Meddelande om genomförande av EU:s verktygslåda för 5G-säkerhet

Regeringskansliet

Faktapromemoria 2019/20:FPM20

Meddelande om genomförande av EU:s 2019/20:FPM20 verktygslåda för 5G-säkerhet

Infrastrukturdepartementet

2020-03-03

Dokumentbeteckning

KOM (2020) 50

Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt regionkommittén - Säker 5G- utbyggnad i EU – Genomförande av EU:s verktygslåda

Sammanfattning

Meddelandet innehåller information om det arbete som Europeiska kommissionen och EU:s medlemsstater gemensamt har genomfört för att analysera risker som hotar säkerheten i femte generationens mobilnät (5G) och för att utreda rekommenderade åtgärder för en säker utbyggnad av 5G- nät i Europa. Vidare innehåller meddelandet en uppmaning till medlemsstaterna att vidta ett antal av de rekommenderade åtgärderna och information om åtgärder som kommissionen har för avsikt att vidta inom sina behörighetsområden. Regeringen välkomnar de pågående gemensamma europeiska insatserna och stödjer fortsatt europeisk samverkan för att identifiera effektiva gemensamma metoder och redskap för minskning av riskerna i samband med utbyggnaden av 5G-nät.

1 Förslaget

1.1Ärendets bakgrund

I sina slutsatser från 21 och 22 mars 2019 såg Europeiska rådet fram emot Europeiska kommissionens rekommendation om en samordnad strategi i fråga om 5G-nätens säkerhet. Kommissionen antog den 26 mars 2019 rekommendation (EU) 2019/534 om it-säkerhet i 5G-nät. Samarbetsgruppen för nät- och informationssäkerhet inrättades genom Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög

gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Baserat på nationella riskanalyser som tagits fram i enlighet med rekommendationen offentliggjorde samarbetsgruppen, som består av medlemsstaternas företrädare, kommissionen och Europeiska unionens cybersäkerhetsbyrå (Enisa), den 9 oktober 2019 en rapport om EU:s samordnade riskanalys av cybersäkerheten i 5G-nät. I sina slutsatser den 3 december 2019 (14517/19) lämnade rådet stöd till resultatet av den samordnade riskanalysen och uppmanade medlemsstaterna, kommissionen och Enisa att vidta alla nödvändiga åtgärder inom ramen för sina behörigheter för att säkerställa säkerhet och integritet i elektroniska kommunikationsnät, särskilt 5G-nät, och att fortsätta att konsolidera en samordnad strategi för hanteringen av säkerhetsutmaningarna. Den 29 januari 2020 publicerade samarbetsgruppen EU:s verktygslåda för 5G- säkerhet. Meddelandet är ett led i kommissionens övergripande europeiska digitala strategi, i enlighet med Europeiska rådets uppmaning.

1.2Förslagets innehåll

Meddelandet innehåller inte något förslag till lagstiftning utan beskriver det arbete som pågår på EU-nivå för en säker 5G-utbyggnad. I meddelandet redogörs översiktligt för det pågående arbetet med att bygga ut infrastrukturen för den femte generationens mobilnät (5G) i Europa. Vidare beskrivs det arbete som kommissionen och medlemsstaterna gemensamt har genomfört med utgångspunkt i kommissionens rekommendation om cybersäkerheten i 5G-nät. Varje medlemsstat har genomfört en nationell riskanalys för sin 5G-nätinfrastruktur. Inom ramen för samarbetsgruppen för nät- och informationssäkerhet har medlemsstaterna, kommissionen och Enisa därefter gemensamt tagit fram en rapport som redogör för de huvudsakliga hoten och hotaktörerna, de känsligaste tillgångarna och de främsta sårbarheterna som påverkar 5G-nät. Rapporten konstaterar att de risker som identifierats skapar ett nytt säkerhetsparadigm som gör det nödvändigt att ompröva den nuvarande politik- och säkerhetsramen för sektorn elektronisk kommunikation och dess ekosystem, och gör att medlemsstaterna måste vidta de riskreducerande åtgärder som krävs. Bland annat nämns risken för att bristande åtkomstkontroll ger utomstående leverantörer möjlighet att manipulera kritiska funktioner, såsom verkställighet av hemlig avlyssning. Meddelandet beskriver därefter den så kallade verktygslådan för 5G-säkerhet som togs fram av samarbetsgruppen med utgångspunkt i de risker som identifierats i den gemensamma riskanalysen. Verktygslådan innehåller olika rekommenderade åtgärder som kan vidtas för att reducera identifierade risker. Åtgärderna är inte bindande för medlemsstaterna. Det rör sig om strategiska och tekniska åtgärder samt motsvarande stödåtgärder som ska stärka åtgärdernas effektivitet. De beskrivna åtgärderna omfattar bland annat att stärka säkerhetskraven för operatörer av mobilnät, bedöma leverantörers riskprofil och tillämpa relevanta begränsningar eller uteslutningar av leverantörer som utgör en hög risk samt säkerställa att varje operatör har en strategi för att undvika eller begränsa beroendet av en enda leverantör.

I meddelandet välkomnar kommissionen verktygslådan och stödjer dess slutsatser. Kommissionen uppmanar vidare medlemsstaterna och unionens berörda institutioner, byråer och organ att säkerställa ett snabbt genomförande av effektiva och ändamålsenliga riskreduceringsstrategier i linje med verktygslådans rekommendationer, och att vidta alla ytterligare åtgärder som är nödvändiga för att säkerställa samordning på unionsnivå, bland annat genom fortsatt arbete inom samarbetsgruppen. Enligt kommissionen är ett fullt utnyttjande av verktygslådan nödvändigt för en trovärdig och framgångsrik europeisk strategi för 5G-säkerhet. Kommissionen uppmanar medlemsstaterna att genomföra de viktigaste åtgärderna i verktygslådan, som redovisats i meddelandet, och senast den 30 juni 2020 utarbeta en rapport inom ramen för samarbetsgruppen om läget för genomförandet av dessa åtgärder i varje medlemsstat.

Kommissionen redogör i meddelandet även för att den avser att stödja genomförandet av verktygslådan. Kommissionen kommer att fortsätta att stödja det allmänna genomförandet av EU:s strategi för 5G-cybersäkerhet och dessutom ta särskilda initiativ för de åtgärder och mål i verktygslådan där detta kan ge ett mervärde.

1.3Gällande svenska regler och förslagets effekt på dessa

Eftersom meddelandet inte är en lagstiftningsakt är rubriken inte tillämplig.

1.4Budgetära konsekvenser / Konsekvensanalys

Meddelandet har ingen budgetär konsekvens för Sverige då det inte innehåller konkreta förslag till åtgärder.

2 Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen anser att 5G-näten kommer att utgöra en del av den kritiska infrastrukturen för drift och upprätthållande av vitala samhälleliga och ekonomiska system och en rad tjänster som är nödvändiga för den inre marknadens funktion. Den kommande 5G-utbyggnaden har därför en viktig roll i digitaliseringen. 5G är en central tillgång för europeisk konkurrenskraft och hållbarhet, en viktig förutsättning för framtida digitala tjänster och en prioritering för den europeiska inre marknaden.

Med den stora betydelse som 5G väntas få följer dock en ökad känslighet för risker och sårbarheter. Samhället är beroende av tillförlitliga elektroniska kommunikationstjänster som fungerar under alla förhållanden. Incidenter i 5G-näten kan få omfattande konsekvenser för enskilda invånare, företag och samhället i stort. Elektronisk kommunikation med hög driftsäkerhet och starkt skydd är av mycket stor vikt för Sveriges säkerhet och möjligheter att

hantera olika krisförlopp. Det finns också skäl att anta att infrastrukturen kommer att vara intressant för antagonistiska aktörer. Det är därför av stor vikt att kommande 5G-nät håller en tillräckligt hög säkerhetsnivå. Lämpliga krav behöver ställas på säkerheten och säkerhetsaspekterna behöver beaktas redan vid uppbyggnaden av 5G-näten. Det måste också finnas förutsättningar att ta hänsyn till nationell säkerhet när denna samhällsviktiga infrastruktur byggs ut. De brottsbekämpande myndigheternas möjligheter att verkställa hemliga tvångsmedel behöver också bibehållas vid införandet av 5G. Regeringen välkomnar de pågående gemensamma europeiska insatserna för att skydda 5G-nätens säkerhet, såsom den samordnade riskanalysen och verktygslådan för 5G-säkerhet. Regeringen ser positivt på samverkan i arbetet med säkerhetsstandarder och säkerhetsåtgärder för leverantörer och operatörer inom elektronisk kommunikation. En viktig utgångspunkt är dock att den nationella säkerheten är varje medlemsstats eget ansvar. Regeringen har för avsikt att analysera verktygslådans rekommendationer och stödjer fortsatt europeisk samverkan för att identifiera effektiva gemensamma metoder och redskap för minskning av riskerna i samband med utbyggnaden av 5G-nät.

2.2Medlemsstaternas ståndpunkter

Medlemsstaternas ståndpunkter är inte kända.

2.3Institutionernas ståndpunkter

Institutionernas ståndpunkter är inte kända.

2.4Remissinstansernas ståndpunkter

Meddelandet har inte remitterats.

3 Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Eftersom meddelandet inte är en lagstiftningsakt är rubriken inte tillämplig.

3.2Subsidiaritets- och proportionalitetsprincipen

Eftersom meddelandet inte är en lagstiftningsakt är rubriken inte tillämplig.

4 Övrigt

4.1Fortsatt behandling av ärendet

Medlemsstaterna uppmanas att senast 30 juni 2020, inom ramen för samarbetsgruppen, utarbeta en rapport om läget för verktygslådans genomförande.

4.2Fackuttryck/termer