei strategice a Uniunii.
Comisarul Julian King, responsabil de uniunea securității, a declarat: „Reziliența infrastructurii noastre digitale este esențială pentru guverne, pentru întreprinderi, pentru securitatea datelor noastre cu caracter personal și pentru funcționarea instituțiilor noastre democratice. Trebuie să dezvoltăm o abordare europeană pentru protejarea integrității rețelelor 5G, care vor constitui instalațiile digitale de bază ale vieților noastre interconectate.”
Comisarul Mariya Gabriel, responsabil cu economia digitală și societatea digitală, a adăugat: „Protejarea rețelelor 5G are ca scop protejarea infrastructurii care va sprijini funcțiile societale și economice vitale — cum ar fi energia, transporturile, serviciile bancare și sănătatea, precum și fabricile mult mai automatizate ale viitorului. Aceasta înseamnă și protejarea proceselor noastre democratice, cum ar fi alegerile, împotriva interferențelor și a propagării dezinformării.”
Orice vulnerabilitate din rețelele 5G sau orice atac cibernetic care vizează rețelele viitoare dintr-un stat membru ar afecta Uniunea în ansamblul ei. De aceea măsurile concertate adoptate atât la nivel național, cât și la nivel european trebuie să garanteze un nivel ridicat de securitate cibernetică.
Recomandarea stabilește o serie de măsuri operaționale:
1. La nivel național
Până la sfârșitul lunii iunie 2019, fiecare stat membru trebuie să finalizeze o evaluare națională a riscurilor privind infrastructurile de rețea 5G. Pe această bază, statele membre trebuie să actualizeze cerințele existente în materie de securitate pentru furnizorii de rețea și să includă condiții pentru garantarea securității rețelelor publice, mai ales atunci când acordă drepturile de utilizare a frecvențelor radio în benzi 5G. Aceste măsuri trebuie să includă obligații mai puternice privind garantarea de către furnizori și operatori a securității rețelelor. Evaluările riscurilor și măsurile la nivel național trebuie să țină seama de diverși factori de risc, cum ar fi riscurile tehnice și riscurile legate de comportamentul furnizorilor sau al operatorilor, inclusiv al celor din țări terțe. Evaluările naționale ale riscurilor vor constitui un element central în elaborarea unei evaluări coordonate a riscurilor la nivelul UE.
Statele membre ale UE au dreptul de a exclude societăți de pe piețele lor din motive de securitate națională, în cazul în care societățile în cauză nu respectă cadrul juridic și standardele țării.
2. La nivelul UE
Statele membre trebuie să facă schimb de informații între ele și, cu sprijinul Comisiei și al Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA), vor încheia o evaluare coordonată a riscurilor până la 1 octombrie 2019. Pe această bază, statele membre se vor pune de acord asupra unor măsuri de atenuare care pot fi utilizate la nivel național. Printre acestea se pot număra cerințele de certificare, testele, controalele și identificarea produselor sau a furnizorilor care sunt considerate/considerați potențial nesigure/nesiguri. Această activitate va fi efectuată de grupul de cooperare al autorităților competente, instituit în temeiul Directivei privind securitatea rețelelor și a informațiilor, cu ajutorul Comisiei și al ENISA. Această activitate coordonată trebuie să vină în sprijinul acțiunilor statelor membre la nivel național și să ofere orientări Comisiei pentru eventuale măsuri suplimentare la nivelul UE. În plus, statele membre trebuie să elaboreze cerințe specifice referitoare la securitate care ar putea fi aplicate în contextul achizițiilor publice legate de rețelele 5G, inclusiv cerințe obligatorii pentru implementarea sistemelor de certificare de securitate cibernetică.
Recomandarea de astăzi va utiliza gama largă de instrumente deja existente sau deja convenite pentru a consolida cooperarea împotriva atacurilor cibernetice și pentru a permite UE să acționeze în mod colectiv pentru a-și proteja economia și societatea, inclusiv prima legislație la nivelul UE privind securitatea cibernetică (Directiva privind securitatea rețelelor și a informațiilor), Legea privind securitatea cibernetică, recent aprobată de Parlamentul European, și noile norme în domeniul telecomunicațiilor. Recomandarea va ajuta statele membre să pună în aplicare aceste instrumente noi într-un mod coerent în ceea ce privește securitatea rețelelor 5G.
În domeniul securității cibernetice, viitorul cadru european de certificare de securitate cibernetică pentru produse, procese și servicii digitale, prevăzut în Legea privind securitatea cibernetică, trebuie să ofere un instrument de sprijin esențial pentru promovarea unor niveluri de securitate coerente. La punerea lui în aplicare, statele membre trebuie, de asemenea, să colaboreze imediat și în mod activ cu toate celelalte părți interesate implicate în dezvoltarea sistemelor de certificare specifice la nivelul UE legate de tehnologia 5G. De îndată ce sistemele respective devin disponibile, statele membre, prin reglementări tehnice naționale, trebuie să impună obligativitatea certificării în acest domeniu.
În domeniul telecomunicațiilor, statele membre trebuie să garanteze menținerea integrității și securității rețelelor de comunicații publice, având obligația de a se asigura că operatorii iau măsuri tehnice și organizatorice pentru a gestiona în mod corespunzător riscurile cu care se confruntă securitatea rețelelor și a serviciilor.
Etapele următoare
Statele membre ar trebui să își finalizeze evaluările naționale ale riscurilor până la 30 iunie 2019 și să actualizeze măsurile de securitate necesare. Evaluarea națională a riscurilor ar trebui să fie transmisă Comisiei și Agenției Europene pentru Securitate Cibernetică până la 15 iulie 2019.
În paralel, statele membre și Comisia vor începe activitatea de coordonare în cadrul Grupului de cooperare privind securitatea rețelelor și a informațiilor. ENISA va finaliza o cartografiere a amenințărilor la adresa rețelelor 5G, care va ajuta statele membre să își transmită, până la 1 octombrie 2019, evaluarea riscurilor de la nivelul UE.
Până la 31 decembrie 2019, Grupul de cooperare privind securitatea rețelelor și a informațiilor trebuie să convină asupra măsurilor de reducere a riscurilor la adresa securității cibernetice identificate la nivel național și la nivelul UE.
După intrarea în vigoare, în următoarele săptămâni, a Legii privind securitatea cibernetică, recent aprobată de Parlamentul European, Comisia și ENISA vor institui cadrul de certificare la nivelul UE. Statele membre sunt încurajate să coopereze cu Comisia și cu ENISA pentru a acorda prioritate unui sistem de certificare care să acopere rețelele 5G și echipamentele conexe.
Până la 1 octombrie 2020, statele membre, în cooperare cu Comisia, trebuie să evalueze efectele recomandării pentru a stabili dacă sunt necesare măsuri suplimentare. Această evaluare trebuie să țină seama de rezultatul evaluării coordonate a riscurilor la nivel european și de eficacitatea setului de instrumente
