ЄВРОПЕЙСЬКА КОМІСІЯ,

беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 292,

Оскільки:

(1) Комісія визнала використання мережевих технологій п'ятого покоління (5G) основним рушієм майбутніх цифрових послуг та пріоритетом стратегії щодо Єдиного цифрового ринку. Комісія ухвалила План дій з розвитку мережі 5G з метою забезпечення конективності інфраструктури Союзу для її цифрової трансформації починаючи з 2020 року (- 1).

(2) Мережі 5G будуть побудовані на сучасних мережевих технологіях четвертого покоління (4G), при цьому вони запропонують нові сервісні можливості та стануть центральною ланкою інфраструктури і рушієм розвитку великої частини економіки Союзу. Одразу після впровадження мережі 5G стануть основою широкого діапазону послуг, необхідних для функціонування внутрішнього ринку та обслуговування і виконання надважливих соціально-економічних функцій, зокрема у сфері енергетики, транспорту, банківської діяльності, охорони здоров’я та промислових систем контролю. Організація демократичних процесів, таких як вибори, також дедалі більше спиратиметься на цифрову інфраструктуру та мережі 5G.

(3) Залежність багатьох критично важливих послуг від мереж 5G може мати особливо негативні наслідки в разі системного та широкомасштабного порушення їх роботи. Як результат, забезпечення кібербезпеки мереж 5G - це питання стратегічного значення для Союзу в часи дедалі частіших та більш витончених кібератак.

(4) Функціонування цифрової екосистеми ґрунтується на інфраструктурах взаємопов'язаної та транснаціональної природи, тож пов'язані з нею загрози мають транскордонний характер. Відповідно, виникнення в одній з держав-членів будь-яких значних вразливостей та/або інцидентів стосовно кібербезпеки мереж 5G матиме негативний вплив на Союз у цілому. Саме тому необхідно вжити заходів для підтримки загального високого рівня кібербезпеки мереж 5G.

(5) Держави-члени підтвердили потребу у вжитті заходів на рівні Союзу. У своїх висновках від 21 березня 2019 року Європейська Рада висловила сподівання щодо якомога скорішого ухвалення рекомендації Комісії щодо узгодженого підходу до безпеки мереж 5G (- 2).

(6) Основною ціллю має залишатися забезпечення європейського суверенітету з повним дотриманням європейських цінностей відкритості та толерантності (- 3). Іноземні інвестиції у стратегічні сектори, придбання критичних активів, технологій та інфраструктури в Союзі, а також постачання критично важливого обладнання можуть також становити ризик для безпеки Союзу.

(7) У Спільному повідомленні "Стратегічна перспектива відносин ЄС та Китаю" кібербезпеку мереж 5G визнано основним елементом забезпечення стратегічної автономії Союзу (- 4).

(8) Резолюція Європейського Парламенту щодо загроз для безпеки, пов’язаних зі зростанням присутності китайських технологій у Союзі, також закликає Комісію та держави-члени вжити заходів на рівні Союзу (- 5).

(9) Ця Рекомендація охоплює питання ризиків кібербезпеки в мережах 5G та при цьому визначає вказівки щодо аналізу відповідних ризиків і заходів управління на національному рівні, розробки скоординованого оцінювання ризиків ЄС та формування процесу для розробки спільного інструментарію найкращих заходів з управління ризиками.

(10) Для захисту електронних комунікаційних мереж існують суворі законодавчі рамки Союзу.

(11) Рамки Союзу в сфері електронних комунікацій (- 6) покликані сприяти посиленню конкуренції, розвитку внутрішнього ринку та захисту інтересів кінцевих користувачів, а Європейський кодекс електронних комунікацій (- 7) переслідує як додаткову ціль забезпечення конективності, сформульовану такими результатами, як широкий доступ та впровадження фіксованого та мобільного зв'язку високої якості для всіх підприємств і громадян Союзу, з одночасним захистом інтересів громадян. Директива 2002/21/ЄС вимагає, щоб держави-члени забезпечили підтримку цілісності та безпеки комунікаційних мереж загального користування, при цьому з обов'язком забезпечення того, щоб суб'єкти господарювання, які надають комунікаційні мережі загального користування або публічно доступні електронні комунікаційні послуги, застосовували технічні та організаційні заходи для належного управління ризиками, що можуть виникати для безпеки мереж і послуг. Директива також передбачає наявність у компетентних національних регуляторних органів повноважень, включно з повноваженнями видавати обов’язкові до виконання інструкції, з метою забезпечення дотримання таких обов'язків.

(12) Крім того, Директива Європейського Парламенту і Ради 2002/20/ЄС (- 8) дозволяє державам-членам доповнювати умови загальної авторизації умовами стосовно захисту мереж загального користування від несанкціонованого доступу з метою захисту конфіденційності комунікацій відповідно до Директиви Європейського Парламенту і Ради 2002/58/ЄС (- 9).

(13) 3 метою підтримати виконання таких обов’язків, Союз створив низку відповідних органів для співпраці. Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA), Комісія, держави-члени та національні регуляторні органи розробили для національних регуляторних органів технічні настанови зі звітування про інциденти, заходи безпеки, загрози та активи (- 10). Група співпраці, створена Директивою Європейського Парламенту і Ради (ЄС) 2016/1148 (- 11) ("Група співпраці") об’єднує компетентні органи з метою підтримки та сприяння співпраці, зокрема шляхом надання стратегічних вказівок щодо діяльності мережі груп для реагування на інциденти в сфері комп’ютерної безпеки, що на технічному рівні сприяє оперативній співпраці.

(14) Майбутні європейські рамки сертифікації кібербезпеки (- 12) повинні стати важливим допоміжним інструментом для сприяння досягненню відповідного рівня безпеки. Вони також мають сприяти розвитку схем сертифікації кібербезпеки у відповідь на потреби користувачів програмного забезпечення та обладнання, пов’язаних із мережами 5G. Критична важливість цих інфраструктур повинна зробити першочерговим пріоритетом розвиток відповідних європейських схем сертифікації кібербезпеки для продуктів, послуг або процесів інформаційно-комунікаційних технологій, що використовуються для мереж 5G. Держави-члени та учасники ринку повинні брати активну участь у розвитку таких схем сертифікації, а також у забезпеченні підтримки у визначенні специфічних профілів захисту для мереж 5G.

(15) За відсутності згармонізованого права Союзу, держави-члени можуть визначити обов'язковість використання європейських схем сертифікації кібербезпеки через національні технічні регламентами, ухвалені відповідно до права Союзу. Держави-члени також можуть використовувати європейські схеми сертифікації кібербезпеки в контексті публічних закупівель та Директиви Європейського Парламенту і Ради 2014/24/ЄС (- 13), а також можуть підтримувати розвиток механізмів надання допомоги, наприклад, таких як хаб допомоги, для надання допомоги публічним покупцям під час закупівлі рішень щодо кібербезпеки.

(16) Високий рівень захисту даних та приватності є важливим елементом забезпечення безпеки мереж 5G. На рівні Союзу було також визначено правила для забезпечення безпеки опрацювання персональних даних, у тому числі при використанні засобів електронної комунікації. Загальний регламент про захист даних (- 14) встановлює зобов'язання щодо опрацювання персональних даних у спосіб, що забезпечує їх безпеку та запобігає несанкціонованому доступу або використанню персональних даних чи обладнання, яке використовується для їх опрацювання.

Директива про приватність та електронні комунікації встановлює спеціальні правила захисту конфіденційності комунікацій та термінального обладнання кінцевих користувачів. Директива також зобов'язує надавачів послуг вживати необхідних технічних та організаційних заходів для гарантування безпеки послуг, які вони надають.

(17) Союз також ухвалив документ, покликаний забезпечити захист критичної інфраструктури та технологій, подібних до тих, що використовуються у сфері комунікацій, дозволивши державам-членам перевіряти прямі іноземні інвестиції з підстав безпеки чи громадського порядку та створивши механізм співпраці, у рамках якого в держав-членів та Комісії буде можливість здійснювати обмін інформацією та висловлювати занепокоєння стосовно окремих інвестицій (- 15).

(18) Наразі держави-члени й оператори роблять важливі кроки для підготовки до широкомасштабного розгортання мереж 5G. Деякі держави-члени висловили занепокоєння щодо потенційних безпекових ризиків, пов'язаних із мережами 5G в контексті здійснення процедур з надання прав на користування смугами радіочастотного спектра для мереж 5G (- 16), та вже розпочали роботу з дослідження заходів, які могли б сприяти усуненню таких ризиків.

(19) При усуненні ризиків кібербезпеки в мережах 5G необхідно брати до уваги як технічні, так і інші фактори. До технічних факторів можна віднести вразливості кібербезпеки, що можуть використовуватися для отримання несанкціонованого доступу до інформації (кібершпіонаж з економічних чи політичних причин) або з іншими зловмисними намірами (кібератаки, спрямовані на пошкодження чи руйнування систем та даних). При цьому важливо враховувати такі аспекти, як потреба в захисті мереж протягом усього їхнього життєвого циклу та потреба в охопленні всього відповідного обладнання, зокрема, на етапах проектування, розробки, закупівлі, розгортання, функціонування та обслуговування мереж 5G.

(20) Інші важливі фактори можуть включати регуляторні чи інші вимоги до постачальників обладнання інформаційно-комунікаційних технологій. При оцінюванні важливості таких факторів потрібно враховувати, між іншим, загальний ризик впливу третьої країни, зокрема, з огляду на її модель врядування, відсутність угод про співпрацю в питаннях безпеки або подібних механізмів, таких як рішення про достатність, щодо захисту даних між Союзом та відповідною третьою країною, а також те, чи є ця країна учасницею багатосторонніх, міжнародних чи двосторонніх угод з питань кібербезпеки, боротьби з кіберзлочинністю або захисту даних.

(21) Як важливий крок під час розробки підходу Союзу до кібербезпеки в мережах 5G, на національному рівні необхідно здійснити та завершити оцінювання ризиків. Це допоможе державам-членам адаптувати національні заходи щодо безпекових вимог та управління ризиками з огляду на це оцінювання.

(22) Необхідно розвивати взаємодію з метою забезпечення ефективності заходів, спрямованих на усунення цих загроз кібербезпеки, заходів, необхідних для безперебійного функціонування внутрішнього ринку, та захисту персональних даних і приватності.

(23) Національні оцінювання ризиків повинні сформувати основу для скоординованого оцінювання ризиків Союзу з метою окреслення потенційних загроз та подальшого спільного огляду держав-членів у цій сфері за підтримки Комісії та Агентства Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA).

(24) Беручи до уваги національні оцінювання ризиків та оцінювання ризиків Союзу, Група співпраці повинна створити інструментарій заходів із визначенням типів ризиків кібербезпеки та можливих заходів з пом'якшення ризиків у сферах сертифікації, тестування та контролю доступу. Інструментарій заходів також повинен визначити можливі спеціальні заходи, необхідні для усунення ризиків, виявлених однією чи більше держав-членів. Група співпраці повинна покладатися на підтримку Агентства Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA), Європолу, Органу європейських регуляторів електронних комунікацій (BEREC) та на Розвідувально-ситуаційний центр ЄС. Цей інструментарій заходів повинен слугувати для Комісії як орієнтир для розробки мінімальних загальних вимог задля подальшого забезпечення високого рівня кібербезпеки мереж 5G на території всього Союзу.

(25) У разі побудови будь-якої єдиної мережі вжиття заходів з усунення ризиків кібербезпеки повинне враховувати сприяння кібербезпеці через диверсифікацію постачальників.

(26) Ця Рекомендація не обмежує компетенцій держав-членів щодо діяльності, пов’язаної з громадською безпекою, обороною, національною безпекою та діяльністю держави у сферах кримінального права, включаючи право держав-членів на заборону діяльності провайдерів та постачальників з міркувань національної безпеки.

УХВАЛИЛА ЦЮ РЕКОМЕНДАЦІЮ:

(1) Для підтримання розвитку підходу Союзу, спрямованого на забезпечення кібербезпеки мереж 5G, ця Рекомендація визначає заходи, яких необхідно вжити, для:

(a) здійснення державами-членами оцінювання ризиків кібербезпеки, що негативно впливають на мережі 5G, на національному рівні та вжиття необхідних заходів безпеки.

(b) спільної розробки державами-членами та відповідними установами, агентствами та іншими органами Союзу скоординованого оцінювання ризиків Союзу на основі національного оцінювання ризиків.

(c) створення Групи співпраці згідно з Директивою (ЄС) 2016/1148 (Група співпраці) для визначення можливого загального комплексу заходів, спрямованого на пом’якшення ризиків кібербезпеки, пов’язаних з інфраструктурою, що є основою для цифрової екосистеми, зокрема мереж 5G.