1. Вступ

2. Цілі набору інструментів

3. Існуючі рамки та заходи

3.1. Інструменти на рівні ЄС

3.2. Впровадження правил телекомунікацій ЄС на національному рівні

3.3. Стандартизація (основна робота в 3GPP)

4. Заходи та плани щодо пом'якшення наслідків

4.1. Заходи та допоміжні дії

4.2. Плани щодо зменшення ризиків

5. Використання та впровадження набору інструментів

5.1. Дії на національному рівні та/або на рівні ЄС

5.2. Реалізація планів щодо пом'якшення наслідків на національному рівні

6. Висновки та подальші дії

Додаток 1 Заходи та плани щодо зниження ризиків

Додаток 2 Короткий виклад результатів скоординованої оцінки ризиків ЄС

Мережі 5G відіграватимуть центральну роль у досягненні цифрової трансформації економіки та суспільства ЄС. Дійсно, мережі 5G мають потенціал для забезпечення широкого спектру додатків і функцій, які виходять далеко за рамки надання послуг мобільного зв'язку між кінцевими користувачами. З урахуванням того, що в 2025 році світові доходи від 5G, за оцінками, досягнуть 225 мільярдів євро-1, технології та послуги 5G є ключовим активом Європи, що дозволяє їй конкурувати на світовому ринку.

Таким чином, кібербезпека мереж 5G необхідна для захисту наших економік та суспільств і для реалізації всього потенціалу важливих можливостей, які вони надають. Це також важливо для забезпечення технологічного суверенітету Європейського Союзу.

Після того, як 22 березня 2019 року Європейська Рада висловила підтримку узгодженому підходу до забезпечення безпеки мереж 5G, Європейська Комісія 26 березня 2019 року прийняла свою Рекомендацію з кібербезпеки мереж 5G (далі "Рекомендація"). Рекомендація закликала держави-члени завершити національні оцінки ризиків та переглянути національні заходи, співпрацювати на рівні ЄС для скоординованої оцінки ризиків та підготувати набір інструментів для можливих заходів щодо пом'якшення наслідків.

Кожна держава-член завершила власну національну оцінку ризиків для своєї мережевої інфраструктури 5G та передала результати Комісії та ENISA - Агенції Європейського Союзу з кібербезпеки.

Виходячи з цих національних оцінок ризиків, 9 жовтня 2019 року держави-члени за підтримки ENISA та Європейської Комісії опублікували звіт про скоординовану оцінку ризиків ЄС у сфері кібербезпеки в мережах 5G-2. У цьому звіті визначено основні загрози та дійові особи загроз, найбільш вразливі активи, основні вразливості (включаючи технічні та інші види вразливостей, такі як правові та політичні рамки, яким можуть піддаватися постачальники обладнання для інформаційно-комунікаційних технологій у третіх країнах), а також основні пов'язані з ними ризики. На додаток до цього звіту та як додатковий матеріал для набору інструментів, ENISA провела спеціальне картографування картини загроз-3, що включає детальний аналіз певних технічних аспектів, зокрема ідентифікацію мережевих ресурсів та загроз, що впливають на них.

У висновках Ради від 3 грудня 2019 року схвалено роботу Групи держав-членів зі співробітництва в галузі мережевої та інформаційної безпеки (Група співробітництва NIS), що підтверджує результати скоординованої оцінки ризиків. Зокрема, Рада привітала "постійні спільні європейські зусилля щодо забезпечення мереж 5G, засновані, зокрема, на рекомендації Комісії з кібербезпеки мереж 5G" та наголосила на "важливості скоординованого підходу та ефективного виконання Рекомендації, щоб уникнути фрагментації на єдиному ринку". З цією метою Рада закликала держави-члени, Комісію та ENISA "вжити всіх необхідних заходів в рамках своєї компетенції для забезпечення безпеки та цілісності мереж електронних комунікацій, зокрема мереж 5G, і продовжувати зміцнювати скоординований підхід до вирішення проблем безпеки, пов'язаних з технологіями 5G".- 4

У звіті ЄС про скоординовану оцінку ризиків висвітлюється ряд важливих проблем безпеки, які, ймовірно, з'являться або стануть більш помітними в мережах 5G. Ці проблеми безпеки в основному пов'язані:

- зі зростаючими проблемами безпеки, пов'язаними з доступністю та цілісністю мереж, на додаток до проблем конфіденційності;

- з ключовими інноваціями в технології 5G (які також призведуть до ряду конкретних поліпшень у сфері безпеки), зокрема, зі збільшеною важливою роллю програмного забезпечення і широким спектром послуг та додатків, підтримуваних мережами 5G; та

- з роллю постачальників у створенні та експлуатації мереж 5G, складністю взаємозв'язків між постачальниками та операторами та ступенем залежності від окремих постачальників.

Далі у звіті робиться висновок, що ці проблеми створюють нову парадигму безпеки, що вимагає перегляду існуючої політики та рамок безпеки, що застосовуються до сектору та його екосистеми, і робить необхідним прийняття державами-членами необхідних заходів щодо пом'якшення наслідків.

Звіт про скоординовану оцінку ризиків ЄС забезпечує основу для визначення заходів щодо пом'якшення наслідків, які можуть бути застосовані на національному та європейському рівнях.

Цілями даного набору інструментів є визначення можливого загального набору заходів, які здатні знизити основні ризики кібербезпеки мереж 5G, як вони були визначені в звіті ЄС про скоординовану оцінку ризиків, і надання рекомендацій з вибору заходів, які мають бути пріоритетними в планах щодо пом'якшення наслідків на національному рівні й на рівні Європейського Союзу. Це робиться для того, щоб створити надійну систему заходів щодо забезпечення належного рівня кібербезпеки мереж 5G по всьому ЄС і скоординованих підходів між державами-членами.

Скоординована оцінка ризиків ЄС визначає ряд категорій ризиків, що мають стратегічне значення з точки зору ЄС, які ілюструються конкретними сценаріями ризиків. Вони відображають відповідні поєднання вразливостей, загроз і дійових осіб, а також виявлені активи.

Для ефективного усунення цих ризиків і підвищення безпеки та відмовостійкості мереж 5G потрібен комплексний підхід. Це передбачає впровадження ключового набору заходів, а також супутніх допоміжних дій, які можуть одночасно усувати ризики. Зрештою, ключем до забезпечення скоординованих підходів держав-членів буде ефективне здійснення заходів та дій щодо зниження ризиків у всіх державах-членах, адаптованих до відповідної ситуації в кожній державі-члені.

Цей набір інструментів також містить орієнтовну оцінку заходів, які вимагатимуть загального підходу та/або певної форми координації на рівні ЄС або виграють від них, або які можуть бути найкращим чином реалізовані в координації з іншими державами-членами або окремими державами-членами, залежно від відповідного національного контексту.

Загалом, заходи, представлені в цьому наборі інструментів, сприяють досягненню ряду важливих та взаємопідсилюючих цілей безпеки, які стосуються усунення ризиків, виявлених у звіті про оцінку ризиків, та захисту конфіденційності, цілісності та доступності мереж 5G:

• Підвищення безпеки при проєктуванні, розгортанні та експлуатації мереж;

• Підвищення базових стандартів безпеки продуктів і послуг;

• Мінімізація ризику, що випливає з профілю ризику окремих постачальників;

• Запобігання або обмеження значної залежності від будь-якого одного постачальника в мережах 5G; та

• Сприяння створенню різноманітного, конкурентоспроможного і стійкого ринку обладнання 5G, в тому числі шляхом підтримки потужностей ЄС в ланцюжку створення вартості 5G.

Зазначені заходи представлені в розділі 4 цього звіту і більш детально описані в доданих таблицях.

Метою цього розділу є визначення та опис відповідних існуючих нормативних рамок та інструментів, а також базових заходів і заходів щодо пом'якшення наслідків, які вже застосовуються, з тим щоб враховувати їх при розробці планів зниження ризиків і, можливо, також при впровадженні нових заходів.

3.1. Інструменти на рівні ЄС

3.1.1 Основні нормативні бази Союзу

ЄС використовує ряд інструментів для захисту мереж електронних комунікацій, включаючи систему телекомунікацій ЄС-5, Директиву NIS (Директива "Про безпеку мереж та інформаційних систем")-6 та Закон "Про кібербезпеку".-7 8

Відповідно до телекомунікаційної системи ЄС, відповідні держави-члени, в яких вони надають послуги, можуть накладати зобов'язання на операторів електрозв'язку. Держави-члени зобов'язані забезпечувати підтримку цілісності та безпеки мереж зв'язку загального користування і мають гарантувати, що підприємства, які надають мережі зв'язку загального користування або загальнодоступні послуги електронного зв'язку, вживають технічних та організаційних заходів для належного управління ризиками, пов'язаними з безпекою мереж і послуг-9. Рамкова програма також передбачає, що компетентні національні регуляторні органи наділені повноваженнями видавати обов'язкові до виконання інструкції та забезпечувати їх дотримання. Крім того, відповідно до Директиви 2002/20/ЄC-10, державам-членам дозволяється додавати до загального дозволу умови, що стосуються захисту мереж загального користування від несанкціонованого доступу, з метою захисту конфіденційності повідомлень відповідно до Директиви 2002/58/ЄC11.

Європейський Кодекс електронних комунікацій (EECC), який замінить діючу систему з 21 грудня 2020 року, зберігає положення про безпеку діючої системи (у розділі V, статті 40 і 41 ), а також вводить визначення безпеки мереж і послуг-12 та інцидентів безпеки. На додаток до цього, EECC передбачає, що заходи безпеки мають, як мінімум, враховувати всі відповідні аспекти певних елементів в таких галузях, як безпека мереж і обладнання, обробка інцидентів безпеки, управління безперервністю бізнесу, моніторинг, аудит і тестування, а також відповідність міжнародним стандартам-13.

Ні нинішня система, ні EECC не містять жодних положень, безпосередньо застосовних до виробників мережевого обладнання та інших постачальників послуг у ланцюжку постачань електронних комунікацій, оскільки ці постачальники не підпадають під їх дію.

Директива NIS вимагає від операторів основних послуг в інших галузях (енергетика, фінанси, охорона здоров'я, транспорт, постачальники цифрових послуг тощо) вживати належних заходів безпеки та повідомляти відповідні національні органи про серйозні інциденти. Директива NIS також передбачає координацію між державами-членами в разі транскордонних інцидентів, що зачіпають операторів, що входять в сферу її дії.

Закон "Про кібербезпеку", який набув чинності в червні 2019 року, створює основу для європейських схем сертифікації продуктів, процесів та послуг з кібербезпеки. Після введення в дію, схеми сертифікації також дозволять виробникам продемонструвати, що вони включили певні засоби захисту на ранніх етапах розробки продуктів, а користувачам - визначити рівень гарантії безпеки на рівні ЄС. Система є важливим допоміжним інструментом для забезпечення постійного рівня безпеки. Це дозволяє розробляти схеми сертифікації в галузі кібербезпеки відповідно до потреб користувачів обладнання та програмного забезпечення, пов'язаних з 5G.

3.1.2. Інші відповідні документи на рівні ЄС:

Що стосується торговельної політики, то з 11 жовтня 2020 року Регламент ЄС "Про перевірку прямих іноземних інвестицій (ПІІ)" - 14 стане інструментом для координації виявлення та усунення потенційних ризиків безпеки, пов'язаних з прямими іноземними інвестиціями в ЄС, серед іншого, в чутливих сферах, таких як критично важливі технології та інфраструктура. Застосований до набору інструментів 5G, а також для захисту ключових активів 5G і запобігання залежності, механізм перевірки ПІІ може стати важливим інструментом для регулярного та більш ефективного моніторингу динаміки припливу ПІІ в ЄС по всьому ланцюжку створення вартості 5G. Якщо конкретні зміни у сфері ПІІ підпадають під дію Регламенту, то вони можуть бути усунені, і держави-члени можуть вжити відповідних заходів щодо пом'якшення наслідків.

Крім того, ЄС використовує інструменти торговельного захисту для відновлення конкурентного середовища для промисловості ЄС, яка постраждала від демпінгового або пільгового імпорту. Зокрема, Європейська Комісія відповідає за розслідування заяв про демпінг з боку виробників-експортерів з країн, що не входять в ЄС, або в разі субсидій, що спотворюють торгівлю. Зазвичай вона починає розслідування після отримання скарги від відповідних виробників з ЄС, але може також у виняткових випадках зробити це за власною ініціативою-15.

Відповідно до чинних правил державних закупівель-16, державам-членам рекомендується укладати контракти не тільки на основі найнижчої ціни, але й враховувати якість у таких сферах, як безпека, трудові та екологічні стандарти. Більше того, вони не перешкоджають державам-членам вводити або застосовувати заходи, необхідні для захисту громадської безпеки або істотних інтересів у сфері безпеки. Тендерні заявки від учасників торгів, які не мають безпечного доступу до ринку закупівель ЄС (на основі обов'язкових міжнародних або двосторонніх угод про вільну торгівлю, що охоплюють державні закупівлі), також можуть бути виключені. Держави-члени можуть також за певних умов виключити економічного оператора, який може створити загрозу для основних інтересів національної безпеки. Крім того, у сфері оборони та безпеки, державні закупівельники не зобов'язані надавати доступ до тендерів операторам з третіх країн.

Підтримка та подальший розвиток європейського потенціалу в мережах 5G і, зокрема, в найважливіших ланках ланцюжка створення вартості за рахунок використання програм фінансування досліджень та інновацій ЄС та інструментів промислової політики є стратегічним заходом щодо зниження ризиків, пов'язаних із залежністю. Підтримка передових і амбітних програм фінансування досліджень, інновацій та впровадження, таких як Horizon Europe, Digital Europe Programme і Connecting Europe Facility (CEF), може сприяти появі конкурентоспроможних європейських постачальників, особливо в тому, що стосується процесорів і критично важливого програмного забезпечення. Програми фінансування також містять положення, пов'язані з безпекою.

До того ж, пов'язані з режимом державної допомоги ЄС, IPCEIs (важливі проєкти, що становлять спільний європейський інтерес) дозволяють об'єднати знання, експертизу, фінансові ресурси та економічних суб'єктів по всьому Європейському Союзу-17, щоб подолати важливі ринкові або системні збої та соціальні проблеми, які неможливо вирішити іншим способом. Вони покликані об'єднати зусилля державного та приватного секторів для реалізації масштабних проєктів, які дають значну користь Союзу та його громадянам.

Нарешті, інші відповідні або потенційно значущі інструменти та структури на рівні ЄС та на національному рівні містять правила захисту даних та конфіденційності (зокрема, Регламент "Про загальний захист даних" та Директиву "Про конфіденційність в електронній формі")-18, Директиву "Про радіообладнання"-19, Правила ЄС з експортного контролю-20, вимоги, що застосовуються до критично важливих інфраструктур, а також рамки, спрямовані на реагування на кіберінциденти або кризи, зокрема, План скоординованого реагування на великомасштабні інциденти і кризи в галузі кібербезпеки та Набір інструментів кібердипломатії-21.

3.2. Впровадження правил телекомунікацій ЄС на національному рівні

Відповідно до чинних правил ЄС в галузі телекомунікацій-22, держави-члени ЄС контролюють ряд вимог до безпеки для постачальників телекомунікаційних послуг. Як описано в пункті 3.1.1 вище, стаття 13a вимагає від держав-членів забезпечити, щоб:

• Постачальники телекомунікаційних послуг оцінювали ризики та вживали відповідних заходів безпеки;

• Постачальники телекомунікаційних послуг вживали заходів щодо стійкості для запобігання збоям у роботі своїх мереж та/або послуг; та

• Постачальники телекомунікаційних послуг повідомляли відповідні національні органи про значні інциденти.

Більшість національних законів, що відображають поточну правову базу ЄС, були ухвалені приблизно в 2011 році. Щодо методів нагляду та зобов'язань, держави-члени дотримувались різних підходів. Наприклад, у випадках, коли обов'язкові правила застосовуються до операторів мобільного зв'язку, вони можуть охоплювати різні види технічних та організаційних заходів. У державах-членах, де заходи безпеки додатково роз'яснюються в більш технічних і практичних деталях (нерідко за допомогою підзаконних актів), вони часто посилаються на заходи безпеки, передбачені статтею 13a "Система безпеки"-23.

На цьому етапі, за дуже невеликими винятками, національні заходи в цій галузі явно не передбачають підвищених вимог до безпеки, конкретно пов'язаних із впровадженням мереж 5G. Подібним чином, вони явно не передбачають регуляторних повноважень або зобов'язань ex ante, пов'язаних з безпекою в контексті закупівель та розгортання операторами мережевого обладнання, а також не містять положень, спрямованих на підвищення безпеки та стійкості за рахунок належного розмаїття постачальників або на усунення ризиків і вразливостей, пов'язаних з профілем ризиків окремих постачальників.

3.3. Стандартизація (основна робота в 3GPP)

Питання безпеки 5G все частіше розглядаються в роботі, що проводиться органами зі стандартизації, зокрема, в рамках робочої групи з питань сервісних та системних аспектів 3 (SA3)-24 Проєкту партнерства третього покоління (3GPP)-25. Окрім стандартів, також може бути корисно врахувати архітектуру безпеки, визначену 5G-PPP (на основі результатів 5G-Ensure), яка підкреслює важливість секторів управління.

Технології та стандарти 5G можуть підвищити безпеку в порівнянні з попередніми поколіннями мобільних мереж завдяки впровадженню ряду нових функцій, пов'язаних з безпекою, таких як більш суворі процеси автентифікації в радіоінтерфейсі. Однак не всі ці нові функції безпеки будуть активовані в мережевому обладнанні за замовчуванням, оскільки деякі з них є необов'язковими для впровадження постачальниками або для використання операторами. Таким чином, загальна ефективність цих функцій безпеки значною мірою залежатиме від того, як оператори розгортають та керують своїми мережами.

Як зазначено у звіті ЄС щодо скоординованої оцінки ризиків, робоча група SA3 також розглядає законні вимоги до перехоплення в системах 5G і має намір розробити всі специфікації, необхідні для виконання цих вимог-26.

Заходи, представлені в цьому наборі інструментів, призначені для реалізації відповідальними органами влади та відомствами країн і ЄС, кожне з яких володіє відповідними можливостями і компетенцією, які можуть варіюватися від регуляторного нагляду до ролі в забезпеченні національної безпеки.

Відповідно до звіту ЄС про скоординовану оцінку ризиків, ці заходи стосуються відповідних зацікавлених сторін у сфері безпеки в екосистемі 5G-27, насамперед, операторів мобільного зв'язку (MNO)-28 та їхніх постачальників, зокрема виробників телекомунікаційного обладнання.

З одного боку, оператори мобільного зв'язку відіграють центральну роль у прийнятті рішень, що дає їм можливість впливати на загальну безпеку своїх мереж. З іншого боку, виробники телекомунікаційного обладнання несуть відповідальність за надання програмного та апаратного забезпечення, необхідного для роботи мереж.

Наведені нижче заходи та їх опис ґрунтуються на відповідних висновках звіту ЄС про скоординовану оцінку ризиків. Зокрема:

- У випадках, коли заходи стосуються критичних або чутливих компонентів або функцій мережі, ідентифікація цих компонентів або функцій має базуватися на класифікації високого рівня чутливості активів, визначеній у звіті ЄС про скоординовану оцінку ризиків, та відповідати їй (див. додаток 2 до цього набору інструментів та пункт 2.21 звіту ЄС про скоординовану оцінку ризиків).

- У тих випадках, коли заходи стосуються профілю ризиків окремих постачальників, при оцінці профілю ризиків слід враховувати фактори, визначені в скоординованій оцінці ризиків ЄС-29 (див. додаток 2 до цього набору інструментів та пункт 2.37 звіту ЄС про скоординовану оцінку ризиків).

4.1. Заходи та допоміжні дії

Заходи щодо пом'якшення наслідків згруповані у дві основні категорії: стратегічні та технічні.

Ці заходи (детально викладені в додатку 1, таблиця 1) можуть бути використані для зменшення ризиків, визначених у звіті ЄС про скоординовану оцінку ризиків. Вони можуть бути доповнені допоміжними діями для підвищення їхньої ефективності.

4.1.1 Стратегічні заходи охоплюють заходи щодо розширення регуляторних повноважень державних органів для ретельного контролю за закупівлями та розгортанням мереж, конкретні заходи щодо усунення ризиків, пов'язаних з нетехнічними вразливими місцями (наприклад, ризик втручання третьої країни або ризики залежності), а також можливі ініціативи щодо сприяння стійкому та різноманітному ланцюжку постачань 5G та створення вартості, щоб уникнути системних ризиків довгострокової залежності. Стратегічні заходи потенційно досить ефективні в усуненні певних ризиків кібербезпеки 5G, виявлених у звіті ЄС про скоординовану оцінку ризиків.

Були визначені такі вісім стратегічних заходів:

• SM01 Посилення ролі національних органів влади;

• SM02 Проведення перевірок операторів та запит інформації;

• SM03 Оцінка профілю ризику постачальників та застосування обмежень для постачальників, які вважаються високоризикованими, включаючи необхідні винятки для ефективного зменшення ризику, щодо ключових активів;

• SM04 Контроль за використанням постачальників керованих послуг (MSP) і технічної підтримки постачальників обладнання;

• SM05 Забезпечення різноманітності постачальників для окремих MNO за допомогою відповідних стратегій взаємодії з декількома постачальниками;

• SM06 Підвищення стійкості на національному рівні;

• SM07 Виявлення ключових активів та сприяння створенню різноманітної та стійкої екосистеми 5G в ЄС;

• SM08 Підтримка і нарощування різноманітності і потенціалу ЄС у сфері майбутніх мережевих технологій.

4.1.2 Технічні заходи включають заходи щодо посилення безпеки мереж та обладнання 5G шляхом посилення безпеки технологій, процесів, людей та фізичних факторів. Ефективність технічних заходів з точки зору зменшення ризиків буде змінюватися залежно від масштабу заходів та типів ризиків, які необхідно усунути. Зокрема, лише технічні заходи не дозволять усунути нетехнічні фактори вразливості (наприклад, ризик втручання з боку третьої країни або ризики залежності).

Були визначені такі 11 технічних заходів:

• TM01 Забезпечення дотримання базових вимог безпеки (проєктування та архітектура захищеної мережі);

• TM02 Забезпечення та оцінка реалізації заходів безпеки в рамках існуючих стандартів 5G;

• TM03 Забезпечення суворого контролю доступу;

• TM04 Підвищення безпеки віртуалізованих мережевих функцій;

• TM05 Забезпечення безпечного управління, експлуатації та моніторингу мережі 5G;

• TM06 Зміцнення фізичної безпеки;

• TM07 Підвищення цілісності програмного забезпечення, управління оновленнями та виправленнями;

• TM08 Підвищення стандартів безпеки в процесах постачальників за рахунок надійних умов закупівель;

• TM09 Використання сертифікації ЄС для компонентів мереж 5G, обладнання клієнтів та/або процесів постачальників;

• TM10 Використання сертифікації ЄС для інших ІКТ-продуктів і послуг, не пов'язаних з 5G (підключені пристрої, хмарні сервіси);

• TM11 Плани підвищення стійкості та безперервності.

4.1.3. Крім того, комплекс цілеспрямованих допоміжних заходів потенційно може забезпечити реалізацію стратегічних та технічних заходів і тим самим підвищити їх ефективність:

• SA01 Огляд або розробка керівних принципів та найкращих практик у сфері мережевої безпеки;

• SA02 Зміцнення можливостей тестування та аудиту на національному рівні та на рівні ЄС;

• SA03 Підтримка та розвиток стандартизації 5G;

• SA04 Розробка керівництва з впровадження заходів безпеки в існуючі стандарти 5G;

• SA05 Забезпечення застосування стандартних технічних та організаційних заходів безпеки за допомогою спеціальної системи сертифікації в масштабах всього ЄС;

• SA06 Обмін передовим досвідом впровадження стратегічних заходів, зокрема національних механізмів оцінки профілю ризиків постачальників;

• SA07 Поліпшення координації у сфері реагування на інциденти й управління кризовими ситуаціями;

• SA08 Проведення аудиту взаємозалежностей між мережами 5G та іншими критично важливими сервісами;

• SA09 Зміцнення механізмів співпраці, координації та обміну інформацією;

• SA10 Забезпечення того, щоб проєкти з розгортання 5G, які фінансуються з державного бюджету, враховували ризики кібербезпеки

4.2. Плани щодо зменшення ризиків

Для кожної з дев'яти сфер ризику, визначених у звіті ЄС про скоординовану оцінку ризиків, набір інструментів визначає і надає плани щодо зменшення ризиків - 30. Вони складаються з можливих комбінацій стратегічних та/або технічних заходів (разом із відповідними допоміжними діями), спрямованих на зменшення ризику безпеки.

Плани зниження ризиків спрямовані на надання рекомендацій щодо найбільш релевантних/значних заходів для зменшення серйозних наслідків, заснованих на оцінці очікуваної ефективності окремих заходів, перерахованих у розділі 4.1. для зниження конкретного ризику. Однак слід зазначити, що очікувана ефективність більшості заходів значною мірою залежатиме від їхніх масштабів та способу їхньої реалізації (наприклад, посилення регуляторних повноважень потенційно може бути досить ефективним за умови, що вони мають належне охоплення та ефективно використовуються).