„A mai napon az uniós tagállamok az Európai Bizottság és az ENISA – az Európai Uniós Kiberbiztonsági Ügynökség – támogatásával közzétették az 5G kiberbiztonsággal kapcsolatos uniós eszköztár végrehajtásáról szóló második eredményjelentést. A jelentés kitér az Európai Számvevőszék 2022. januári különjelentésének néhány ajánlására is. Az elért eredményekről szóló jelentés kiegészítéseként a Bizottság ma közleményt fogadott el az eszköztár tagállamok általi végrehajtásáról, valamint az EU saját intézményi kommunikációs és finanszírozási tevékenységeiről.
Ami a stratégiai intézkedéseket és különösen a magas kockázatú beszállítókra vonatkozó korlátozásokat illeti, az eredményjelentés szerint 24 tagállam fogadott el vagy készít elő olyan jogalkotási intézkedéseket, amelyek jogosultságot adnak a nemzeti hatóságoknak a beszállítók értékelésére és korlátozások bevezetésére. 10 tagállam már bevezette ezeket a korlátozásokat, 3 tagállam pedig még dolgozik a vonatkozó nemzeti jogszabályok megalkotásán. Mivel a konnektivitási infrastruktúra nagy jelentőséggel bír a digitális gazdaság szempontjából, valamint tekintettel arra, hogy számos kritikus szolgáltatás függ az 5G hálózatoktól, a tagállamoknak késedelem nélkül végre kell hajtaniuk a szóban forgó eszköztárat.
Közleményében a Bizottság hangsúlyozza, hogy mély aggodalommal töltik el azok a kockázatok, amelyeket a mobilhálózati kommunikációs berendezések egyes beszállítói jelentenek az Unió biztonságára nézve. A Bizottság úgy véli, hogy a Huawei és a ZTE korlátozására vagy 5G hálózatokból való kizárására vonatkozóan elfogadott tagállami határozatok indokoltak, és megfelelnek az 5G eszköztárnak. E határozatokkal összhangban és a rendelkezésre álló széles körű információk alapján a Bizottság úgy véli, hogy a Huawei és a ZTE valójában lényegesen nagyobb kockázatot jelent, mint a többi 5G-szolgáltató.
A Bizottság közleménye az eszköztár végrehajtásáról
Az 5G hálózatok biztonsága a Bizottság egyik fő prioritása és a biztonsági unióra vonatkozó stratégia alapvető eleme, mivel ezek a hálózatok olyan központi infrastruktúrák, amelyek a belső piac működéséhez, valamint az alapvető társadalmi és gazdasági funkciók fenntartásához és működtetéséhez nélkülözhetetlen szolgáltatások széles körének képezik alapját. A kérdés központi jelentőségű az Unió szuverenitása, stratégiai autonómiája és rezilienciája szempontjából. Ma elfogadott közleményében a Bizottság tudomásul veszi és üdvözli, hogy a Kiberbiztonsági Együttműködési Csoport elfogadta az uniós eszköztár végrehajtásáról szóló második eredményjelentést.
A tagállamok nemzetbiztonsággal kapcsolatos hatásköreinek sérelme nélkül a Bizottság – az Unió átfogó szakpolitikai célkitűzéseinek fényében – az eszköztár kritériumai alapján felmérte saját, valamint a többi európai intézmény, szerv és ügynökség kommunikációs rendszereinek, továbbá az uniós finanszírozási programok végrehajtásának igényeit és sebezhető pontjait. Saját értékelése alapján (mely összhangban áll bizonyos tagállamok értékelésével) a Bizottság sürgeti azokat a tagállamokat, amelyek még nem hajtották végre az eszköztárat, hogy az uniós eszköztárban ajánlottaknak megfelelően hozzanak mielőbb releváns intézkedéseket az azonosított beszállítók jelentette kockázatok hatékony és gyors kezelésére.
Szervezeti kiberbiztonsági politikájának részeként és az 5G kiberbiztonsági eszköztár alkalmazása révén a Bizottság megfelelő intézkedéseket kíván foganatosítani annak elkerülésére, hogy az intézményi kommunikáció ki legyen téve a Huawei-t és a ZTE-t beszállítóként használó mobilhálózatoknak. Hatékony biztonsági lépéseket tesz annak érdekében, hogy ne szerezzen be olyan új konnektivitási szolgáltatásokat, amelyek az említett beszállítók berendezéseire támaszkodnak, és együtt fog működni a tagállamokkal és a távközlési szolgáltatókkal, hogy ezeket a beszállítókat fokozatosan kiszorítsák a bizottsági helyszínek meglévő konnektivitási szolgáltatásaiból.
A Bizottság emellett valamennyi vonatkozó uniós finanszírozási programban és eszközben érvényesíteni kívánja ezt a döntést.
Második eredményjelentés az 5G eszköztárról
A tagállamok által elfogadott jelentés megállapítja, hogy a 2020. júliusi első eredményjelentés óta további előrelépés történt az uniós eszköztár kulcsfontosságú intézkedéseinek végrehajtása terén. A tagállamok túlnyomó többsége az uniós eszköztár alapján szigorította az 5G hálózatokra vonatkozó biztonsági követelményeket, vagy jelenleg dolgozik ezen. Az elért eredmények ellenére azonban a jelentés kiemeli, hogy ebből a helyzetből adódóan egyértelműen fennáll annak a kockázata, hogy a belső piacon egyesek továbbra is függnek magas kockázatú beszállítóktól, ami súlyos negatív hatást gyakorolhat a felhasználók és a vállalatok biztonságára szerte az EU-ban, valamint az EU kritikus infrastruktúrájára.
A jelentés a következő ajánlásokat fogalmazza meg a tagállamok számára:
- Gondoskodjanak arról, hogy a mobilszolgáltatóktól átfogó és részletes információkat kapjanak a jelenleg telepített 5G berendezésekről, valamint az új berendezések telepítésére vagy beszerzésére vonatkozó terveikről.
- A beszállítók kockázati profiljának értékelésekor a tagállamoknak figyelembe kell venniük az uniós eszköztárban ajánlott objektív kritériumokat. Ezzel kapcsolatban nyilvánvaló, hogy az 5G-szolgáltatók között egyértelmű különbségek vannak jellemzőik tekintetében, különösen annak valószínűségét illetően, hogy olyan konkrét harmadik országok befolyásolják őket, amelyek biztonsági jogszabályai és vállalatirányítási gyakorlatai potenciális kockázatot jelentenek az Unió biztonságára nézve. Továbbá annak érdekében, hogy Unió-szerte elő lehessen mozdítani a következetességet és a magas szintű biztonságot, figyelembe kell venni azt is, hogy más tagállamok mely beszállítókat minősítették magas kockázatúnak.
- A beszállítók értékelése alapján a tagállamoknak haladéktalanul korlátozásokat kell bevezetniük a magas kockázatú beszállítókra vonatkozóan, ugyanis figyelembe kell venni, hogy a késlekedés növelheti az Unión belüli hálózatok sebezhetőségét és az Unió magas kockázatú beszállítóktól való függőségét, különösen azon tagállamok esetében, amelyekben jelentős a potenciális magas kockázatú beszállítók jelenléte.
- A kockázatok hatékony csökkentése érdekében a tagállamoknak biztosítaniuk kell, hogy a korlátozások kiterjedjenek az összehangolt uniós kockázatértékelésben azonosított kritikus és rendkívül érzékeny eszközökre, beleértve a rádiós hozzáférési hálózatot is.
- A korlátozások hatálya alá tartozó berendezéstípusok esetében az üzemeltetők számára nem szabad engedélyezni új berendezések telepítését. Amennyiben a meglévő berendezések eltávolítására átmeneti időszakok kerülnek engedélyezésre, azokat úgy kell meghatározni, hogy a berendezéseket a lehető legrövidebb időn belül el lehessen távolítani, figyelembe véve, hogy a magas kockázatú beszállítók berendezéseinek tárolása biztonsági kockázatot hordoz, és az átmeneti időszaknak nem lehet célja, hogy lehetővé tegye a nagy kockázatú beszállítóktól származó új berendezések további telepítését.
- Korlátozásokat kell bevezetni a bérelt szolgáltatást nyújtó entitásokra vonatkozóan, és amennyiben egyes feladatokat ilyen szolgáltatóknak szerveznek ki, fokozott biztonsági rendelkezéseket kell előírni a számukra biztosított hozzáférés tekintetében.
- További eszmecserére van szükség a beszállítók diverzifikációjával kapcsolatos intézkedések alkalmazhatóságával, valamint azzal kapcsolatban, hogy miként biztosítható a legjobban, hogy az esetleges diverzifikáció ne eredményezzen új vagy fokozott biztonsági kockázatokat, hanem hozzájáruljon a biztonság és a relizilencia növeléséhez.
- Technikai intézkedéseket kell végrehajtani és gondoskodni kell a felügyelet magas szintjéről. Különös figyelmet kell fordítani bizonyos intézkedésekre, nevezetesen az alapvető biztonsági követelmények alkalmazásának biztosítására, a szállítói folyamatok biztonsági előírásainak szigorú beszerzési feltételek révén történő szigorítására, valamint az 5G hálózatok biztonságos kezelésének, üzemeltetésének és nyomon követésének biztosítására.
Háttér-információk
A tagállami hatóságok (a Kiberbiztonsági Együttműködési Csoport) által a Bizottság és az ENISA támogatásával 2020 januárjában közzétett, az 5G kiberbiztonságra vonatkozó uniós eszköztár (uniós eszköztár) célja az 5G hálózatok kiberbiztonságával kapcsolatos kockázatok kezelése. Meghatározza és leírja azokat a stratégiai és technikai eszközöket, valamint a hozzájuk kapcsolódó, a hatékonyságuk megerősítését célzó támogató intézkedéseket, amelyek az 5G kiberbiztonságról készített, a nemzeti kockázatértékeléseken alapuló összehangolt uniós kockázatértékelésről szóló jelentésben azonosított kockázatok csökkentése érdekében bevezethetőek.
Az eszköztárat és annak legfontosabb ajánlásait a Bizottság és a tagállamok a legmagasabb szinten hagyták jóvá. 2020 októberében az Európai Tanács felszólította az EU-t és a tagállamokat, hogy „a legnagyobb mértékben alkalmazzák a 2020. január 29-én elfogadott 5G kiberbiztonsági eszköztárat, és a közös objektív kritériumok alapján az uniós koordinált kockázatértékelésben kritikusként és érzékenyként azonosított legfontosabb eszközök vonatkozásában alkalmazzák a nagy kockázatnak kitett beszállítókra vonatkozó releváns korlátozásokat”. 2022. decemberi ajánlásában az Európai Unió Tanácsa megismételte, hogy „fontos, hogy a tagállamok sürgősen végrehajtsák az 5G kiberbiztonsággal kapcsolatos eszköztárban ajánlott intézkedéseket, és kiváltképp, hogy a tagállamok korlátozásokat léptessenek életbe a magas kockázatú beszállítók esetében, figyelembe véve, hogy az időveszteség növelheti az uniós hálózatok sebezhetőségét”.
Az uniós eszköztár végrehajtása terén a tagállamok által elért eredményekről szóló első jelentést 2020 júliusában tették közzé. A jelentés arra a következtetésre jutott, hogy konkrét lépések történtek az uniós eszköztár végrehajtása érdekében. Számos tagállam már elfogadott az 5G kiberbiztonsággal kapcsolatos szigorúbb biztonsági intézkedéseket, vagy jó úton haladt ezek előkészítése terén. 2022. januári különjelentésében a Számvevőszék megállapította, hogy az uniós eszköztár elfogadása óta előrelépés történt az 5G hálózatok biztonságának fokozása terén. A Számvevőszék azonban azt is kiemelte, hogy a magas kockázatú beszállítóktól származó berendezések használata vagy a korlátozások hatálya tekintetében a tagállamok eltérő megközelítéseket alkalmaztak.
További információk
A Bizottság közleménye az 5G kiberbiztonsági eszköztár végrehajtásárólMásodik eredményjelentés az EU 5G kiberbiztonsági eszköztáráról
Az EU kiberbiztonsági szakpolitikái:
*Frissítve 2023. június 15-én.
Idézet(ek)
„Az uniós eszköztár keretében további sürgős intézkedésekre van szükség. Különösen fontos, hogy az Unió kritikus infrastruktúrájának biztonsága érdekében a magas kockázatú beszállítókra vonatkozóan korlátozásokat fogadjunk el. Bár egyes tagállamokban történt előrelépés, a mai jelentés rámutat, hogy még van teendő. A Bizottság megteszi a szükséges lépéseket saját hálózatai és finanszírozási eszközei biztonságának garantálása érdekében.” – Margrethe Vestager, a digitális korra felkészült Európáért felelős ügyvezető alelnök –
„A jelentés egyértelművé teszi, hogy az EU kollektív biztonságának védelme érdekében a nemzeti hatóságoknak sürgősen és teljeskörűen végre kell hajtaniuk az 5G eszköztárra vonatkozó uniós intézkedéseket. Ezek, és különösen a magas kockázatú 5G-szolgáltatók azonosítása és azok hozzáférésének korlátozása elengedhetetlen a biztonsági unió infrastruktúrájának lezárásához.” – Margarítisz Szhinász, az európai életmód előmozdításáért felelős alelnök – 15/06/2023
„Más ágazatokban, például az energia területén rekordidő alatt tudtuk csökkenteni vagy megszüntetni függőségeinket, miközben sokan úgy gondolták, hogy ez lehetetlen. Az 5G-vel kapcsolatban ugyanígy kell tennünk: nem engedhetjük meg magunknak, hogy fenntartsuk azokat a kritikus függőségeket, amelyek érdekeinkkel ellentétes „fegyverré” válhatnak. Ez túlságosan veszélyes lenne, és komoly kockázatot jelentene közös biztonságunkra nézve. Ezért felkérem a tagállamokat és a távközlési szolgáltatókat, hogy további késedelem nélkül tegyék meg a szükséges intézkedéseket.” – Thierry Breton, a belső piacért felelős biztos – 15/06/2023”
Forrás:
A Bizottság a legutóbbi tagállami eredményjelentés kiegészítéseként bejelenti az 5G hálózatok kiberbiztonságával kapcsolatos következő lépéseket; Európai Bizottság; 2023. június 15.
