Press enter to see results or esc to cancel.

KE we współpracy z ENISA i państwami członkowskimi do końca 2019 roku opracuje plan działań w zakresie cyberbezpieczeństwa sieci 5G

Komisja Europejska wydała rekomendację ws. bezpieczeństwa sieci 5G. Komunikat po angielsku dostępny w pdf tutaj. Jest to m.in. w uzupełnieniu do działań z marca 2019 (EU Cybersecurity Act – Europejski Parlament) tworzącego system certyfikacji we współpracy z ENISA.

W telegraficznym skrócie:

  • brak obecnie wspólnych standardów cyberbezpieczeństwa dla sieci 5G i trzeba je wypracować do końca 2019 roku.
  • Państwa członkowskie mogą jednak w trakcie prac podejmować swoje niezależne decyzje nakładając lub nie obowiązki na sieci 5G.
  • Takie podejście może oznaczać opóźnienia w budowie sieci 5G skoro operatorzy nie znają obecnie wymogów bezpieczeństwa, wiele zależy od danego kraju członkowskiego
  • Państwa członkowskie UE mają prawo do wykluczenia dostawców ze swojego rynku z powodów dotyczących bezpieczeństwa narodowego, jeżeli nie spełniają one krajowych norm i nie przestrzegają krajowych przepisów prawnych.
  • Dostawcy chińscy nie zostali wstępnie wyeliminowani na terenie całej UE, jednak mogą oni zostać wyeliminowanie w roku 2020 jeśli taka będzie wola państw członkowskich przedstawiona we wspólnym podejściu jakie ma zostać zaprezentowane na koniec 2019.

Główne zapisy rekomendacji:

  • Państwa członkowskie mają ocenić ryzyka z zakresu cyberbezpieczeństwa sieci 5G, w tym określić wymogi bezpieczeństwa na poziomie kraju. W  szczególności mowa o wszelkich ryzykach technicznych (np. włamanie do elementów sieciowych) jak i ryzykach prawnych czy wynikających z polityki danego kraju (tutaj ukłon do Huawei o zapisy mówiące o potencjalnej współpracy z ze służbami wywiadowczymi)
    • termin wykonania prac przez państwa członkowskie: do 30 czerwca 2019
  • By wypracować wspólne podejście na terenie Unii, państwa członkowskie i instytucje powinny rozpocząć współpracę najpóźniej 30 kwietnia 2019. Współpraca powinna nastąpić w ramach “Grupy współpracy” powołanej dyrektywą 2016/1148.
  • Państwa członkowskie muszą w trakcie prac
    • zaktualizować swoje wymagania bezpieczeństwa wobec sieci 5G,
    • zaktualizować wymagania bezpieczeństwa nakładane na firmy dostarczające publiczne sieci telekomunikacyjne (na bazie artykułu 13 i 13a dyrektywy 2002/21/EC) – czyli coś co jest od dawna dla sieci np. 4G
    • nałożyć na operatorów telekomunikacyjnych budujących sieci 5G obowiązki bezpieczeństwa zgodność z dyrektywą 2002/20/EC – czyli coś co jest od dawna dla sieci np. 4G
  • Państwa członkowskie są zachęcone by współpracować i wspólnie dokonywać analiz bezpieczeństwa, szczególnie jeśli w dwóch krajach lub więcej działa ten sam operator telekomunikacyjnych (czytaj Polska będzie zachęcana do współpracy z Francją (Orange) i Niemcami (T-Mobile)
  • Państwa członkowskie mają przesłać wyniki własnych prac KE i ENISA
    • Termin nadsyłania prac do KE/ENISA:  do 15 lipca 2019
  • Państwa członkowskie ze wsparciem KE i ENISA powinny dokonać wspólny przegląd ryzyk związanych z cyberbezpieczeństwem 5G
    • Termin wspólnego opracowania: do 1 października 2019
  • W konsekwencji ma powstać zestaw najlepsze praktyk radzenia sobie z cyberbezpieczeństwem sieci 5G dostępnym dla wszystkich państw. To powinno zapewnić KE możliwość opracowania minimalnych wspólnych zasad bezpieczeństwa dla sieci 5G w całej Unii
    • Termin do 31 grudnia 2019
  • Zestaw najlepszych praktyk i narzędzi radzenia sobie z ryzykami w cyberbezpieczeństwie sieci 5G na poziomie unijnym powinien zawierać:
    • spis zagrożeń bezpieczeństwa, które mogą wpływać na cyberbezpieczeństwo Sieci 5G (np. ryzyka wynikające z miejsca produkcji i łańcucha dostaw, ryzyko podatności w oprogramowaniu, kontrola dostępu) , ryzyka wynikające z ram prawnych i politycznych (tutaj ukłon do Huawei o zapisy mówiące o potencjalnej współpracy z ze służbami wywiadowczymi)
    • zestaw możliwych środków mitygujących ryzyka (np. certyfikacja sprzętu, oprogramowania lub usługi, formalne testy bezpieczeństwa sprzętu i oprogramowania lub kontrole zgodności, wdrożenie procesów zapewniających kontrolę dostępu lub zapewnienie że istniejące są egzekwowane).
  • Państwa członkowskie powinny następnie zapewnić, że odpowiednie środki zaradcze będą wdrożone a powstałe obowiązki nałożone na operatorów telekomunikacyjnych.
  • Do końca 1 października 2020 zostanie dokonany przegląd jak omawiana rekomendacja zostanie wdrożona
  • Co ciekawie sieci 5G to też sieci 4G czy 3G jeśli elementy z tych sieci są potrzebne do działania sieci 5G

 

Pytania i odpowiedzi KE – link.

 

 

Piotr Mieczkowski

Helping innovation & digital to grow. TMT expert & advisor.

https://tmt.expert