Komisja Europejska wydała rekomendację ws. bezpieczeństwa sieci 5G. Komunikat po angielsku dostępny w pdf tutaj. Jest to m.in. w uzupełnieniu do działań z marca 2019 (EU Cybersecurity Act – Europejski Parlament) tworzącego system certyfikacji we współpracy z ENISA.

W telegraficznym skrócie:

• brak obecnie wspólnych standardów cyberbezpieczeństwa dla sieci 5G i trzeba je wypracować do końca 2019 roku.
• Państwa członkowskie mogą jednak w trakcie prac podejmować swoje niezależne decyzje nakładając lub nie obowiązki na sieci 5G.
• Takie podejście może oznaczać opóźnienia w budowie sieci 5G skoro operatorzy nie znają obecnie wymogów bezpieczeństwa, wiele zależy od danego kraju członkowskiego
• Państwa członkowskie UE mają prawo do wykluczenia dostawców ze swojego rynku z powodów dotyczących bezpieczeństwa narodowego, jeżeli nie spełniają one krajowych norm i nie przestrzegają krajowych przepisów prawnych.
• Dostawcy chińscy nie zostali wstępnie wyeliminowani na terenie całej UE, jednak mogą oni zostać wyeliminowanie w roku 2020 jeśli taka będzie wola państw członkowskich przedstawiona we wspólnym podejściu jakie ma zostać zaprezentowane na koniec 2019.

Główne zapisy rekomendacji:

• Państwa członkowskie mają ocenić ryzyka z zakresu cyberbezpieczeństwa sieci 5G, w tym określić wymogi bezpieczeństwa na poziomie kraju. W  szczególności mowa o wszelkich ryzykach technicznych (np. włamanie do elementów sieciowych) jak i ryzykach prawnych czy wynikających z polityki danego kraju (tutaj ukłon do Huawei o zapisy mówiące o potencjalnej współpracy z ze służbami wywiadowczymi)
  • termin wykonania prac przez państwa członkowskie: do 30 czerwca 2019
• By wypracować wspólne podejście na terenie Unii, państwa członkowskie i instytucje powinny rozpocząć współpracę najpóźniej 30 kwietnia 2019. Współpraca powinna nastąpić w ramach “Grupy współpracy” powołanej dyrektywą 2016/1148.
• Państwa członkowskie muszą w trakcie prac
  • zaktualizować swoje wymagania bezpieczeństwa wobec sieci 5G,
  • zaktualizować wymagania bezpieczeństwa nakładane na firmy dostarczające publiczne sieci telekomunikacyjne (na bazie artykułu 13 i 13a dyrektywy 2002/21/EC) – czyli coś co jest od dawna dla sieci np. 4G
  • nałożyć na operatorów telekomunikacyjnych budujących sieci 5G obowiązki bezpieczeństwa zgodność z dyrektywą 2002/20/EC – czyli coś co jest od dawna dla sieci np. 4G
• Państwa członkowskie są zachęcone by współpracować i wspólnie dokonywać analiz bezpieczeństwa, szczególnie jeśli w dwóch krajach lub więcej działa ten sam operator telekomunikacyjnych (czytaj Polska będzie zachęcana do współpracy z Francją (Orange) i Niemcami (T-Mobile)
• Państwa członkowskie mają przesłać wyniki własnych prac KE i ENISA
  • Termin nadsyłania prac do KE/ENISA:  do 15 lipca 2019
• Państwa członkowskie ze wsparciem KE i ENISA powinny dokonać wspólny przegląd ryzyk związanych z cyberbezpieczeństwem 5G
  • Termin wspólnego opracowania: do 1 października 2019
• W konsekwencji ma powstać zestaw najlepsze praktyk radzenia sobie z cyberbezpieczeństwem sieci 5G dostępnym dla wszystkich państw. To powinno zapewnić KE możliwość opracowania minimalnych wspólnych zasad bezpieczeństwa dla sieci 5G w całej Unii
  • Termin do 31 grudnia 2019
• Zestaw najlepszych praktyk i narzędzi radzenia sobie z ryzykami w cyberbezpieczeństwie sieci 5G na poziomie unijnym powinien zawierać:
  • spis zagrożeń bezpieczeństwa, które mogą wpływać na cyberbezpieczeństwo Sieci 5G (np. ryzyka wynikające z miejsca produkcji i łańcucha dostaw, ryzyko podatności w oprogramowaniu, kontrola dostępu) , ryzyka wynikające z ram prawnych i politycznych (tutaj ukłon do Huawei o zapisy mówiące o potencjalnej współpracy z ze służbami wywiadowczymi)
  • zestaw możliwych środków mitygujących ryzyka (np. certyfikacja sprzętu, oprogramowania lub usługi, formalne testy bezpieczeństwa sprzętu i oprogramowania lub kontrole zgodności, wdrożenie procesów zapewniających kontrolę dostępu lub zapewnienie że istniejące są egzekwowane).
• Państwa członkowskie powinny następnie zapewnić, że odpowiednie środki zaradcze będą wdrożone a powstałe obowiązki nałożone na operatorów telekomunikacyjnych.
• Do końca 1 października 2020 zostanie dokonany przegląd jak omawiana rekomendacja zostanie wdrożona
• Co ciekawie sieci 5G to też sieci 4G czy 3G jeśli elementy z tych sieci są potrzebne do działania sieci 5G

Pytania i odpowiedzi KE – link.