Απαντήσεις Ε.Ε. για τα δίκτυα 5G

Ως σημαντικός παράγοντας διευκόλυνσης των μελλοντικών ψηφιακών υπηρεσιών, οι τεχνολογίες 5G θα διαδραματίσουν καίριο ρόλο στην ανάπτυξη της ψηφιακής οικονομίας και κοινωνίας τα επόμενα χρόνια. Από την εξατομικευμένη ιατρική ως τη γεωργία ακριβείας, από τα έξυπνα ενεργειακά δίκτυα ως τη συνδεδεμένη κινητικότητα, το 5G θα επηρεάσει δυνητικά σχεδόν κάθε πτυχή της ζωής των πολιτών της ΕΕ.

Ταυτόχρονα, λόγω της λιγότερο συγκεντρωτικής αρχιτεκτονικής τους, της έξυπνης υπολογιστικής ισχύος αιχμής, της ανάγκης περισσότερων κεραιών και αυξημένης εξάρτησης από το λογισμικό, τα δίκτυα 5G προσφέρουν περισσότερα δυνητικά σημεία εισόδου για τους επιτιθέμενους. Ως εκ τούτου, η μέριμνα για την ασφάλεια των μελλοντικών δικτύων 5G της ΕΕ είναι υψίστης σημασίας.

Ενώ οι φορείς εκμετάλλευσης είναι σε μεγάλο βαθμό υπεύθυνοι για την ασφαλή ανάπτυξη του 5G, και τα κράτη μέλη είναι υπεύθυνα για την εθνική ασφάλεια, η ασφάλεια του δικτύου αποτελεί ζήτημα στρατηγικής σημασίας για ολόκληρη την ΕΕ. Μια συντονισμένη προσέγγιση που θα βασίζεται σε αυστηρά μέτρα ασφάλειας σε εθνικό και ενωσιακό επίπεδο θα βοηθήσει την Ευρώπη να παραμείνει στην παγκόσμια πρωτοπορία όσον αφορά την ανάπτυξη των τεχνολογιών 5G.

Τι είναι η εργαλειοθήκη της ΕΕ για την κυβερνοασφάλεια των δικτύων 5G;

Στόχος της εργαλειοθήκης της ΕΕ για την κυβερνοασφάλεια του 5G είναι να προσδιοριστεί μια συντονισμένη ευρωπαϊκή προσέγγιση βάσει κοινής δέσμης μέτρων, με στόχο τον μετριασμό των κυριότερων κινδύνων κυβερνοασφάλειας των δικτύων 5G που εντοπίστηκαν στην έκθεση σχετικά με τη συντονισμένη από την ΕΕ εκτίμηση επικινδυνότητας. Αποσκοπεί επίσης στην παροχή καθοδήγησης κατά την επιλογή και την ιεράρχηση των μέτρων που θα πρέπει να αποτελέσουν μέρος των εθνικών και ενωσιακών σχεδίων μετριασμού των κινδύνων. Απώτερος στόχος είναι η δημιουργία ενός ισχυρού και αντικειμενικού πλαισίου μέτρων ασφαλείας, το οποίο θα διασφαλίζει επαρκές επίπεδο κυβερνοασφάλειας των δικτύων 5G σε ολόκληρη την ΕΕ, μέσω συντονισμένων προσεγγίσεων μεταξύ των κρατών μελών. Η προσέγγιση που ακολουθείται βασίζεται στην ανάλυση του κινδύνου και αποκλειστικά σε λόγους ασφάλειας. Η προσέγγιση αυτή σέβεται πλήρως τον ανοικτό χαρακτήρα της εσωτερικής αγοράς της ΕΕ, εφόσον τηρούνται οι απαιτήσεις ασφάλειας της ΕΕ.

Ποια είναι τα κύρια συμπεράσματα της εργαλειοθήκης;

Η εργαλειοθήκη συνιστά δέσμη βασικών δράσεων για τα κράτη μέλη και/ή την Επιτροπή.

Τα κράτη μέλη συμφώνησαν να διασφαλίσουν ότι έχουν θεσπίσει μέτρα (συμπεριλαμβανομένων των σχετικών αρμοδιοτήτων των εθνικών αρχών) για την κατάλληλη και αναλογική αντιμετώπιση των κινδύνων που έχουν ήδη εντοπιστεί, καθώς και των πιθανών μελλοντικών κινδύνων. Ειδικότερα, συμφώνησαν να διασφαλίσουν ότι θα μπορούν να περιορίζουν, να απαγορεύουν και/ή να επιβάλλουν ειδικές απαιτήσεις και όρους στην προμήθεια, την εγκατάσταση και τη λειτουργία του εξοπλισμού των δικτύων 5G. σύμφωνα με μια προσέγγιση που βασίζεται σε παράγοντες κινδύνου. Ειδικότερα, τα κράτη μέλη θα πρέπει:

• να ενισχύουν τις απαιτήσεις ασφάλειας για τους φορείς εκμετάλλευσης κινητών δικτύων (π.χ. αυστηροί έλεγχοι πρόσβασης, κανόνες ασφαλούς λειτουργίας και παρακολούθησης, περιορισμοί στην εξωτερική ανάθεση συγκεκριμένων λειτουργιών κ.λπ.)·
• να αξιολογούν το προφίλ κινδύνου των προμηθευτών· κατά συνέπεια, να εφαρμόζουν συναφείς περιορισμούς για τους προμηθευτές που θεωρούνται υψηλού κινδύνου –συμπεριλαμβανομένων των απαραίτητων αποκλεισμών ώστε να μετριάζουν αποτελεσματικά τους κινδύνους– για βασικά στοιχεία ενεργητικού που ορίζονται ως κρίσιμης σημασίας και ευαίσθητα στη συντονισμένη από την ΕΕ εκτίμηση επικινδυνότητας (π.χ. λειτουργίες κεντρικού δικτύου, λειτουργίες διαχείρισης και συντονισμού («ενορχήστρωσης») του δικτύου και λειτουργίες δικτύου πρόσβασης)·
• να διασφαλίζουν ότι κάθε φορέας εκμετάλλευσης διαθέτει κατάλληλη στρατηγική πολλαπλών πωλητών για την αποφυγή ή τον περιορισμό οποιασδήποτε σημαντικής εξάρτησης από έναν και μόνο προμηθευτή (ή προμηθευτές με παρόμοιο προφίλ κινδύνου), να διασφαλίζουν την κατάλληλη ισορροπία μεταξύ των προμηθευτών σε εθνικό επίπεδο και να αποφεύγουν την εξάρτηση από προμηθευτές που θεωρούνται υψηλού κινδύνου· αυτό απαιτεί επίσης να αποφεύγονται καταστάσεις εγκλωβισμού σε έναν μόνο προμηθευτή, μεταξύ άλλων με την προώθηση μεγαλύτερης διαλειτουργικότητας του εξοπλισμού.

Η εργαλειοθήκη συνιστά στην Επιτροπή, από κοινού με τα κράτη μέλη, να συμβάλει:

• στη διατήρηση μιας διαφοροποιημένης και βιώσιμης αλυσίδας εφοδιασμού 5G, προκειμένου να αποφευχθεί η μακροπρόθεσμη εξάρτηση, μεταξύ άλλων:
• με πλήρη αξιοποίηση των υφιστάμενων εργαλείων και μέσων της ΕΕ, ιδίως μέσω του ελέγχου των δυνητικών άμεσων ξένων επενδύσεων που επηρεάζουν βασικά στοιχεία ενεργητικού 5G, καθώς και με αποφυγή των στρεβλώσεων στην αγορά προμήθειας 5G που απορρέουν από ενδεχόμενες πρακτικές ντάμπινγκ ή επιδοτήσεις· και
• με περαιτέρω ενίσχυση των ικανοτήτων της ΕΕ στις τεχνολογίες 5G και μετά το 5G, μέσω αξιοποίησης των σχετικών προγραμμάτων και της χρηματοδότησης της ΕΕ·
• στη διευκόλυνση του συντονισμού μεταξύ των κρατών μελών όσον αφορά την τυποποίηση για την επίτευξη συγκεκριμένων στόχων ασφάλειας και στην ανάπτυξη συναφών συστημάτων πιστοποίησης σε επίπεδο ΕΕ για την προώθηση ασφαλέστερων προϊόντων και διαδικασιών.

Ποια είναι τα διάφορα είδη μέτρων που προσδιορίζονται στην εργαλειοθήκη της ΕΕ;

Για κάθε έναν από τους εννέα τομείς κινδύνου που προσδιορίζονται στην έκθεση σχετικά με τη συντονισμένη από την ΕΕ εκτίμηση επικινδυνότητας, η εργαλειοθήκη προσδιορίζει και παρέχει σχέδια μετριασμού του κινδύνου. Τα σχέδια συνίστανται σε πιθανούς συνδυασμούς στρατηγικών και τεχνικών μέτρων.

Τα στρατηγικά μέτρα που προσδιορίζονται στην εργαλειοθήκη περιλαμβάνουν μέτρα που αφορούν αυξημένες ρυθμιστικές εξουσίες για τις αρχές ώστε να ελέγχουν τις προμήθειες και την ανάπτυξη δικτύων, ειδικά μέτρα για την αντιμετώπιση των κινδύνων που σχετίζονται με μη τεχνικές ευπάθειες (π.χ. κίνδυνος παρεμβολών από τρίτες χώρες ή από παράγοντες που υποστηρίζονται από αυτές), μέτρα για την αξιολόγηση του προφίλ κινδύνου των προμηθευτών και την προώθηση πρωτοβουλιών για τη στήριξη της ανάπτυξης συστήματος βιώσιμων και διαφοροποιημένων προμηθειών 5G.

Τα τεχνικά μέτρα που προσδιορίζονται στην εργαλειοθήκη περιλαμβάνουν την εξασφάλιση αυστηρού ελέγχου πρόσβασης και ασφαλούς διαχείρισης, λειτουργίας και παρακολούθησης των δικτύων, καθώς και τη χρήση της πιστοποίησης για στοιχεία και/ή διεργασίες των δικτύων 5G.

Οι υποστηρικτικές δράσεις καλύπτουν δράσεις στον τομέα των προτύπων 5G, την ενίσχυση των ικανοτήτων ελέγχου και δοκιμών, τη βελτίωση των προσπαθειών συντονισμού σε περίπτωση συμβάντων ή τη μέριμνα προκειμένου οι κίνδυνοι για την κυβερνοασφάλεια να λαμβάνονται πλήρως υπόψη στα έργα 5G που χρηματοδοτούνται από την ΕΕ. Αυτές οι υποστηρικτικές δράσεις μπορούν να διευκολύνουν, να υποβοηθήσουν και να ενισχύσουν την αποτελεσματικότητα των στρατηγικών και τεχνικών μέτρων.

Τι είναι το σχέδιο μετριασμού των κινδύνων;

Για κάθε έναν από τους εννέα τομείς κινδύνου που προσδιορίζονται στην έκθεση σχετικά με τη συντονισμένη από την ΕΕ εκτίμηση επικινδυνότητας, η εργαλειοθήκη προσδιορίζει και παρέχει σχέδια μετριασμού του κινδύνου. Αυτά συνίστανται σε πιθανούς συνδυασμούς μέτρων στρατηγικού και/ή τεχνικού χαρακτήρα (από κοινού με τις κατάλληλες υποστηρικτικές δράσεις) που αποσκοπούν στον μετριασμό των κινδύνων για την ασφάλεια.

Τα μέτρα της εργαλειοθήκης είναι υποχρεωτικά;

Η εργαλειοθήκη της ΕΕ για την κυβερνοασφάλεια 5G είναι ένα έγγραφο που εκπονήθηκε και εγκρίθηκε από την ομάδα συνεργασίας NIS, η οποία αποτελείται από εκπροσώπους αρχών όλων των κρατών μελών, της Επιτροπής και του Οργανισμού της ΕΕ για την Κυβερνοασφάλεια. Η ανάπτυξη μιας συντονισμένης προσέγγισης της ΕΕ για την κυβερνοασφάλεια 5G βασίζεται στην ισχυρή δέσμευση τόσο των κρατών μελών όσο και της Επιτροπής να χρησιμοποιούν και να εφαρμόζουν πλήρως μια βασική δέσμη συνιστώμενων μέτρων. Η εργαλειοθήκη ορίζει μια ακριβή και αντικειμενική μεθοδολογία για την αντιμετώπιση των κινδύνων που εντοπίστηκαν στην ευρωπαϊκή εκτίμηση επικινδυνότητας του Οκτωβρίου 2019, με παράλληλο σεβασμό των εθνικών αρμοδιοτήτων σε αυτόν τον τομέα.

Ταυτόχρονα, η ανάπτυξη και λειτουργία των δικτύων 5G αποτελεί ζήτημα εθνικής ασφάλειας. Τα κράτη μέλη μπορούν να πράττουν περισσότερα από όσα προτείνονται στην εργαλειοθήκη, όταν εντοπίζουν ανάλογη ανάγκη.

Πώς θα εφαρμοστεί η εργαλειοθήκη της ΕΕ;

Για τον αποτελεσματικό μετριασμό των κινδύνων που έχουν εντοπιστεί απαιτείται ο κατάλληλος συνδυασμός διαφόρων τύπων μέτρων. Πράγματι, τα κράτη μέλη θα πρέπει να αναλάβουν ένα φάσμα δράσεων μετριασμού με σκοπό την αποτελεσματική αντιμετώπιση των κινδύνων για την ασφάλεια που σχετίζονται με τα δίκτυα 5G. Τα μέτρα μπορούν να υλοποιούνται μέσω εθνικών και/ή ενωσιακών δράσεων, ανάλογα με το συγκεκριμένο μέτρο και τις δράσεις. Ορισμένα μέτρα μπορούν να θεσπίζονται ή να ενισχύονται άμεσα σε εθνικό επίπεδο, ενώ άλλα μπορούν να απαιτήσουν περαιτέρω ή κοινή δράση σε επίπεδο ΕΕ, σύμφωνα με τις αντίστοιχες εθνικές και ενωσιακές αρμοδιότητες.

Αντιμετωπίζει η εργαλειοθήκη τον κίνδυνο παρεμβολών από τρίτη χώρα;

Η εργαλειοθήκη εξετάζει όλους τους κινδύνους που εντοπίστηκαν στη συντονισμένη από την ΕΕ εκτίμηση επικινδυνότητας, συμπεριλαμβανομένων των κινδύνων που σχετίζονται με την παρεμβολή τρίτης χώρας μέσω της αλυσίδας εφοδιασμού 5G. Δεν στοχεύει συγκεκριμένα κάποιον προμηθευτή ή κάποια χώρα. Για να μετριαστεί αυτός ο ιδιαίτερος κίνδυνος, η εργαλειοθήκη συνιστά σε όλα τα κράτη μέλη να λαμβάνουν τα ακόλουθα μέτρα:

1. να αξιολογούν το προφίλ κινδύνου των προμηθευτών, λαμβάνοντας υπόψη τα κριτήρια που καθορίζονται στη συντονισμένη από την ΕΕ εκτίμηση επικινδυνότητας·
2. κατά συνέπεια, να εφαρμόζουν συναφείς περιορισμούς για τους προμηθευτές που θεωρούνται υψηλού κινδύνου –συμπεριλαμβανομένων των απαραίτητων αποκλεισμών ώστε να μετριάζουν αποτελεσματικά τους κινδύνους– για βασικά στοιχεία ενεργητικού που ορίζονται ως κρίσιμης σημασίας και ευαίσθητα (π.χ. λειτουργίες κεντρικού δικτύου, λειτουργίες διαχείρισης και συντονισμού («ενορχήστρωσης») του δικτύου και λειτουργίες δικτύου πρόσβασης).

Πώς συμπληρώνει η ανακοίνωση της Επιτροπής την εργαλειοθήκη της ΕΕ;

Η ανακοίνωση της Επιτροπής εγκρίνει την εργαλειοθήκη της ΕΕ και προτείνει μια μελλοντική πορεία για την εφαρμογή της. Επιπλέον, η Επιτροπή θα ενεργήσει, όπως ζητήθηκε στην εργαλειοθήκη, χρησιμοποιώντας, όπου είναι σκόπιμο, όλα τα μέσα που έχει στη διάθεσή της για να κατοχυρώσει την ασφάλεια της υποδομής και της αλυσίδας εφοδιασμού 5G. Εδώ περιλαμβάνονται:

• οι κανόνες για τις τηλεπικοινωνίες και την κυβερνοασφάλεια, π.χ. στήριξη στο πλαίσιο των κανόνων για τις ηλεκτρονικές επικοινωνίες, συμπεριλαμβανομένης της εξέτασης των εκτελεστικών πράξεων σχετικά με τεχνικά και οργανωτικά μέτρα ασφάλειας·
• ο συντονισμός για την τυποποίηση, π.χ. όσον αφορά τη συμμετοχή σε οργανισμούς τυποποίησης και την προώθηση της διαλειτουργικότητας μέσω ανοικτών διεπαφών·
• η πιστοποίηση σε επίπεδο ΕΕ, στο πλαίσιο της πράξης της ΕΕ για την κυβερνοασφάλεια·
• ο έλεγχος των άμεσων ξένων επενδύσεων για την προστασία της ευρωπαϊκής αλυσίδας εφοδιασμού 5G·
• μέσα εμπορικής άμυνας· η παρακολούθηση της αγοράς και η ανάληψη δράσης για την προστασία των φορέων της ΕΕ στην αγορά 5G έναντι πιθανών πρακτικών στρέβλωσης του εμπορίου (ντάμπινγκ ή επιδοτήσεων)·
• οι κανόνες ανταγωνισμού η παρακολούθηση της αγοράς για τη διασφάλιση ανταγωνιστικών αποτελεσμάτων, μεταξύ άλλων σε σχέση με πιθανές καταστάσεις εξάρτησης·
• οι δημόσιες συμβάσεις, διασφαλίζοντας, αφενός, ότι δίνεται η δέουσα προσοχή στις πτυχές ασφάλειας κατά την ανάθεση δημόσιων συμβάσεων, καθώς και μέσω χρηματοδοτικών προγραμμάτων της ΕΕ και, αφετέρου, ότι οι δικαιούχοι συμμορφώνονται με τις σχετικές απαιτήσεις ασφάλειας·
• η πλήρης αξιοποίηση των πλαισίων αντιμετώπισης συμβάντων και διαχείρισης κρίσεων σε επίπεδο ΕΕ, ως απόκριση σε μεγάλης κλίμακας συμβάντα κυβερνοασφάλειας·
• η αύξηση των επενδύσεων σε τεχνολογίες έρευνας και καινοτομίας και τεχνολογίες ανάπτυξης

Ποια μέσα είναι διαθέσιμα σε επίπεδο ΕΕ για την προστασία των δικτύων 5G;

Η ΕΕ διαθέτει ήδη ένα φάσμα μέσων για την προστασία των δικτύων ηλεκτρονικών επικοινωνιών:

• Βάσει του πλαισίου της ΕΕ για τις τηλεπικοινωνίες, μπορούν να επιβάλλονται υποχρεώσεις στους φορείς εκμετάλλευσης τηλεπικοινωνιών. Τα κράτη μέλη οφείλουν να διασφαλίζουν την ακεραιότητα και την ασφάλεια των δημόσιων δικτύων επικοινωνιών, καθώς και το ότι τα δημόσια δίκτυα ή υπηρεσίες επικοινωνιών θα λαμβάνουν μέτρα για τη διαχείριση των κινδύνων ασφάλειας. Το νέο πλαίσιο τηλεπικοινωνιών προβλέπει επίσης ότι οι αρμόδιες εθνικές ρυθμιστικές αρχές διαθέτουν αρμοδιότητες να εκδίδουν δεσμευτικές οδηγίες και να διασφαλίζουν τη συμμόρφωση με αυτές.
• Ο Ευρωπαϊκός Κώδικας Ηλεκτρονικών Επικοινωνιών που θα αντικαταστήσει το ισχύον πλαίσιο από την 21η Δεκεμβρίου 2020 διατηρεί και επεκτείνει τις διατάξεις ασφαλείας του τρέχοντος πλαισίου και εισάγει ορισμούς σχετικά με την ασφάλεια των δικτύων και των υπηρεσιών και τα συμβάντα στον τομέα της ασφάλειας. Επιπλέον, ο εν λόγω Κώδικας προβλέπει ότι τα μέτρα ασφαλείας θα πρέπει να λαμβάνουν υπόψη όλες τις συναφείς πτυχές ορισμένων στοιχείων σε τομείς όπως η ασφάλεια δικτύων και εγκαταστάσεων, η διαχείριση συμβάντων που θέτουν σε κίνδυνο την ασφάλεια, η διαχείριση της επιχειρησιακής συνέχειας, η παρακολούθηση, ο έλεγχος και οι δοκιμές, καθώς και η συμμόρφωση με τα διεθνή πρότυπα.
• Η οδηγία NIS απαιτεί από τους φορείς εκμετάλλευσης βασικών υπηρεσιών σε άλλους τομείς (ενέργεια, χρηματοπιστωτικός τομέας, ιατροφαρμακευτικός τομέας, μεταφορές, πάροχοι ψηφιακών υπηρεσιών κ.λπ.) να λαμβάνουν τα κατάλληλα μέτρα ασφάλειας και να κοινοποιούν τα σοβαρά συμβάντα στην αρμόδια εθνική αρχή. Η οδηγία NIS προβλέπει επίσης τον συντονισμό μεταξύ των κρατών μελών σε περίπτωση διασυνοριακών συμβάντων που επηρεάζουν τους φορείς εκμετάλλευσης στο πεδίο εφαρμογής της. Το πρόγραμμα εργασίας της Επιτροπής που εγκρίθηκε σήμερα εξαγγέλλει την αναθεώρηση της οδηγίας πριν από το τέλος του 2020.
• Η πράξη για την κυβερνοασφάλεια, η οποία άρχισε να ισχύει στα τέλη Ιουνίου 2019, δημιουργεί ένα πλαίσιο για τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας για προϊόντα, διεργασίες και υπηρεσίες. Από τη στιγμή που θα τεθούν σε εφαρμογή, τα συστήματα πιστοποίησης θα επιτρέπουν επίσης στους παραγωγούς να αποδεικνύουν ότι έχουν συμπεριλάβει ειδικά χαρακτηριστικά ασφαλείας στα πρώιμα στάδια του σχεδιασμού των προϊόντων, ενώ θα επιτρέπουν στους χρήστες να διαπιστώνουν το επίπεδο διασφάλισης της ασφάλειας, σε επίπεδο ΕΕ. Το πλαίσιο παρέχει ένα απαραίτητο εργαλείο στήριξης για την προώθηση συνεκτικών επιπέδων ασφάλειας. Θα επιτρέπει την ανάπτυξη συστημάτων πιστοποίησης της κυβερνοασφάλειας για να καλυφθούν οι ανάγκες των χρηστών εξοπλισμού και λογισμικού σχετικών με το 5G.
• Επιπλέον, η Επιτροπή θα υποστηρίξει την εφαρμογή της εργαλειοθήκης της ΕΕ και θα ενεργήσει, όπως ζητήθηκε από τα κράτη μέλη, αξιοποιώντας όλα τα μέσα που έχει στη διάθεσή της για να διασφαλίσει την ασφάλεια της υποδομής και της αλυσίδας εφοδιασμού 5G, κατά περίπτωση (βλ. προηγούμενη ερώτηση).

Ποια είναι τα επόμενα βήματα;

Όπως συνιστάται από τη συνεργασία NIS και επιβεβαιώνεται με την ανακοίνωση της Επιτροπής, οι εργασίες θα συνεχιστούν στο πλαίσιο της ομάδας συνεργασίας NIS. Συγκεκριμένα:

1. Η Επιτροπή καλεί τα κράτη μέλη να αναλάβουν συγκεκριμένες και ποσοτικά αποτιμήσιμες ενέργειες για την υλοποίηση σειράς βασικών μέτρων έως τις 30 Απριλίου 2020.
2. Η Επιτροπή καλεί την ομάδα συνεργασίας NIS να συντάξει έκθεση για την κατάσταση εφαρμογής των ανωτέρω μέτρων σε κάθε κράτος μέλος έως τις 30 Ιουνίου 2020.
3. Έως την 1η Οκτωβρίου 2020, τα κράτη μέλη, σε συνεργασία με την Επιτροπή, θα πρέπει να αξιολογήσουν τα αποτελέσματα της σύστασης της Επιτροπής του Μαρτίου 2019, ώστε να προσδιορισθεί εάν χρειάζεται να αναληφθεί περαιτέρω δράση.

Η Επιτροπή θα εξακολουθήσει να παρέχει την πλήρη στήριξή της στις σχετικές εργασίες, από κοινού με τον Οργανισμό της ΕΕ για την Κυβερνοασφάλεια.