Bezpečné siete 5G: Otázky a odpovede o súbore nástrojov EÚ

Prečo je kybernetická bezpečnosť sietí 5G dôležitá?

5G je jedným z najdôležitejších faktorov, ktoré umožnia zavádzanie nových digitálnych služieb, a tak bude v nasledujúcich rokoch zohrávať kľúčovú úlohu pri rozvoji nášho digitálneho hospodárstva a spoločnosti. 5G potenciálne ovplyvní takmer každý aspekt života občanov EÚ – od personalizovanej zdravotnej starostlivosti cez presné poľnohospodárstvo a inteligentné energetické siete až po prepojenú mobilitu. Siete 5G však zároveň ponúkajú viac potenciálnych vstupných miest pre útočníkov – okrem iného z dôvodu menej centralizovanej architektúry, výpočtovej sily špičkovej inteligencie, potreby väčšieho počtu antén a zvýšenej závislosti od softvéru. Zaistenie bezpečnosti budúcich sietí 5G EÚ je preto mimoriadne dôležité.

Hoci za bezpečné zavádzanie technológie 5G sú vo veľkej miere zodpovední prevádzkovatelia a za národnú bezpečnosť zasa členské štáty, bezpečnosť sietí je strategicky dôležitá pre celú EÚ. Koordinovaný prístup založený na spoľahlivých bezpečnostných opatreniach na vnútroštátnej i celoúnijnej úrovni pomôže Európe zostať jedným z vedúcich regiónov pri zavádzaní 5G.

V čom spočíva súbor nástrojov EÚ pre kybernetickú bezpečnosť sietí 5G?

Cieľom tohto súboru nástrojov EÚ zameraného na kybernetickú bezpečnosť 5G je identifikovať koordinovaný európsky prístup založený na spoločnom súbore opatrení v záujme zmiernenia hlavných kyberneticko-bezpečnostných rizík spojených so sieťami 5G, ktoré boli identifikované v správe EÚ o koordinovanom posúdení rizík. Okrem toho je účelom poskytnúť usmernenia pri výbere a prioritizácii opatrení, ktoré by mali byť súčasťou vnútroštátnych a únijných plánov na zmiernenie rizík. Konečným cieľom je vytvoriť spoľahlivý a objektívny rámec bezpečnostných opatrení, ktorý zaručí primeranú úroveň kybernetickej bezpečnosti sietí 5G v celej EÚ vďaka koordinovaným prístupom členských štátov. Prijatý prístup je založený na posúdení rizika a výlučne na bezpečnostných dôvodoch. Plne rešpektuje otvorenosť vnútorného trhu EÚ pod podmienkou dodržiavania bezpečnostných požiadaviek EÚ.

Aké sú hlavné závery predložené v rámci tohto súboru nástrojov?

V rámci súboru nástrojov sa odporúča viacero kľúčových opatrení pre členské štáty a/alebo Komisiu.

Členské štáty sa dohodli, že zavedú opatrenia (vrátane príslušných právomocí vnútroštátnych orgánov) s cieľom vhodne a primerane reagovať na už zistené, ako aj možné budúce riziká. Dohodli sa najmä na tom, že budú môcť obmedziť a zakázať dodávky, zavádzanie a prevádzku zariadení siete 5G a/alebo na ne uložiť osobitné požiadavky a podmienky v súlade s prístupom založeným na riziku. Predovšetkým by mali:

• posilniť bezpečnostné požiadavky na prevádzkovateľov mobilných sietí (napr. prísne kontroly prístupu, pravidlá bezpečnej prevádzky a monitorovania, obmedzenia outsourcingu špecifických funkcií atď.),
• posúdiť rizikový profil dodávateľov a následne uplatňovať primerané obmedzenia pre dodávateľov, ktorí sa považujú za vysokorizikových, vrátane potrebných výnimiek na účinné zmiernenie rizík. To sa týka kľúčových aktív vymedzených ako kritické a citlivé v rámci celoúnijného koordinovaného posúdenia rizík (napr. základné sieťové funkcie, funkcie sieťového riadenia a zosúladenia a funkcie sieťového prístupu),
• zabezpečiť, aby každý hospodársky subjekt mal primeranú stratégiu viacerých dodávateľov s cieľom zabrániť akejkoľvek väčšej závislosti od jedného dodávateľa (alebo dodávateľov s podobným rizikovým profilom) alebo ju minimalizovať, zabezpečiť primeranú rovnováhu dodávateľov na vnútroštátnej úrovni a zabrániť závislosti od dodávateľov, ktorí sa považujú za vysokorizikových; v tejto súvislosti treba zároveň zabrániť akejkoľvek odkázanosti na jediného dodávateľa, a to aj podporou väčšej interoperability zariadení.

V súbore nástrojov sa odporúča, aby Komisia spolu s členskými štátmi prispela k:

• zachovaniu rôznorodého a udržateľného dodávateľského reťazca 5G s cieľom zabrániť dlhodobej závislosti, a to aj prostredníctvom:

– plného využívania existujúcich nástrojov EÚ, najmä preverovaním potenciálnych priamych zahraničných investícií, ktoré majú vplyv na kľúčové aktíva 5G, a tým, že sa bude brániť narúšaniu trhu dodávok 5G vyplývajúcemu z potenciálneho dumpingu alebo subvencií, a

– ďalšieho posilnenia kapacít EÚ v oblasti technológií 5G a budúcich generácií s využitím príslušných programov a financovania EÚ,

• uľahčeniu koordinácie medzi členskými štátmi, pokiaľ ide o normalizáciu, s cieľom dosiahnuť konkrétne bezpečnostné ciele a rozvíjať príslušné systémy certifikácie v celej EÚ v záujme podpory bezpečnejších produktov a procesov.

Aké rôzne opatrenia sa identifikujú v súbore nástrojov EÚ?

V súbore nástrojov sa identifikujú a poskytujú plány na zmiernenie rizík v prípade každej z deviatich rizikových oblastí opísaných v správe EÚ o koordinovanom posúdení rizík. Pozostávajú z možných kombinácií strategických a technických opatrení.

• Strategické opatrenia vymedzené v súbore nástrojov siahajú od opatrení týkajúcich sa posilnených regulačných právomocí pre orgány, aby mohli kontrolovať obstarávanie a zavádzanie sietí, cez konkrétne opatrenia na riešenie rizík súvisiacich s netechnickou zraniteľnosťou (napr. riziko zasahovania zo strany štátnych alebo štátom podporovaných aktérov z krajín mimo EÚ) až po posudzovanie rizikového profilu dodávateľov a podporu iniciatív na stimuláciu rozvoja udržateľných a rôznorodých dodávateľov 5G.
• Technické opatrenia identifikované v súbore nástrojov siahajú od zabezpečenia prísnej kontroly prístupu a bezpečného riadenia, prevádzky a monitorovania siete až po používanie certifikácie komponentov a/alebo procesov siete 5G.
• Podporné akcie sa vzťahujú na opatrenia v oblasti noriem 5G, posilnenie schopností v oblasti testovania a auditu, zlepšenie koordinačného úsilia v prípade incidentov či zaistenie úplného zohľadnenia kyberneticko-bezpečnostných rizík pri projektoch 5G financovaných zo zdrojov EÚ. Tieto podporné akcie môžu uľahčovať, podporovať a zvyšovať účinnosť strategických a technických opatrení.

Čo je to plán na zmiernenie rizík?

V súbore nástrojov sa identifikujú a poskytujú plány na zmiernenie rizík v prípade každej z deviatich rizikových oblastí opísaných v správe EÚ o koordinovanom posúdení rizík. Tieto plány pozostávajú z možných kombinácií strategických a/alebo technických opatrení (spolu s príslušnými podpornými opatreniami) určených na zníženie bezpečnostného rizika.

Sú opatrenia v rámci súboru nástrojov povinné?

Súbor nástrojov EÚ zameraný na kybernetickú bezpečnosť 5G je dokument, ktorý vypracovala a schválila skupina pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti. Tú tvoria zástupcovia všetkých orgánov členských štátov, Komisie a Agentúry EÚ pre kybernetickú bezpečnosť. Rozvoj koordinovaného prístupu EÚ ku kybernetickej bezpečnosti sietí 5G je založený na pevnom odhodlaní členských štátov aj Komisie, že súbor odporúčaných opatrení budú využívať a plne uplatňovať. V súbore nástrojov sa stanovuje presná a objektívna metodika na riešenie hrozieb identifikovaných pri posúdení rizík, ktoré EÚ uverejnila v októbri 2019, pričom sa rešpektujú právomoci členských štátov v tejto oblasti.

Zároveň je zavádzanie a prevádzka sietí 5G záležitosťou národnej bezpečnosti. Členské štáty môžu zájsť nad rámec toho, čo sa navrhuje v súbore nástrojov, ak to uznajú za vhodné.

Ako sa bude realizovať súbor nástrojov EÚ?

Na účinné zmiernenie zistených rizík je potrebná vhodná kombinácia rôznych druhov opatrení. Členské štáty budú musieť prijať celý rad opatrení na zmiernenie rizík, ak máme účinne riešiť bezpečnostné hrozby súvisiace so sieťami 5G. Opatrenia sa môžu vykonávať formou vnútroštátnych alebo celoštátnych postupov v závislosti od konkrétneho opatrenia či akcie. Niektoré opatrenia možno priamo zaviesť alebo posilniť na vnútroštátnej úrovni, zatiaľ čo iné si môžu vyžadovať ďalšie alebo spoločné opatrenia na úrovni EÚ v súlade s príslušnými právomocami jednotlivých štátov a EÚ.

Rieši sa v súbore nástrojov riziko interferencie zo strany tretích krajín?

Súbor nástrojov rieši všetky riziká identifikované v koordinovanom posúdení rizík EÚ vrátane hrozieb súvisiacich s interferenciou z tretej krajiny prostredníctvom dodávateľského reťazca 5G. Nezameriava sa na žiadneho konkrétneho dodávateľa ani krajinu. V záujme zmiernenia tohto konkrétneho rizika sa v súbore nástrojov odporúča, aby všetky členské štáty prijali tieto kroky:

1. posúdiť rizikový profil dodávateľov so zreteľom na kritériá stanovené v koordinovanom posúdení rizík na úrovni EÚ;

2. následne uplatňovať primerané obmedzenia pre dodávateľov, ktorí sa považujú za vysokorizikových, vrátane potrebných výnimiek na účinné zmiernenie rizík. To sa týka kľúčových aktív vymedzených ako kritické a citlivé (napr. základné sieťové funkcie, funkcie sieťového riadenia a zosúladenia a funkcie sieťového prístupu).

Ako dopĺňa oznámenie Komisie súbor nástrojov EÚ?

V oznámení Komisie sa schvaľuje súbor nástrojov EÚ a navrhuje sa, ako postupovať pri jeho zavádzaní. Okrem toho bude Komisia v súlade s tým, ako to vyžaduje daný dokument, v prípade potreby konať s využitím všetkých nástrojov, ktoré má k dispozícii, aby zaistila bezpečnosť infraštruktúry a dodávateľského reťazca 5G. Medzi tieto nástroje patria:

• pravidlá v oblasti telekomunikácií a kybernetickej bezpečnosti, napr. podpora podľa pravidiel o elektronickej komunikácii, vrátane zohľadnenia vykonávacích aktov o technických a organizačných bezpečnostných opatreniach,
• koordinácia v oblasti normalizácie, napr. pokiaľ ide o účasť v normalizačných orgánoch, a podpora interoperability prostredníctvom otvorených rozhraní,
• certifikácia na úrovni celej EÚ podľa aktu EÚ o kybernetickej bezpečnosti,
• skríning priamych zahraničných investícií na ochranu európskeho dodávateľského reťazca 5G,
• nástroje na ochranu obchodu: monitorovanie trhu a opatrenia na ochranu aktérov EÚ na trhu s technológiami 5G proti potenciálnym praktikám narúšajúcim obchod (dumping alebo subvencovanie),
• pravidlá hospodárskej súťaže: monitorovanie trhu v záujme konkurencieschopnosti, a to aj vo vzťahu k možným situáciám odkázanosti na jedného dodávateľa,
• verejné obstarávanie, ktorým sa zabezpečí, aby sa pri zadávaní verejných zákaziek, ako aj v rámci programov financovania EÚ náležite zohľadňovali bezpečnostné aspekty a aby príjemcovia dodržiavali príslušné bezpečnostné požiadavky,
• plné využívanie reakcie na incidenty a rámcov krízového riadenia na úrovni EÚ v prípade kybernetických incidentov veľkého rozsahu,
• väčší objem investícií do výskumu, inovácií a technológií zavádzania.

Aké nástroje sú na úrovni EÚ dostupné na ochranu sietí 5G?

EÚ už disponuje celou škálou nástrojov na ochranu elektronických komunikačných sietí:

V telekomunikačnom rámci EÚ možno telekomunikačným operátorom ukladať rôzne povinnosti. Od členských štátov sa vyžaduje, aby zaistili integritu a bezpečnosť verejných komunikačných sietí a aby verejné komunikačné siete alebo služby prijímali opatrenia na riadenie bezpečnostných rizík. V rámci sa takisto stanovuje, že príslušné vnútroštátne regulačné orgány majú právomoci vydávať záväzné usmernenia a zabezpečovať dodržiavanie týchto povinností.

Európsky kódex elektronických komunikácií, ktorý nahradí súčasný rámec od 21. decembra 2020, zachováva a rozširuje bezpečnostné ustanovenia súčasného rámca a zavádza vymedzenia pojmov týkajúcich sa bezpečnosti sietí a služieb a bezpečnostných incidentov. V kódexe sa okrem toho stanovuje, že bezpečnostné opatrenia by mali zohľadňovať všetky relevantné aspekty určitých prvkov v takých oblastiach, ako je bezpečnosť sietí a zariadení, riešenie bezpečnostných incidentov, riadenie kontinuity činností, monitorovanie, audit a testovanie, ako aj súlad s medzinárodnými normami.

V smernici o sieťovej a informačnej bezpečnosti sa vyžaduje, aby prevádzkovatelia základných služieb v iných oblastiach (energetika, financie, zdravotná starostlivosť, doprava, poskytovatelia digitálnych služieb atď.) prijali primerané bezpečnostné opatrenia a oznamovali závažné incidenty príslušnému vnútroštátnemu orgánu. V smernici sa takisto stanovuje koordinácia medzi členskými štátmi v prípade cezhraničných incidentov ovplyvňujúcich prevádzkovateľov, ktorí patria do jej rozsahu pôsobnosti. V dnes prijatom pracovnom programe Komisie sa oznamuje revízia smernice do konca roku 2020.

Akt o kybernetickej bezpečnosti, ktorý nadobudol účinnosť v júni 2019, vytvára rámec pre európske systémy kyberneticko-bezpečnostnej certifikácie výrobkov, procesov a služieb. Po zavedení systémov certifikácie budú môcť výrobcovia okrem iného preukázať, že zahrnuli osobitné ochranné prvky do počiatočných fáz navrhovania výrobkov, a používatelia sa budú môcť na úrovni celej EÚ uistiť o úrovni zaručenia bezpečnosti. Rámec poskytuje základný podporný nástroj na podporu jednotných úrovní bezpečnosti. Umožňuje rozvoj systémov kyberneticko-bezpečnostnej certifikácie s cieľom reagovať na potreby používateľov zariadení a softvéru, ktoré využívajú 5G.

Komisia navyše bude podporovať realizáciu súboru nástrojov EÚ a v prípade potreby bude na žiadosť členských štátov konať s použitím všetkých nástrojov, ktoré má k dispozícii, aby zaistila bezpečnosť infraštruktúry 5G a dodávateľského reťazca (pozri aj predchádzajúcu otázku).

Aké sú ďalšie kroky?

Na základe odporúčania skupiny pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti a oznámenia Komisie bude skupina pokračovať vo svojich úlohách. Konkrétne ide o tieto kroky:

• Komisia vyzýva členské štáty, aby do 30. apríla 2020 prijali konkrétne a merateľné kroky na zavedenie viacerých kľúčových opatrení.
• Komisia požiadala skupinu pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti, aby do 30. júna 2020 vypracovala správu o stave vykonávania týchto kľúčových opatrení v jednotlivých členských štátoch.
• Členské štáty by mali (v spolupráci s Komisiou) do 1. októbra 2020 posúdiť účinky odporúčania Komisie z marca 2019 s cieľom určiť oblasti, kde treba ďalej konať.

Spolu s Agentúrou EÚ pre kybernetickú bezpečnosť bude Komisia pri tomto úsilí aj naďalej poskytovať svoju plnú podporu.