Komisia oznamuje ďalšie kroky v otázke kybernetickej bezpečnosti sietí 5G, ktoré dopĺňajú aktuálnu správu o pokroku v členských štátoch*

Členské štáty dnes s podporou Európskej komisie a agentúry ENISA (Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť) uverejnili druhú správu o pokroku pri vykonávaní súboru nástrojov EÚ pre kybernetickú bezpečnosť 5G. Predmetom správy sú okrem iného aj niektoré z odporúčaní v osobitnej správe Európskeho dvora audítorov z januára 2022. Komisia dopĺňa správu o pokroku a dnes prijala oznámenie o vykonávaní súboru nástrojov v členských štátoch a v interných oznámeniach samotnej EÚ a jej činnostiach financovania.

Pokiaľ ide o strategické opatrenia, a predovšetkým zavedenie obmedzení v prípade vysokorizikových poskytovateľov, správa o pokroku konštatuje, že 24 členských štátov prijalo alebo pripravuje legislatívne opatrenia, ktoré vnútroštátnym orgánom dávajú právomoc posudzovať poskytovateľov a zavádzať obmedzenia. Z nich 10 členských štátov uložilo obmedzenia a tri členské štáty aktuálne pracujú na zavedení príslušnej vnútroštátnej legislatívy. Vzhľadom na význam, ktorý má infraštruktúra pripojiteľnosti pre digitálne hospodárstvo, i na závislosť mnohých kriticky dôležitých služieb od sietí 5G, by členské štáty mali súbor nástrojov realizovať bezodkladne.

Komisia vo svojom oznámení zdôrazňuje svoje hlboké znepokojenie rizikami, ktoré pre bezpečnosť Únie predstavujú určití poskytovatelia zariadení mobilných komunikačných sietí. Domnieva sa, že rozhodnutia členských štátov obmedziť alebo vylúčiť spoločnosti Huawei a ZTE zo sietí 5G sú odôvodnené a v súlade so súborom nástrojov pre bezpečnosť 5G. V súlade s takýmito rozhodnutiami a na základe širokej škály dostupných informácií sa Komisia domnieva, že Huawei a ZTE predstavujú vskutku väčšie reálne riziko než iní poskytovatelia 5G.

Oznámenie Komisie o vykonávaní súboru nástrojov

Bezpečnosť sietí 5G patrí k hlavným prioritám Komisie a je základným prvkom stratégie EÚ pre bezpečnostnú úniu, pretože tieto siete sú ústrednou infraštruktúrou, ktorá poskytuje základ pre širokú škálu služieb nevyhnutných pre fungovanie vnútorného trhu a zabezpečenie životne dôležitých spoločenských a hospodárskych funkcií. Táto otázka má zásadný význam pre suverenitu, strategickú autonómiu a odolnosť Únie. Komisia vo svojom dnes prijatom oznámení berie na vedomie a víta prijatie druhej správy o pokroku pri vykonávaní súboru nástrojov EÚ skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti.

Bez toho, aby boli dotknuté právomoci členských štátov v oblasti národnej bezpečnosti, Komisia uplatnila aj kritériá súboru nástrojov s cieľom posúdiť potreby a zraniteľné miesta svojich vlastných inštitucionálnych komunikačných systémov a komunikačných systémov iných európskych inštitúcií, orgánov a agentúr, ako aj vykonávanie programov financovania Únie, a to vzhľadom na celkové ciele politiky Únie. Komisia vychádza zo svojho vlastného posúdenia, ktoré sa zhoduje s posúdením určitých členských štátov, a dôrazne vyzýva členské štáty, ktoré súbor nástrojov ešte nevykonali, aby urýchlene prijali príslušné opatrenia, ako sa odporúča v súbore nástrojov EÚ. Cieľom je účinne a rýchlo riešiť riziká, ktoré predstavujú určení poskytovatelia.

Komisia v rámci svojej vlastnej politiky kybernetickej bezpečnosti a v rámci uplatňovania súboru nástrojov pre kybernetickú bezpečnosť 5G prijme opatrenia, aby zabránila vystaveniu svojej internej komunikácie mobilným sieťam, ktoré ako poskytovateľov využívajú vybavenie od spoločností Huawei a ZTE. Prijme relevantné bezpečnostné opatrenia, ktorými zabráni tomu, aby sa obstarávali nové služby pripojenia využívajúce vybavenie od daných poskytovateľov, a bude spolupracovať s členskými štátmi a telekomunikačnými operátormi s cieľom zabezpečiť, aby sa títo poskytovatelia postupne vyradili z existujúcich služieb pripojenia na pracoviskách Komisie.

Komisia má tiež v úmysle zohľadniť toto rozhodnutie vo všetkých príslušných programoch a nástrojoch financovania EÚ.

Druhá správa o pokroku pri súbore nástrojov 5G

Podľa správy ktorú členské štáty prijali, sa od prvej správy o pokroku z júla 2020 dosiahol ďalší pokrok pri vykonávaní kľúčových opatrení zo súboru nástrojov EÚ. Prevažná väčšina členských štátov na základe súboru nástrojov EÚ sprísnila požiadavky na bezpečnosť sietí 5G alebo je v procese ich sprísňovania. Napriek dosiahnutému pokroku však správa konštatuje, že táto situácia jednoznačne vytvára riziko pretrvávajúcej závislosti od vysokorizikových poskytovateľov na vnútornom trhu. Z toho vyplývajú možné vážne negatívne vplyvy na bezpečnosť používateľov a spoločností v EÚ i kritickej infraštruktúry EÚ.

Správa zahŕňa odporúčania pre členské štáty:

Majú zaručiť, že im mobilní operátori poskytujú komplexné a podrobné informácie o aktuálne zavedenom 5G vybavení, ako aj o plánoch zavádzania alebo obstarávania nového zariadenia.
Pri posudzovaní rizikového profilu poskytovateľov by členské štáty mali vychádzať z objektívnych kritérií odporučených v súbore nástrojov EÚ. V tejto súvislosti je zrejmé, že medzi poskytovateľmi 5G zariadení existujú zreteľné rozdiely, predovšetkým v otázke pravdepodobnosti, že sú ovplyvnení konkrétnymi tretími krajinami s bezpečnostnými predpismi a praxou pri vedení podniku, ktoré môžu predstavovať bezpečnostné riziko pre Úniu. Okrem toho by sa v snahe podporovať jednoliatosť a vysokú úroveň bezpečnosti v celej Únii malo zohľadňovať, ktorých poskytovateľov označili iné členské štáty ako vysokorizikových.
Na základe posúdenia poskytovateľov by členské štáty bezodkladne mali ukladať obmedzenia vysokorizikovým poskytovateľom, pretože každé omeškanie môže zvýšiť zraniteľnosť sietí v Únii i závislosť Únie od vysokorizikových poskytovateľov, predovšetkým v prípade členských štátov s vysokým zastúpením možných vysokorizikových poskytovateľov.
Ak chcú členské štáty riziko účinne znížiť, mali by zaručiť, aby sa obmedzenia vzťahovali na kritické a vysoko citlivé aktíva určené v rámci koordinovaného posudzovania rizík na úrovni EÚ vrátane rádiovej prístupovej siete.
Pri typoch vybavenia, na ktoré sa vzťahujú obmedzenia, by pre prevádzkovateľov mal platiť zákaz inštalovať ďalšie takéto zariadenia. Ak sú na odstránenie existujúceho vybavenia povolené prechodné obdobia, treba ich vymedziť tak, aby sa zaručilo odstránenie vybavenia v čo najkratšom čase. Na pamäti pritom treba mať bezpečnostné riziko spojené s ponechaním vybavenia od vysokorizikových poskytovateľov. Prechodné obdobie by sa nemalo využívať na to, aby sa povolilo zavádzanie nového vybavenia od vysokorizikových poskytovateľov.
Členské štáty by mali zaviesť obmedzenia v prípade poskytovateľov riadených služieb a v prípade, že sa na nich preniesli funkcie, uložiť týmto poskytovateľom sprísnené bezpečnostné požiadavky pri prístupe, ktorý sa im poskytuje.
Členské štáty by mali ďalej viesť diskusiu o možnostiach uplatňovať opatrenia týkajúce sa diverzifikácie poskytovateľov i o otázke, ako čo najlepšie zaručiť, aby čo možná diverzifikácia neviedla k novým či zvýšeným bezpečnostným rizikám, ale namiesto toho prispela k zvýšeniu bezpečnosti a odolnosti.
Členské štáty by mali presadzovať technické opatrenia a zaručiť prísny dohľad. Mimoriadna pozornosť by sa mala venovať určitým opatreniam, predovšetkým zaručeniu uplatňovania základných bezpečnostných požiadaviek, zvyšovaniu bezpečnostných štandardov v postupoch poskytovateľov prostredníctvom prísnych podmienok obstarávania a zaručeniu bezpečnosti riadenia, prevádzky a monitorovania sietí 5G.

Súvislosti

Súbor nástrojov EÚ v oblasti kybernetickej bezpečnosti 5G (súbor nástrojov EÚ) uverejnili v januári 2020 orgány členských štátov (skupina pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti) s podporou Komisie a agentúry ENISA. Jeho účelom je riešiť riziká spojené s kybernetickou bezpečnosťou sietí 5G. Určuje a opisuje súbor strategických a technických opatrení, ako aj zodpovedajúcich podporných činností na podporu ich účinnosti, ktoré možno zaviesť na zmiernenie rizík identifikovaných v správe o posudzovaní rizík kybernetickej bezpečnosti 5G koordinovanom na úrovni EÚ, ktorá vychádza z vnútroštátnych posúdení rizík.

Súbor nástrojov a kľúčové odporúčania v ňom odsúhlasila Komisia a členské štáty na najvyššej úrovni. V októbri 2020 Európska rada vyzvala EÚ a jej členské štáty, aby „v plnej miere využívali súbor nástrojov EÚ pre kybernetickú bezpečnosť 5G prijatý 29. januára 2020“, a predovšetkým aby „uplatňovali príslušné obmedzenia týkajúce sa vysokorizikových poskytovateľov v prípade kľúčových aktív, ktoré sú v koordinovaných posúdeniach rizík EÚ vymedzené ako kritické a citlivé [...] na základe spoločných a objektívnych kritérií“. Rada EÚ vo svojom odporúčaní z decembra 2022 opätovne skonštatovala, že „je dôležité, aby členské štáty dokončili vykonávanie opatrení odporúčaných v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, a najmä aby členské štáty zaviedli obmedzenia týkajúce sa vysokorizikových poskytovateľov vzhľadom na to, že strata času môže zvýšiť zraniteľnosť sietí v Únii“.

Prvá správa o pokroku členských štátov pri vykonávaní súboru nástrojov EÚ bola uverejnená v júli 2020. Jej záver znel, že na jeho vykonanie sa podnikli konkrétne kroky. Mnohé členské štáty už zaviedli pokročilé bezpečnostné opatrenia pri kybernetickej bezpečnosti 5G alebo presvedčivo pokročili pri ich príprave. Európsky dvor audítorov vo svojej osobitnej správe z januára 2022 dospel k záveru, že od prijatia súboru nástrojov EÚ sa dosiahol pokrok pri zvyšovaní bezpečnosti sietí 5G. Takisto však zdôraznil, že členské štáty nepostupujú jednotne v otázke využívania vybavenia od vysokorizikových poskytovateľov ani pri určovaní rozsahu obmedzení.