KE we współpracy z ENISA i państwami członkowskimi do końca 2019 roku opracuje plan działań w zakresie cyberbezpieczeństwa sieci 5G
Komisja Europejska wydała rekomendację ws. bezpieczeństwa sieci 5G. Komunikat po angielsku dostępny w pdf tutaj. Jest to m.in. w uzupełnieniu do działań z marca 2019 (EU Cybersecurity Act – Europejski Parlament) tworzącego system certyfikacji we współpracy z ENISA.
W telegraficznym skrócie:
- brak obecnie wspólnych standardów cyberbezpieczeństwa dla sieci 5G i trzeba je wypracować do końca 2019 roku.
- Państwa członkowskie mogą jednak w trakcie prac podejmować swoje niezależne decyzje nakładając lub nie obowiązki na sieci 5G.
- Takie podejście może oznaczać opóźnienia w budowie sieci 5G skoro operatorzy nie znają obecnie wymogów bezpieczeństwa, wiele zależy od danego kraju członkowskiego
- Państwa członkowskie UE mają prawo do wykluczenia dostawców ze swojego rynku z powodów dotyczących bezpieczeństwa narodowego, jeżeli nie spełniają one krajowych norm i nie przestrzegają krajowych przepisów prawnych.
- Dostawcy chińscy nie zostali wstępnie wyeliminowani na terenie całej UE, jednak mogą oni zostać wyeliminowanie w roku 2020 jeśli taka będzie wola państw członkowskich przedstawiona we wspólnym podejściu jakie ma zostać zaprezentowane na koniec 2019.
Główne zapisy rekomendacji:
- Państwa członkowskie mają ocenić ryzyka z zakresu cyberbezpieczeństwa sieci 5G, w tym określić wymogi bezpieczeństwa na poziomie kraju. W szczególności mowa o wszelkich ryzykach technicznych (np. włamanie do elementów sieciowych) jak i ryzykach prawnych czy wynikających z polityki danego kraju (tutaj ukłon do Huawei o zapisy mówiące o potencjalnej współpracy z ze służbami wywiadowczymi)
- termin wykonania prac przez państwa członkowskie: do 30 czerwca 2019
- By wypracować wspólne podejście na terenie Unii, państwa członkowskie i instytucje powinny rozpocząć współpracę najpóźniej 30 kwietnia 2019. Współpraca powinna nastąpić w ramach “Grupy współpracy” powołanej dyrektywą 2016/1148.
- Państwa członkowskie muszą w trakcie prac
- zaktualizować swoje wymagania bezpieczeństwa wobec sieci 5G,
- zaktualizować wymagania bezpieczeństwa nakładane na firmy dostarczające publiczne sieci telekomunikacyjne (na bazie artykułu 13 i 13a dyrektywy 2002/21/EC) – czyli coś co jest od dawna dla sieci np. 4G
- nałożyć na operatorów telekomunikacyjnych budujących sieci 5G obowiązki bezpieczeństwa zgodność z dyrektywą 2002/20/EC – czyli coś co jest od dawna dla sieci np. 4G
- Państwa członkowskie są zachęcone by współpracować i wspólnie dokonywać analiz bezpieczeństwa, szczególnie jeśli w dwóch krajach lub więcej działa ten sam operator telekomunikacyjnych (czytaj Polska będzie zachęcana do współpracy z Francją (Orange) i Niemcami (T-Mobile)
- Państwa członkowskie mają przesłać wyniki własnych prac KE i ENISA
- Termin nadsyłania prac do KE/ENISA: do 15 lipca 2019
- Państwa członkowskie ze wsparciem KE i ENISA powinny dokonać wspólny przegląd ryzyk związanych z cyberbezpieczeństwem 5G
- Termin wspólnego opracowania: do 1 października 2019
- W konsekwencji ma powstać zestaw najlepsze praktyk radzenia sobie z cyberbezpieczeństwem sieci 5G dostępnym dla wszystkich państw. To powinno zapewnić KE możliwość opracowania minimalnych wspólnych zasad bezpieczeństwa dla sieci 5G w całej Unii
- Termin do 31 grudnia 2019
- Zestaw najlepszych praktyk i narzędzi radzenia sobie z ryzykami w cyberbezpieczeństwie sieci 5G na poziomie unijnym powinien zawierać:
- spis zagrożeń bezpieczeństwa, które mogą wpływać na cyberbezpieczeństwo Sieci 5G (np. ryzyka wynikające z miejsca produkcji i łańcucha dostaw, ryzyko podatności w oprogramowaniu, kontrola dostępu) , ryzyka wynikające z ram prawnych i politycznych (tutaj ukłon do Huawei o zapisy mówiące o potencjalnej współpracy z ze służbami wywiadowczymi)
- zestaw możliwych środków mitygujących ryzyka (np. certyfikacja sprzętu, oprogramowania lub usługi, formalne testy bezpieczeństwa sprzętu i oprogramowania lub kontrole zgodności, wdrożenie procesów zapewniających kontrolę dostępu lub zapewnienie że istniejące są egzekwowane).
- Państwa członkowskie powinny następnie zapewnić, że odpowiednie środki zaradcze będą wdrożone a powstałe obowiązki nałożone na operatorów telekomunikacyjnych.
- Do końca 1 października 2020 zostanie dokonany przegląd jak omawiana rekomendacja zostanie wdrożona
- Co ciekawie sieci 5G to też sieci 4G czy 3G jeśli elementy z tych sieci są potrzebne do działania sieci 5G
Pytania i odpowiedzi KE – link.
Comments
Comments are disabled for this post