5G Toolbox zawiera środki zaradcze mające skutecznie ograniczyć ryzyka zidentyfikowane w raporcie z 9 października 2019 r. „Skoordynowana ocena ryzyka cyberbezpieczeństwa sieci 5G w UE”, który powstał w oparciu o analizy przedłożone przez poszczególne Państwa UE. Jednocześnie Komisja przyjęła Komunikat COM (2020)50: „Bezpieczne wprowadzanie sieci 5G w UE - wdrażanie unijnego zestawu narzędzi”[v]. Wezwała w nim Państwa członkowskie do podjęcia niezwłocznych działań w celu skutecznego i obiektywnego wdrożenia środków uzgodnionych w ramach 5G Toolbox oraz do kontynuowania współpracy, przy wsparciu Komisji i ENISA, w celu zapewnienia koordynacji na szczeblu UE.
Środki strategiczne przewidziane w 5G Toolbox obejmują: zwiększenie uprawnień organów regulacyjnych do kontroli nabywania urządzeń sieciowych, w tym przeprowadzania audytów, ocenianie profili ryzyka dostawców, stosowanie odpowiednich ograniczeń w odniesieniu do dostawców stwarzających wysokie ryzyko, w tym niezbędnych wyłączeń w odniesieniu do zasobów i aktywów uznanych za krytyczne lub wrażliwe, jak również możliwe inicjatywy mające na celu promowanie zrównoważonego i zdywersyfikowanego łańcucha dostaw. Mają one zapobiec ryzyku systemowego i długoterminowego uzależnienia od konkretnych dostawców.[vi]
Z kolei środki techniczne mają na celu zwiększenie bezpieczeństwa sieci i urządzeń 5G poprzez przeciwdziałanie ryzyku, którego źródłem są technologie, procesy, czynniki ludzkie i fizyczne. Wśród nich wskazuje się na konieczność certyfikacji sprzętu, zwiększenie kontroli fizycznego dostępu, ewaluację i zapewnienie właściwych standardów bezpieczeństwa sieci 5G.
W 5G Toolbox przewidziano również działania wspierające w stosunku do środków strategicznych i technicznych, zwiększające ich skuteczność. W ramach tych działań zaproponowano propagowanie i wspieranie dotychczasowych standardów 3GPP[vii] oraz promowanie programów certyfikacji.
W tym zakresie w 5G Toolbox wskazano następujące elementy, tj.:
- ustanowienie jednoznacznych kryteriów oceny, mając na uwadze prawdopodobieństwo ingerencji ze strony państwa trzeciego w działalność dostawcy[viii] i konkretne informacje o ryzyku dotyczącym poszczególnych państw (np. ocena zagrożenia przez służby specjalne) dla krajowych organów regulacyjnych i operatorów telekomunikacyjnych;
- przeprowadzenie wnikliwej i dokładnej analizy ryzyka poszczególnych dostawców na poziomie krajowym oraz UE (wspólnie z innymi państwami UE lub operatorami);
- w oparciu o ocenę profilu ryzyka, zastosowanie ograniczeń, w tym niezbędnych wykluczeń, w celu skutecznego zmniejszenia ryzyka dotyczącego aktywów uznanych za krytyczne lub wrażliwe, zgodnie ze Skoordynowaną oceną ryzyka UE cyberbezpieczeństwa sieci 5G w UE[ix];
- opracowanie odpowiednich narzędzi kontrolnych oraz procesów zarządzania potencjalnymi ryzykami rezydualnymi, umożliwiającymi kontrolę łańcuchów dostaw, zarządzenie ryzykiem oraz weryfikację praktyk bezpieczeństwa dostawców.
Choć zgodnie z Komunikatem Komisji Europejskiej ogłoszonym razem z publikacją 5G Toolbox, w którym wskazano, że ocena profili ryzyka dostawców „powinna być przeprowadzana wyłącznie w oparciu o przesłanki bezpieczeństwa i na podstawie obiektywnych kryteriów”, środek ten budzi poważne zastrzeżenia także z perspektywy przepisów Traktatu o Funkcjonowaniu Unii Europejskiej. Niewłaściwa interpretacja propozycji zawartych w 5G Toolbox w zakresie oceny profili dostawców sprzętu i nieuzasadnione wykluczenie może prowadzić do naruszeń podstawowych wolności wynikających z TFUE, w szczególności swobody przepływu towarów i usług (w zakresie w jakim ewentualne ograniczenia miałyby zastosowanie do sprzętu wyprodukowanego lub dopuszczonego do obrotu w poszczególnych państwach UE)[x]. Wątpliwości dotyczące skuteczności środków strategicznych w zakresie niwelowania ryzyk związanych z uzależnieniem od dostawców wysokiego ryzyka, zostały także wskazane przez sam NIS (Network and Information System Cooperation Group) w raporcie dotyczącym wdrożenia 5G Toolbox przez państwa członkowskie.[xi]
PRZYPISY
[v] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów Bezpieczne Wprowadzanie Sieci 5g w UE – Wdrażanie Unijnego Zestawu Narzędzi, Com/2020/50, Https://Eur-Lex.Europa.Eu/Legal-Content/Pl/Txt/?Uri=Celex:52020dc0050(30.09.2021 r.)
[vi] Załącznik nr 1 do 5G Toolbox
[vii] The 3rd Generation Partnership Project (3GPP), https://www.3gpp.org/ (30.09.2021 r.)
[viii] Pkt 2.37 Skoordynowanej oceny ryzyka UE cyberbezpieczeństwa sieci 5G w UE
[ix] 5G Toolbox, str. 21
[x] Art. 34 oraz 56 TFUE
[xi] Report on Member States’ progress in implementing the EU Toolbox on 5G Cybersecurity; https://digital-strategy.ec.europa.eu/en/library/report-member-states-progress-implementing-eu-toolbox-5g-cybersecurity
