Nie będzie formalnego zakazu używania sprzętu chińskich dostawców (w tym Huawei) w sieciach 5G w krajach Unii Europejskiej. Każdy kraj może jednak zakazać używania rozwiązań konkretnego dostawcy jeśli uzna, że nie przestrzega on przepisów prawa – wynika z ogłoszonych przez Komisję Europejską rekomendacje dotyczących wspólnego unijnego podejścia do bezpieczeństwa sieci 5G.
Pomysł opracowania wspólnych zaleceń i rekomendacji dotyczących bezpieczeństwa sieci 5G, które miałyby odpowiadać na oczekiwania ze strony rządu USA wprowadzenia zakazu używania w sieciach nowej generacji sprzętu Huawei w początku roku zgłosiła Nathalie Loiseau, francuska minister ds. europejskich. Tę propozycję poparło m.in. austriackie ministerstwo ds. technologii oraz Xavier Bettel, premier Luksemburga.
– Kierując się poparciem dla skoordynowanego podejścia do bezpieczeństwa sieci 5G, jakie szefowie państw lub rządów wyrazili na posiedzeniu Rady Europejskiej 22 marca, Komisja Europejska zaleciła dziś szereg konkretnych działań mających na celu analizę zagrożeń dla cyberbezpieczeństwa sieci 5G oraz wzmocnienie środków zapobiegawczych. Zalecenia te łączą instrumenty ustawodawcze i polityczne, które mają zapewnić ochronę naszych gospodarek, społeczeństw i systemów demokratycznych – stwierdzono w komunikacie Komisji.
Jak zauważa Komisja, „każda luka w sieciach 5G lub każdy cyberatak na przyszłe sieci w jednym państwie członkowskich będą miały wpływ na całą Unię. Dlatego też skoordynowane działania podejmowane zarówno na szczeblu krajowym, jak i na szczeblu Unii muszą gwarantować wysoki poziom cyberbezpieczeństwa”.
Komisja chce by do końca czerwca każde państwo unijne przeprowadziło ocenę ryzyka związanego z infrastrukturą sieci 5G. Na tej podstawie powinny zaktualizować dotychczasowe wymogi w zakresie bezpieczeństwa sieciowego, zwłaszcza przy przyznawaniu praw użytkowania częstotliwości radiowych w pasmach 5G. Środki te powinny obejmować nałożenie na dostawców i operatorów zaostrzonych wymogów, zobowiązujących ich do zapewnienia bezpieczeństwa sieci. Krajowe oceny ryzyka oraz środki powinny uwzględniać różne czynniki ryzyka, takie jak ryzyko techniczne oraz ryzyko związane z zachowaniem dostawców lub operatorów, w tym dostawców i operatorów z państw trzecich.
Jak stwierdzono w komunikacie KE, „państwa członkowskie UE mają prawo wykluczyć przedsiębiorstwa ze swoich rynków ze względów bezpieczeństwa narodowego, jeżeli przedsiębiorstwa te nie przestrzegają norm i przepisów obowiązujących w danym państwie”.
Krajowe oceny ryzyka powinny zostać przekazane Komisji i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) do 15 lipca 2019 r. Na szczeblu unijnym skoordynowana ocena ryzyka prowadzona wspólnie przez państwa członkowskie przy wsparciu Komisji i ENISA mają zostać ukończyć do 1 października 2019 r.
Na jej podstawie państwa członkowskie uzgodnią zestaw środków ograniczających ryzyko. Mogą obejmować np. wymóg certyfikacji, testy, kontrole, jak również wskazanie produktów lub dostawców uznanych za potencjalnie niebezpiecznych. Prace te będą prowadzone – przy wsparciu Komisji i ENISA – przez grupę współpracy skupiającą właściwe organy, utworzoną na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji.
Komisja oczekuje, że do 31 grudnia 2019 r. grupa współpracy ds. bezpieczeństwa sieci i uzgodni środki ograniczające ryzyko, które umożliwią wyeliminowanie zagrożeń dla cyberbezpieczeństwa wskazanych na szczeblu krajowym i unijnym.
