Digital sikkerhet i forbindelse med 5G-nett
Kommisjonsrekommandasjon (EU) 2019/534 av 26. mars 2019. Digital sikkerhet i forbindelse med 5G-nett
Commission Recommendation (EU) 2019/534 of 26 March 2019. Cybersecurity of 5G networks
Kommisjonsrekommandasjon publisert i EU-tidende 29.3.2019
Bakgrunn
BAKGRUNN (fra Kommisjonens pressemelding 26.3.2019)
Europa-Kommissionen anbefaler fælles EU-tilgang til sikkerheden i 5G-net
Europa-Kommissionen har i dag anbefalet en række operationelle skridt og foranstaltninger til at sikre et højt cybersikkerhedsniveau for 5G-net i hele EU.
Den femte generation (5G) af nettet vil i fremtiden udgøre rygraden i vores samfund og økonomier ved at forbinde milliarder af objekter og systemer, herunder i vigtige sektorer som energi, transport, bank- og sundhedsvæsen, samt industrielle kontrolsystemer, der indeholder følsomme oplysninger, og som understøtter sikkerhedssystemer. Demokratiske processer såsom valg bliver mere og mere afhængige af digital infrastruktur og af 5G-net, hvilket understreger behovet for at afhjælpe eventuelle svagheder og gør Kommissionens henstillinger desto mere relevante forud for valget til Europa-Parlamentet i maj.
Som følge af den støtte, som stats- og regeringscheferne gav udtryk for på Det Europæiske Råds møde den 22. marts om en fælles tilgang til sikkerheden i 5G-net, anbefaler Europa-Kommissionen i dag en række konkrete foranstaltninger til vurdering af cybersikkerhedsrisiciene i 5G-net og til styrkelse af de forebyggende foranstaltninger. Anbefalingerne i henstillingen er en kombination af lovgivningsmæssige og politiske instrumenter, der har til formål at beskytte vores økonomier, samfund og demokratiske systemer. Med globale 5G-indtægter, der i 2025 anslås til 225 mia. EUR, er 5G vigtigt for Europas konkurrenceevne på det globale marked, og dets cybersikkerhed er afgørende for at sikre Unionens strategiske autonomi.
Næstformand Andrus Ansip med ansvar for det digitale indre marked udtaler: "5G-teknologien vil ændre vores økonomi og samfund og give både vores borgere og virksomheder utrolig mange muligheder. Men vi kan ikke acceptere, at det sker uden en fuldt indbygget sikkerhed. Det er derfor afgørende, at 5G-infrastrukturen i EU er modstandsdygtig og fuldstændig sikret mod tekniske eller juridiske bagdøre."
Kommissær med ansvar for sikkerhedsunionen, Julian King, erklærer: "En robust digital infrastruktur er afgørende for regeringen og erhvervslivet samt for sikkerheden af vores personoplysninger og for vores demokratiske institutioners funktionsdygtighed. Vi er nødt til at udvikle en europæisk tilgang til at beskytte integriteten i 5G-nettet, som bliver det digitale rørsystem mellem vores indbyrdes forbundne liv."
Kommissær med ansvar for den digitale økonomi og det digitale samfund, Mariya Gabriel, tilføjer: "Beskyttelsen af 5G-net har til formål at beskytte den infrastruktur, der understøtter vigtige samfundsmæssige og økonomiske funktioner — f.eks. energi, transport, bank-og sundhedsvæsen samt fremtidens langt mere automatiserede fabrikker. Det betyder også, at vi skal beskytte vores demokratiske processer såsom valg mod indblanding og spredning af desinformation."
Enhver sårbarhed i 5G-nettet eller et fremtidigt cyberangreb rettet mod nettet i én medlemsstat, vil berøre hele Unionen. Derfor skal samordnede foranstaltninger på både nationalt og europæisk plan sikre et højt cybersikkerhedsniveau.
Henstillingen fra i dag indeholder en række operationelle foranstaltninger:
1. På nationalt plan
Hver medlemsstat bør inden udgangen af juni 2019 have færdiggjort en national risikovurdering af 5G-netinfrastrukturen. På dette grundlag bør medlemsstaterne ajourføre de gældende sikkerhedskrav til netværkstjenesteyderne og indføre betingelser, der garanterer sikkerheden i offentlige net, navnlig når der tildeles brugsrettigheder til radiofrekvenser i 5G-frekvensbånd. Foranstaltningerne bør omfatte strengere forpligtelser for leverandører og operatører til at garantere nettenes sikkerhed. I de nationale risikovurderinger og foranstaltninger bør der tages højde for forskellige risikofaktorer, såsom tekniske risici og risici forbundet med adfærden hos leverandører eller operatører, herunder fra tredjelande. De nationale risikovurderinger vil være af vigtig betydning for udarbejdelsen af en koordineret EU-risikovurdering.
EU's medlemsstater har ret til at udelukke virksomheder fra deres markeder af hensyn til den nationale sikkerhed, hvis virksomhederne ikke overholder landets standarder og retlige rammer.
2. På EU-plan
Medlemsstaterne bør udveksle oplysninger med hinanden og med støtte fra Kommissionen og Det Europæiske Agentur for Cybersikkerhed (ENISA) færdiggøre en koordineret risikovurdering senest den 1. oktober 2019. På dette grundlag vil medlemsstaterne blive enige om en række afbødende foranstaltninger, der kan anvendes på nationalt plan. Disse kan omfatte certificeringskrav, prøver, kontroller samt indkredsning af produkter eller leverandører, der betragtes som potentielt ikke-sikre. Dette arbejde vil med støtte fra Kommissionen og ENISA blive udført af den samarbejdsgruppe af kompetente myndigheder, som blev oprettet ved direktivet om sikkerhed i net- og informationssystemer. Dette koordinerede arbejde bør understøtte medlemsstaternes indsats på nationalt plan og fungere som rettesnor for Kommissionen vedrørende eventuelle yderligere tiltag på EU-plan. Derudover bør medlemsstaterne udarbejde særlige sikkerhedskrav, der kan finde anvendelse ved offentlige indkøb i forbindelse med 5G-net, herunder obligatoriske krav om at indføre cybersikkerhedscertificeringsordninger.
I henstillingen fra i dag foreslås det at anvende den brede vifte af instrumenter, der allerede er oprettet eller opnået enighed om, for at styrke den fælles indsats mod cyberangreb og gøre det muligt for EU at stå sammen om at beskytte sin økonomi og sit samfund, bl.a. gennem den første EU-dækkende lovgivning om cybersikkerhed (direktivet om sikkerhed i net- og informationssystemer), forordningen om cybersikkerhed, der for nylig blev godkendt af Europa-Parlamentet, og de nye telekommunikationsregler. Henstillingen hjælper medlemsstaterne med at gennemføre disse nye instrumenter vedrørende sikkerheden i 5G på mere sammenhængende vis.
På cybersikkerhedsområdet bør den fremtidige europæiske ramme for cybersikkerhedscertificering af digitale produkter, processer og tjenester som omhandlet i forordningen om cybersikkerhed være et væsentligt hjælperedskab til at sikre et ensartet sikkerhedsniveau. Medlemsstaterne bør i deres gennemførelse også straks arbejde aktivt sammen med alle andre involverede interessenter i udarbejdelsen af særlige EU-dækkende certificeringsordninger i tilknytning til 5G. Når ordningerne er indført, bør medlemsstaterne ved hjælp af tekniske forskrifter gøre certificeringen på området obligatorisk.
På telekommunikationsområdet skal medlemsstaterne sikre, at de offentlige kommunikationsnets integritet og sikkerhed opretholdes, herunder er de forpligtede til at sikre, at operatører træffer tekniske og organisatoriske foranstaltninger for på passende vis at håndtere risiciene for sikkerheden i deres net og tjenester.
Næste skridt
• Medlemsstaterne bør senest den 30. juni 2019 færdiggøre deres nationale risikovurderinger og ajourføre de nødvendige sikkerhedsforanstaltninger. De nationale risikovurderinger bør senest den 15. juli 2019 fremsendes til Kommissionen og Det Europæiske Agentur for Cybersikkerhed.
• Sideløbende hermed påbegynder medlemsstaterne og Kommissionen koordineringsarbejdet i NIS-samarbejdsgruppen. ENISA udfærdiger i forbindelse med 5G et trusselsbillede, som medlemsstaterne kan bruge som grundlag til senest den 1. oktober 2019 at give deres samlede EU-risikovurdering.
• Senest den 31. december 2019 bør NIS-samarbejdsgruppen nå til enighed om afbødende foranstaltninger til at forebygge de cybersikkerhedsrisici, der er blevet udpeget på nationalt plan og EU-plan.
• Når forordningen om cybersikkerhed, som Europa-Parlamentet for nylig har godkendt, i de kommende uger træder i kraft, vil Kommissionen og ENISA oprette den EU-dækkende certificeringsramme. Medlemsstaterne opfordres til at samarbejde med Kommissionen og ENISA om at prioritere oprettelsen af en certificeringsordning for 5G-net og -udstyr.
• Senest den 1. oktober 2020 bør medlemsstaterne i samarbejde med Kommissionen vurdere virkningerne af henstillingen for at fastlægge, om det er nødvendigt med yderligere tiltag. I vurderingen bør der tages højde for resultatet af den koordinerede EU-risikovurdering samt EU-værktøjskassens effektivitet.
Baggrund
Det Europæiske Råd giver i sine konklusioner af 22. marts sin støtte til Kommissionens henstilling om en fælles tilgang til sikkerheden i forbindelse med 5G-net. Europa-Parlamentet opfordrer i sin beslutning om sikkerhedstrusler i forbindelse med Kinas stigende teknologiske tilstedeværelse i Unionen, som blev vedtaget den 12. marts, ligeledes Kommissionen og medlemsstaterne til at træffe foranstaltninger på EU-plan.
Cybersikkerheden i forbindelse med 5G-net er desuden afgørende for at sikre Unionens strategiske autonomi, som det fremhæves i den fælles meddelelse "Forbindelserne mellem EU og Kina i et strategisk perspektiv". Derfor er det vigtigt og presserende at gennemgå og styrke de gældende sikkerhedsregler på området for at sikre, at de afspejler 5G-nettenes strategiske betydning og trusselsudviklingen, herunder det stigende antal cyberangreb, som bliver stadig mere sofistikerede. 5G er et vigtigt aktiv for Europa i konkurrencen på det globale marked. På verdensplan vil 5G-indtægterne i 2025 nå op på et beløb svarende til 225 mia. EUR. I en anden kilde anføres det, at fordelene ved at etablere 5G i fire vigtige industrisektorer, nemlig bil-, sundheds-, transport- og energisektoren, kan nå op på 114 mia. EUR om året.
Yderligere oplysninger
Henstilling vedrørende cybersikkerheden i forbindelse med 5G-net
Spørgsmål og svar
Sikkerhedsunionen: Enighed om 15 ud af 22 lovgivningsinitiativer vedrørende sikkerhedsunionen indtil videre
Pressemeddelelse: EU-forhandlere når til enighed om at styrke Europas cybersikkerhed
Pressemeddelelse: Fælles meddelelse "Forbindelserne mellem EU og Kina i et strategisk perspektiv"
Europa-Kommissionen anbefaler fælles EU-tilgang til sikkerheden i 5G-net
Europa-Kommissionen har i dag anbefalet en række operationelle skridt og foranstaltninger til at sikre et højt cybersikkerhedsniveau for 5G-net i hele EU.
Den femte generation (5G) af nettet vil i fremtiden udgøre rygraden i vores samfund og økonomier ved at forbinde milliarder af objekter og systemer, herunder i vigtige sektorer som energi, transport, bank- og sundhedsvæsen, samt industrielle kontrolsystemer, der indeholder følsomme oplysninger, og som understøtter sikkerhedssystemer. Demokratiske processer såsom valg bliver mere og mere afhængige af digital infrastruktur og af 5G-net, hvilket understreger behovet for at afhjælpe eventuelle svagheder og gør Kommissionens henstillinger desto mere relevante forud for valget til Europa-Parlamentet i maj.
Som følge af den støtte, som stats- og regeringscheferne gav udtryk for på Det Europæiske Råds møde den 22. marts om en fælles tilgang til sikkerheden i 5G-net, anbefaler Europa-Kommissionen i dag en række konkrete foranstaltninger til vurdering af cybersikkerhedsrisiciene i 5G-net og til styrkelse af de forebyggende foranstaltninger. Anbefalingerne i henstillingen er en kombination af lovgivningsmæssige og politiske instrumenter, der har til formål at beskytte vores økonomier, samfund og demokratiske systemer. Med globale 5G-indtægter, der i 2025 anslås til 225 mia. EUR, er 5G vigtigt for Europas konkurrenceevne på det globale marked, og dets cybersikkerhed er afgørende for at sikre Unionens strategiske autonomi.
Næstformand Andrus Ansip med ansvar for det digitale indre marked udtaler: "5G-teknologien vil ændre vores økonomi og samfund og give både vores borgere og virksomheder utrolig mange muligheder. Men vi kan ikke acceptere, at det sker uden en fuldt indbygget sikkerhed. Det er derfor afgørende, at 5G-infrastrukturen i EU er modstandsdygtig og fuldstændig sikret mod tekniske eller juridiske bagdøre."
Kommissær med ansvar for sikkerhedsunionen, Julian King, erklærer: "En robust digital infrastruktur er afgørende for regeringen og erhvervslivet samt for sikkerheden af vores personoplysninger og for vores demokratiske institutioners funktionsdygtighed. Vi er nødt til at udvikle en europæisk tilgang til at beskytte integriteten i 5G-nettet, som bliver det digitale rørsystem mellem vores indbyrdes forbundne liv."
Kommissær med ansvar for den digitale økonomi og det digitale samfund, Mariya Gabriel, tilføjer: "Beskyttelsen af 5G-net har til formål at beskytte den infrastruktur, der understøtter vigtige samfundsmæssige og økonomiske funktioner — f.eks. energi, transport, bank-og sundhedsvæsen samt fremtidens langt mere automatiserede fabrikker. Det betyder også, at vi skal beskytte vores demokratiske processer såsom valg mod indblanding og spredning af desinformation."
Enhver sårbarhed i 5G-nettet eller et fremtidigt cyberangreb rettet mod nettet i én medlemsstat, vil berøre hele Unionen. Derfor skal samordnede foranstaltninger på både nationalt og europæisk plan sikre et højt cybersikkerhedsniveau.
Henstillingen fra i dag indeholder en række operationelle foranstaltninger:
1. På nationalt plan
Hver medlemsstat bør inden udgangen af juni 2019 have færdiggjort en national risikovurdering af 5G-netinfrastrukturen. På dette grundlag bør medlemsstaterne ajourføre de gældende sikkerhedskrav til netværkstjenesteyderne og indføre betingelser, der garanterer sikkerheden i offentlige net, navnlig når der tildeles brugsrettigheder til radiofrekvenser i 5G-frekvensbånd. Foranstaltningerne bør omfatte strengere forpligtelser for leverandører og operatører til at garantere nettenes sikkerhed. I de nationale risikovurderinger og foranstaltninger bør der tages højde for forskellige risikofaktorer, såsom tekniske risici og risici forbundet med adfærden hos leverandører eller operatører, herunder fra tredjelande. De nationale risikovurderinger vil være af vigtig betydning for udarbejdelsen af en koordineret EU-risikovurdering.
EU's medlemsstater har ret til at udelukke virksomheder fra deres markeder af hensyn til den nationale sikkerhed, hvis virksomhederne ikke overholder landets standarder og retlige rammer.
2. På EU-plan
Medlemsstaterne bør udveksle oplysninger med hinanden og med støtte fra Kommissionen og Det Europæiske Agentur for Cybersikkerhed (ENISA) færdiggøre en koordineret risikovurdering senest den 1. oktober 2019. På dette grundlag vil medlemsstaterne blive enige om en række afbødende foranstaltninger, der kan anvendes på nationalt plan. Disse kan omfatte certificeringskrav, prøver, kontroller samt indkredsning af produkter eller leverandører, der betragtes som potentielt ikke-sikre. Dette arbejde vil med støtte fra Kommissionen og ENISA blive udført af den samarbejdsgruppe af kompetente myndigheder, som blev oprettet ved direktivet om sikkerhed i net- og informationssystemer. Dette koordinerede arbejde bør understøtte medlemsstaternes indsats på nationalt plan og fungere som rettesnor for Kommissionen vedrørende eventuelle yderligere tiltag på EU-plan. Derudover bør medlemsstaterne udarbejde særlige sikkerhedskrav, der kan finde anvendelse ved offentlige indkøb i forbindelse med 5G-net, herunder obligatoriske krav om at indføre cybersikkerhedscertificeringsordninger.
I henstillingen fra i dag foreslås det at anvende den brede vifte af instrumenter, der allerede er oprettet eller opnået enighed om, for at styrke den fælles indsats mod cyberangreb og gøre det muligt for EU at stå sammen om at beskytte sin økonomi og sit samfund, bl.a. gennem den første EU-dækkende lovgivning om cybersikkerhed (direktivet om sikkerhed i net- og informationssystemer), forordningen om cybersikkerhed, der for nylig blev godkendt af Europa-Parlamentet, og de nye telekommunikationsregler. Henstillingen hjælper medlemsstaterne med at gennemføre disse nye instrumenter vedrørende sikkerheden i 5G på mere sammenhængende vis.
På cybersikkerhedsområdet bør den fremtidige europæiske ramme for cybersikkerhedscertificering af digitale produkter, processer og tjenester som omhandlet i forordningen om cybersikkerhed være et væsentligt hjælperedskab til at sikre et ensartet sikkerhedsniveau. Medlemsstaterne bør i deres gennemførelse også straks arbejde aktivt sammen med alle andre involverede interessenter i udarbejdelsen af særlige EU-dækkende certificeringsordninger i tilknytning til 5G. Når ordningerne er indført, bør medlemsstaterne ved hjælp af tekniske forskrifter gøre certificeringen på området obligatorisk.
På telekommunikationsområdet skal medlemsstaterne sikre, at de offentlige kommunikationsnets integritet og sikkerhed opretholdes, herunder er de forpligtede til at sikre, at operatører træffer tekniske og organisatoriske foranstaltninger for på passende vis at håndtere risiciene for sikkerheden i deres net og tjenester.
Næste skridt
• Medlemsstaterne bør senest den 30. juni 2019 færdiggøre deres nationale risikovurderinger og ajourføre de nødvendige sikkerhedsforanstaltninger. De nationale risikovurderinger bør senest den 15. juli 2019 fremsendes til Kommissionen og Det Europæiske Agentur for Cybersikkerhed.
• Sideløbende hermed påbegynder medlemsstaterne og Kommissionen koordineringsarbejdet i NIS-samarbejdsgruppen. ENISA udfærdiger i forbindelse med 5G et trusselsbillede, som medlemsstaterne kan bruge som grundlag til senest den 1. oktober 2019 at give deres samlede EU-risikovurdering.
• Senest den 31. december 2019 bør NIS-samarbejdsgruppen nå til enighed om afbødende foranstaltninger til at forebygge de cybersikkerhedsrisici, der er blevet udpeget på nationalt plan og EU-plan.
• Når forordningen om cybersikkerhed, som Europa-Parlamentet for nylig har godkendt, i de kommende uger træder i kraft, vil Kommissionen og ENISA oprette den EU-dækkende certificeringsramme. Medlemsstaterne opfordres til at samarbejde med Kommissionen og ENISA om at prioritere oprettelsen af en certificeringsordning for 5G-net og -udstyr.
• Senest den 1. oktober 2020 bør medlemsstaterne i samarbejde med Kommissionen vurdere virkningerne af henstillingen for at fastlægge, om det er nødvendigt med yderligere tiltag. I vurderingen bør der tages højde for resultatet af den koordinerede EU-risikovurdering samt EU-værktøjskassens effektivitet.
Baggrund
Det Europæiske Råd giver i sine konklusioner af 22. marts sin støtte til Kommissionens henstilling om en fælles tilgang til sikkerheden i forbindelse med 5G-net. Europa-Parlamentet opfordrer i sin beslutning om sikkerhedstrusler i forbindelse med Kinas stigende teknologiske tilstedeværelse i Unionen, som blev vedtaget den 12. marts, ligeledes Kommissionen og medlemsstaterne til at træffe foranstaltninger på EU-plan.
Cybersikkerheden i forbindelse med 5G-net er desuden afgørende for at sikre Unionens strategiske autonomi, som det fremhæves i den fælles meddelelse "Forbindelserne mellem EU og Kina i et strategisk perspektiv". Derfor er det vigtigt og presserende at gennemgå og styrke de gældende sikkerhedsregler på området for at sikre, at de afspejler 5G-nettenes strategiske betydning og trusselsudviklingen, herunder det stigende antal cyberangreb, som bliver stadig mere sofistikerede. 5G er et vigtigt aktiv for Europa i konkurrencen på det globale marked. På verdensplan vil 5G-indtægterne i 2025 nå op på et beløb svarende til 225 mia. EUR. I en anden kilde anføres det, at fordelene ved at etablere 5G i fire vigtige industrisektorer, nemlig bil-, sundheds-, transport- og energisektoren, kan nå op på 114 mia. EUR om året.
Yderligere oplysninger
Henstilling vedrørende cybersikkerheden i forbindelse med 5G-net
Spørgsmål og svar
Sikkerhedsunionen: Enighed om 15 ud af 22 lovgivningsinitiativer vedrørende sikkerhedsunionen indtil videre
Pressemeddelelse: EU-forhandlere når til enighed om at styrke Europas cybersikkerhed
Pressemeddelelse: Fælles meddelelse "Forbindelserne mellem EU og Kina i et strategisk perspektiv"