Bezpečnost sítí 5G - Členské státy EU provedly vnitrostátní posouzení rizik

Posouzení na národní úrovni se stanou podkladem pro etapu příští, kterou bude celounijní posouzení rizik, jež mělo být dokončeno do 1. října.
Sítě páté generace (5G) se mají stát klíčovou digitální infrastrukturou propojující miliardy objektů a systémů (mj. v tak kriticky významných odvětvích, jako jsou energetika, doprava, bankovnictví a zdravotnictví) a také průmyslové řídicí systémy, které obsahují citlivé informace a podporují bezpečnostní systémy. Vnitrostátní posouzení rizik jsou nezbytná k tomu, aby se členské státy dostatečně připravily na zavedení příští generace bezdrátového připojení, které se brzy stane páteří našich společností a ekonomik.
Provedená posouzení rizik sledují závazek členských států EU ke stanovení vysokých bezpečnostních standardů, a dále k plnému využití potenciálu této průlomové technologie. Výsledky posouzení rizik by měly být zohledněny v procesu dražeb spektra 5G a zavádění sítí, který v celé EU bude probíhat i v příštích měsících.

Vnitrostátní posouzení rizik podávají přehledné informace o:
- hlavních hrozbách a aktérech ovlivňujících sítě 5G,
- stupni citlivosti komponentů a funkcí sítí 5G a dalších aktiv,
- různých slabinách, včetně slabin technické a jiné povahy, např. těch, které mohou vzniknout v dodavatelském řetězci 5G.

Komise konstatovala, že na vnitrostátním posouzení rizik v členských státech pracovala řada subjektů, včetně orgánů v oblasti kybernetické bezpečnosti a telekomunikací a bezpečnostních a zpravodajských služeb. Výsledkem bylo posílení jejich spolupráce a koordinace.

Politická a právní východiska posouzení rizik
Poté, co hlavy států a předsedové vlád podpořili jednotný přístup k bezpečnosti sítí 5G, Evropská komise dne 26. března 2019 doporučila řadu konkrétních kroků, aby mohla být posouzena kyberneticko-bezpečnostní rizika sítí 5G a posílena preventivní opatření. Komise přitom vyzvala členské státy, aby provedly vnitrostátní posouzení rizik a přezkoumaly svá národní opatření a aby na unijní úrovni spolupracovaly na koordinovaném posouzení rizik a společném souboru zmírňujících opatření.
K ochraně systémů je v doporučení Komise zkombinována řada legislativních a politických nástrojů. Použité nástroje vycházejí z předpokladu, že sítě 5G budou v roce 2025 přinášet 225 miliard eur ročně, a stanou se tak klíčem pro úspěch Evropy na globálním trhu a jejich kybernetická bezpečnost je zásadní pro zajištění strategické autonomie Unie.
Doporučení Komise obsahuje konkrétně soubor následujících operačních opatření:

Na vnitrostátní úrovni:
- Každý členský stát měl do konce června 2019 dokončit vnitrostátní posouzení rizik infrastruktury sítí 5G. Na tomto základě by členské státy měly aktualizovat stávající bezpečnostní požadavky pro provozovatele sítí a zahrnout podmínky pro zajištění bezpečnosti veřejných sítí především při udělování práv na užívání rádiového spektra v pásmech 5G. Tato opatření by měla zajistit rozsáhlejší povinnosti dodavatelů a provozovatelů při zajišťování bezpečnosti sítí.
- Vnitrostátní posouzení rizik a přijatá opatření by měla zohledňovat různé rizikové faktory, jako jsou technická rizika a rizika související s chováním dodavatelů nebo provozovatelů, včetně subjektů ze třetích zemí. Z vnitrostátních posouzení rizik se pak bude vycházet při vytváření koordinovaného posouzení rizik na úrovni EU.
- Členské státy EU mají právo na základě důvodů národní bezpečnosti vyloučit ze svých trhů společnosti, které nesplňují normy a požadavky právního rámce daného státu.

Na úrovni EU:
- Členské státy by si měly vzájemně vyměňovat informace a za podpory Komise a Evropské agentury pro kybernetickou bezpečnosti (ENISA) měly do 1. října 2019 dokončit koordinované posouzení rizik.
- Následně by se měly členské státy EU dohodnout na souboru zmírňujících opatření, která lze využít na vnitrostátní úrovni. Mohou mezi ně patřit požadavky na certifikaci, testy, kontroly a identifikace produktů nebo dodavatelů považovaných za potenciálně nezabezpečené. Tuto práci provede skupina pro spolupráci příslušných orgánů ustavená podle směrnice o bezpečnosti sítí a informačních systémů za podpory Komise a agentury ENISA. Koordinovaná činnost by měla podpořit činnost členských států na vnitrostátní úrovni a poskytnout Komisi vodítko pro případné další kroky na úrovni EU.
- Členské státy by kromě toho měly vypracovat specifické bezpečnostní požadavky, které by se uplatnily při zadávání veřejných zakázek souvisejících se sítěmi 5G, včetně požadavků na povinné využívání systémů certifikace kybernetické bezpečnosti.
- Na základě Doporučení bude využita široká škála již existujících nebo dohodnutých nástrojů k posílení spolupráce při boji proti kybernetickým útokům. Umožní EU kolektivně chránit své hospodářství a společnost, a to i prostřednictvím celounijní legislativy o kybernetické bezpečnosti (směrnice o bezpečnosti sítí a informací), aktu o kybernetické bezpečnosti, který byl nedávno schválen Evropským parlamentem, a nových pravidel v oblasti telekomunikací. Doporučení má členským státům pomoct, aby tyto nové nástroje provedly v souvislosti s bezpečností sítí 5G jednotným způsobem.
- V oblasti kybernetické bezpečnosti by měl budoucí evropský rámec certifikace kybernetické bezpečnosti digitálních produktů, procesů a služeb podle aktu o kybernetické bezpečnosti poskytnout základní nástroj na podporu stejných úrovní bezpečnosti. Členské státy by při jeho provádění měly rovněž začít okamžitě a aktivně spolupracovat s ostatními zúčastněnými stranami na vytvoření speciálních celounijních certifikačních systémů souvisejících se sítěmi 5G. Ihned po vytvoření těchto systémů by členské státy měly prostřednictvím vnitrostátních technických předpisů stanovit povinnost takové certifikace.
- V oblasti telekomunikací musejí členské státy zajistit zachování celistvosti a bezpečnosti veřejných komunikačních sítí prostřednictvím povinností, které zajistí, že provozovatelé přijmou technická a organizační opatření k řádnému řízení rizik ohrožujících sítě a služby.

Závěr
Na základě získaných informací z posouzení rizik vypracují členské státy spolu s Komisí a Agenturou EU pro kybernetickou bezpečnost (ENISA) koordinované celounijní posouzení rizik. Agentura ENISA současně provádí analýzu různých forem hrozeb v oblasti sítí 5G, která má být dalším zdrojem informací.
Do 31. prosince 2019 skupina pro spolupráci v oblasti bezpečnosti sítí a informací, která spolu s Komisí stojí v čele snah o prosazování spolupráce, měla vypracovat a schválit soubor zmírňujících opatření pro řešení rizik, která byla v rámci posouzení rizik zjištěna na úrovni členských států a na úrovni EU.
Do 1. října 2020 by členské státy měly ve spolupráci s Komisí posoudit účinky přijatých opatření, aby se zjistilo, zda je třeba podniknout další kroky. V tomto posouzení by mělo být zohledněno koordinované evropské posouzení rizik.

Petr Mišúr

Publikováno: 21. 2. 2020 | Počet zobrazení: 1352 298