EU-Instrumentarium für 5G-Cybersicherheit
EU-Kommission kündigt nächste Schritte zur Cybersicherheit der 5G-Netze an, die den jüngsten Fortschrittsbericht der Mitgliedstaaten ergänzen
Die Sicherheit der 5G-Netze ist eine wichtige Priorität für die Kommission und ein wesentlicher Teil der EU-Strategie für eine Sicherheitsunion, denn diese Netze sind eine zentrale Infrastruktur
Die EU-Mitgliedstaaten haben mit Unterstützung der Europäischen Kommission und der EU-Cybersicherheitsagentur einen zweiten Fortschrittsbericht über die Umsetzung des EU-Instrumentariums für die 5G-Cybersicherheit veröffentlicht. In dem Bericht werden auch einige der Empfehlungen des Sonderberichts des Europäischen Rechnungshofs vom Januar 2022 aufgegriffen. Ergänzend zum Fortschrittsbericht hat die Kommission eine Mitteilung über die Umsetzung des EU-Instrumentariums durch die Mitgliedstaaten und dessen Anwendung auf ihre interne Kommunikation und die Finanzierungstätigkeiten der EU angenommen.
Im Hinblick auf strategische Maßnahmen und insbesondere die Einführung von Beschränkungen für Hochrisikoanbieter wird in dem Fortschrittsbericht festgestellt, dass 24 Mitgliedstaaten bereits Rechtsvorschriften erlassen haben oder Legislativmaßnahmen vorbereiten, die den nationalen Behörden die Befugnis verleihen, eine Risikobewertung der Anbieter vorzunehmen und Beschränkungen zu verhängen. Davon haben zehn Mitgliedstaaten solche Beschränkungen schon eingeführt, und drei Mitgliedstaaten arbeiten derzeit an der Einführung der betreffenden nationalen Rechtsvorschriften. Angesichts der großen Bedeutung der Konnektivitätsinfrastrukturen für die digitale Wirtschaft und der Abhängigkeit vieler kritischer Dienste von 5G-Netzen sollten die Mitgliedstaaten das Instrumentarium unverzüglich umsetzen.
Die Kommission betont in ihrer Mitteilung ihre große Besorgnis über die Risiken, die von bestimmten Mobilfunk-Netzausrüstungsanbietern für die Sicherheit der Union ausgehen. Nach Ansicht der Kommission sind Entscheidungen der Mitgliedstaaten, Beschränkungen auf Huawei und ZTE anzuwenden bzw. diese Anbieter von 5G-Netzen auszuschließen, gerechtfertigt und stehen im Einklang mit dem 5G-Instrumentarium. In Übereinstimmung mit diesen Entscheidungen und auf der Grundlage vielfältiger verfügbarer Informationen ist die Kommission der Auffassung, dass von Huawei und ZTE in der Tat wesentlich höhere Risiken ausgehen als von anderen 5G-Anbietern.
Mitteilung der Kommission über die Umsetzung des Instrumentariums
Die Sicherheit der 5G-Netze ist eine wichtige Priorität für die Kommission und ein wesentlicher Teil der EU-Strategie für eine Sicherheitsunion, denn diese Netze sind eine zentrale Infrastruktur, die die Grundlage für ein breites Spektrum von Diensten bildet, die für das Funktionieren des Binnenmarkts und die Aufrechterhaltung und den Betrieb lebenswichtiger gesellschaftlicher und wirtschaftlicher Funktionen unverzichtbar sind. Dieses Thema ist von zentraler Bedeutung für die Souveränität, strategische Autonomie und Resilienz der Union. In ihrer angenommenen Mitteilung begrüßt die Kommission den zweiten Fortschrittsbericht der NIS-Kooperationsgruppe über die Umsetzung des EU-Instrumentariums und nimmt dessen Inhalt zur Kenntnis.
Unbeschadet der Zuständigkeiten der Mitgliedstaaten für die nationale Sicherheit hat auch die Kommission den Bedarf und die Schwachstellen ihrer eigenen institutionellen Kommunikationssysteme und derjenigen der anderen europäischen Organe, Einrichtungen und sonstigen Stellen sowie bei der Durchführung von Finanzierungsprogrammen der Union im Lichte der allgemeinen politischen Ziele der Union anhand der Kriterien des Instrumentariums überprüft. Ausgehend von ihrer eigenen Bewertung, die mit der Bewertung bestimmter Mitgliedstaaten übereinstimmt, fordert die Kommission alle Mitgliedstaaten, die das Instrumentarium noch nicht umgesetzt haben, nachdrücklich auf, dringend einschlägige Maßnahmen zu ergreifen wie im EU-Instrumentarium empfohlen, um den von den benannten Anbietern ausgehenden Risiken wirksam und rasch zu begegnen.
Im Rahmen ihrer internen Cybersicherheitspolitik und in Anwendung des Instrumentariums für die 5G-Cybersicherheit wird die Kommission Maßnahmen ergreifen, um zu vermeiden, dass ihre interne Kommunikation über Mobilfunknetze geleitet wird, die Ausrüstungen von Huawei und ZTE nutzen. Sie wird einschlägige Sicherheitsvorkehrungen treffen, damit keine neuen Netzanbindungsdienste beschafft werden, die von Ausrüstung dieser Anbieter abhängen, und mit den Mitgliedstaaten und Telekommunikationsbetreibern zusammenarbeiten, um sicherzustellen, dass diese Anbieter schrittweise von den bestehenden Netzanbindungsdiensten der Kommissionsstandorte ausgeschlossen werden.
Die Kommission beabsichtigt ferner, diese Entscheidung auch in allen einschlägigen EU-Finanzierungsprogrammen und -instrumenten zu berücksichtigen.
Zweiter Fortschrittsbericht über das 5G-Instrumentarium
Der von den Mitgliedstaaten angenommene Bericht belegt, dass seit dem ersten Fortschrittsbericht vom Juli 2020 bei der Umsetzung der Schlüsselmaßnahmen des EU-Instrumentariums weitere Fortschritte erzielt wurden. Die große Mehrheit der Mitgliedstaaten hat die Sicherheitsanforderungen für 5G-Netze auf der Grundlage des EU-Instrumentariums verschärft oder ist noch dabei, dies zu tun. Trotz der erzielten Fortschritte wird in dem Bericht jedoch auch festgestellt, dass diese Situation ein eindeutiges Risiko einer anhaltenden Abhängigkeit von Hochrisikoanbietern im Binnenmarkt birgt, woraus sich potenziell schwerwiegende negative Auswirkungen auf die Sicherheit der Nutzer und Unternehmen in der gesamten EU und der kritischen Infrastruktur der EU ergeben können.
Der Bericht enthält auch Empfehlungen für die Mitgliedstaaten:
>> Sie sollen sicherstellen, dass sie über umfassende und detaillierte Informationen von Mobilfunkbetreibern über derzeit installierte 5G-Ausrüstungen und über deren Pläne für den Einsatz oder die Beschaffung neuer Ausrüstungen verfügen.
>> Bei der Bewertung des Risikoprofils der Anbieter sollten die Mitgliedstaaten die im EU-Instrumentarium empfohlenen objektiven Kriterien zugrunde legen. In diesem Zusammenhang liegt es auf der Hand, dass die 5G-Anbieter deutliche Unterschiede aufweisen, insbesondere bezüglich der Wahrscheinlichkeit, dass sie der Einflussnahme durch bestimmte Drittländer unterliegen, in denen Sicherheitsvorschriften und Praktiken der Unternehmensführung und -kontrolle gelten, die ein potenzielles Risiko für die Sicherheit der Union darstellen. Außerdem sollte berücksichtigt werden, welche Anbieter nach der Einstufung anderer Mitgliedstaaten ein hohes Risiko aufweisen, um die Kohärenz und ein hohes Maß an Sicherheit in der gesamten Union zu fördern.
>> Ausgehend von ihrer Risikobewertung der Anbieter sollten die Mitgliedstaaten unverzüglich Beschränkungen für Hochrisikoanbieter verhängen, denn jeder Zeitverlust kann die Anfälligkeit der Netze in der Union und die Abhängigkeit der Union von Hochrisikoanbietern erhöhen, insbesondere in Mitgliedstaaten mit einer hohen Präsenz potenzieller Hochrisikoanbieter.
>> Um die Risiken wirksam zu mindern, sollten die Mitgliedstaaten sicherstellen, dass sich die Beschränkungen auf kritische und hochsensible Anlagen und Einrichtungen erstrecken, wie sie in der von der EU koordinierten Risikobewertung ermittelt wurden, darunter auch auf das Funkzugangsnetz.
>> Bei Arten von Ausrüstungen, die unter die Beschränkungen fallen, sollte es den Betreibern nicht erlaubt werden, neue derartige Ausrüstungen zu installieren. Wenn Übergangsfristen für die Entfernung bestehender Ausrüstung gewährt werden, sind diese so festzulegen, dass die vorhandene Ausrüstung so schnell wie möglich entfernt wird. Dabei ist dem Sicherheitsrisiko Rechnung zu tragen, das sich aus einer Weiterverwendung der Geräte von Hochrisikoanbietern ergibt. Ferner dürfen solche Fristen nicht in Anspruch genommen werden, um weiterhin neue Ausrüstungen von Hochrisikoanbietern zu installieren.
>> Die Mitgliedstaaten sollten Beschränkungen für Anbieter verwalteter Dienste (MSPs) und für den Fall, dass Funktionen an solche MSPs ausgelagert werden, strengere Sicherheitsbestimmungen in Bezug auf den Zugang, den MSPs erhalten, einführen.
>> Sie sollten die Anwendbarkeit von Maßnahmen im Hinblick auf die Anbietervielfalt weiter prüfen und dabei erörtern, wie am besten sichergestellt werden kann, dass eine etwaige Diversifizierung nicht zu neuen oder erhöhten Sicherheitsrisiken führt, sondern zur Steigerung der Sicherheit und Resilienz beiträgt.
>> Sie sollten technische Maßnahmen durchsetzen und eine strenge Aufsicht gewährleisten. Besondere Aufmerksamkeit sollte dabei bestimmten Maßnahmen gelten, nämlich der Anwendung grundlegender Sicherheitsanforderungen, der Erhöhung der Sicherheitsstandards für Anbieterprozesse durch Festlegung strenger Beschaffungsbedingungen und der Gewährleistung der Sicherheit von Verwaltung, Betrieb und Überwachung der 5G-Netze.
Hintergrund
Das EU-Instrumentarium für die 5G-Cybersicherheit (EU-Toolbox), das im Januar 2020 von den Behörden der Mitgliedstaaten (NIS-Kooperationsgruppe) mit Unterstützung der Kommission und der ENISA veröffentlicht wurde, soll der Bewältigung der Risiken im Zusammenhang mit der Cybersicherheit von 5G-Netzen dienen. Darin werden strategische und technische Maßnahmen sowie entsprechende unterstützende Maßnahmen zur Stärkung ihrer Wirksamkeit beschrieben, die ergriffen werden können, um die Risiken zu mindern, die im Bericht über eine von der EU koordinierte Risikobewertung der 5G-Cybersicherheit ermittelt wurden, die ihrerseits auf nationalen Risikobewertungen beruhte.
Das Instrumentarium und seine wichtigsten Empfehlungen wurden von der Kommission und den Mitgliedstaaten auf höchster Ebene gebilligt. Im Oktober 2020 ersuchte der Europäische Rat die EU und ihre Mitgliedstaaten, das am 29. Januar 2020 angenommene Instrumentarium für die 5G-Cybersicherheit in vollem Umfang zu nutzen und insbesondere auf der Grundlage gemeinsamer objektiver Kriterien bei wichtigen Anlagen und Einrichtungen, die in den von der EU koordinierten Risikobewertungen als kritisch und sensibel eingestuft werden, die einschlägigen Beschränkungen für Hochrisikolieferanten anzuwenden. In seiner Empfehlung vom Dezember 2022 bekräftigte der Rat der EU, wie wichtig es ist, dass die Mitgliedstaaten die im EU-Instrumentarium für die 5G-Cybersicherheit empfohlenen Maßnahmen umsetzen, und insbesondere, dass die Mitgliedstaaten Beschränkungen für Hochrisikoanbieter erlassen, da ein Zeitverlust die Anfälligkeit der Netze in der Union erhöhen kann.
Ein erster Bericht über die Fortschritte der Mitgliedstaaten bei der Umsetzung des EU-Instrumentariums wurde Juli 2020 veröffentlicht. Darin wurde festgestellt, dass konkrete Schritte zur Umsetzung des EU-Instrumentariums unternommen worden waren. Viele Mitgliedstaaten hatten bereits fortgeschrittene Sicherheitsmaßnahmen zur Steigerung der 5G-Cybersicherheit ergriffen oder waren bei der Ausarbeitung solcher Maßnahmen bereits weit fortgeschritten. In seinem Sonderbericht vom Januar 2022 gelangte der Europäische Rechnungshof zu dem Schluss, dass seit der Annahme des EU-Instrumentariums Fortschritte bei der Erhöhung der Sicherheit der 5G-Netze erzielt wurden. Er wies jedoch auch darauf hin, dass die Mitgliedstaaten unterschiedliche Ansätze in Bezug auf die Verwendung von Ausrüstung von Hochrisikoanbietern oder den Umfang der Beschränkungen verfolgen.
(EU-Kommission: ra)
eingetragen: 30.07.23
Newsletterlauf: 07.09.23