Cybersäkerhet i 5G-nät: EU presenterar en verktygslåda med omfattande säkerhetsåtgärder
EU:s medlemsstater har tagit fram en verktygslåda med säkerhetsåtgärder för 5G baserat på den riskbedömning som gjordes under 2019. PTS har deltagit i arbetet.
Sverige har, genom PTS, MSB och andra myndigheter, deltagit aktivt i framtagandet av verktygslådan. Jag har representerat PTS i detta arbete. I onsdags den 29 januari publicerade EU:s medlemsstater, med stöd av Kommissionen och den Europeiska unionens byrå för cybersäkerhet (ENISA), en verktygslåda bestående av åtgärder utformade för att effektivt hantera risker för 5G-nät på ett samordnat sätt.
Baserat på resultaten från EU:s samordnade riskbedömning som publicerades i oktober förra året, rekommenderar verktygslådan ett antal säkerhetsåtgärder som gör det möjligt att effektivt minska riskerna vid utbyggnad och distribution av 5G-nät över hela Europa.
Verktygslådan innehåller rekommenderade åtgärder som bland annat syftar till att:
- förstärka säkerheten vid utformning, uppbyggnad och drift av nätverk,
- höja säkerhetsnivån i standarderna för produkter och tjänster,
- minimera risken med användningen av högrisk-leverantörer,
- undvika eller begränsa stora beroenden av en enda leverantör i 5G-nät, och
- främja en varierad, konkurrenskraftig och hållbar marknad för 5G-utrustning, inklusive att bibehålla EU-kapacitet i 5G-värdekedjan.
Åtgärderna kan tillämpas av nationella myndigheter och EU:s ansvariga myndigheter. De berör främst mobilnätoperatörerna och deras leverantörer, särskilt telekomutrustningstillverkare.
Kommissionen uppmanar medlemsstaterna att börja med att genomföra de åtgärder som rekommenderas i slutsatserna från 5G-verktygslådan senast den 30 april 2020.
Pågående föreskriftsarbete
I Sverige har man parallellt med EU-arbetet tagit fram ett förslag på reviderade driftsäkerhetsföreskrifter. Förslaget, som är i linje med några av rekommendationerna i verktygslådan, utgörs bl.a. av krav på riskanalys och vidtagande av skyddsåtgärder inför upphandling av uppdragstagare och utrustning. De reviderade kraven förväntas träda ikraft i mars 2020.
Dessutom pågår ett arbete på myndigheten med att se över samtliga föreskrifter med krav på säkerhetsåtgärder och incidentrapportering. Detta med anledning av att det i slutet av 2020 kommer en ny lag om elektronisk kommunikation baserad på ett nytt EU-direktiv. Även i detta föreskriftsarbete kan rekommendationer från verktygslådan komma att beaktas.
Vägen framåt
Senast den 1 oktober 2020 bör medlemsstaterna i samarbete med Kommissionen utvärdera effekterna av rekommendationen för att avgöra om det finns behov av ytterligare åtgärder. Denna bedömning bör ta hänsyn till resultatet av EU: s samordnade riskbedömning och effektiviteten hos åtgärderna från verktygslådan.