29.01.2020 Brüssel. Mehr Netzsicherheit und Beschränkungen für riskante Anbieter: Die Kommission hat heute (Mittwoch) das gemeinsame Instrumentarium für mehr Sicherheit im 5G-Mobilfunknetz gebilligt, auf das sich die EU-Mitgliedstaaten geeinigt hatten. In ihrer heutigen Mitteilung fordert die EU-Kommission die Staaten auf, die wichtigsten Maßnahmen bis zum 30. April 2020 auf den Weg zu bringen.
„Mit 5G können wir Großes vollbringen. Die Technologie unterstützt personalisierte medizinische Behandlungen, die Präzisionslandwirtschaft und Energienetze, die alle Arten erneuerbarer Energien aufnehmen können. Dies wird sich positiv auswirken. Aber nur, wenn wir unsere Netze sichern können. Nur dann werden die digitalen Neuerungen allen Bürgerinnen und Bürgern zugutekommen“, sagte Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin.
Über spezifische Sicherheitsmaßnahmen zu entscheiden, ist zwar weiterhin Sache der Mitgliedstaaten, aber die kollektive Arbeit an dem Instrumentarium zeugt von ihrer Entschlossenheit, den Sicherheitsherausforderungen der 5G-Netze gemeinsam zu begegnen. Dies ist von grundlegender Bedeutung für ein erfolgreiches und glaubwürdiges 5G-Sicherheitskonzept der EU und damit der Binnenmarkt auch künftig offen ist unter der Voraussetzung, dass die risikobasierten EU-Sicherheitsanforderungen eingehalten werden.
Mit dem Instrumentarium setzen die EU-Mitgliedstaaten die Forderung des Europäischen Rates nach einem abgestimmten Konzept für die Sicherheit von 5G und die anschließende Empfehlung der Kommission vom März 2019 um. Die Mitgliedstaaten haben inzwischen die Risiken und Schwachstellen auf der nationalen Ebene ermittelt und eine gemeinsame EU-weite Risikobewertung veröffentlicht. Durch das Instrumentarium verpflichten sich die Mitgliedstaaten, gemeinsam zu handeln, auf der Grundlage einer objektiven Bewertung der festgestellten Risiken und angemessener Risikominderungsmaßnahmen.
In den Schlussfolgerungen zum Instrumentarium einigten sich die Mitgliedstaaten unter anderem darauf
- die Sicherheitsanforderungen für Mobilfunknetzbetreiber zu verschärfen (z.B. strenge Zugangskontrollen, Vorschriften für sicheren Betrieb und sichere Überwachung, Beschränkungen für die Auslagerung bestimmter Funktionen usw.);
- die Risikoprofile der Anbieter zu bewerten und in der Folge auf Anbieter, die als mit einem hohen Risiko behaftet gelten, einschlägige Beschränkungen anzuwenden, darunter den Ausschluss von Anbietern zur wirksamen Minderung der Risiken für wichtige Anlagen und Einrichtungen, die in der EU-weit koordinierten Risikobewertung als kritisch und anfällig eingestuft wurden (z.B. Kernnetzfunktionen, Netzverwaltungs- und -koordinierungsfunktionen sowie Zugangsnetzfunktionen);
- sicherzustellen, dass jeder Betreiber über eine angemessene herstellerneutrale Strategie verfügt, um eine größere Abhängigkeit von einem einzigen Anbieter (oder Anbietern mit ähnlichem Risikoprofil) zu vermeiden oder zu begrenzen‚ für ein angemessenes Gleichgewicht zwischen den Anbietern auf nationaler Ebene sorgen und eine Abhängigkeit von Anbietern vermeiden, die als mit einem hohen Risiko behaftet gelten; dazu muss auch die Bindung („lock-in“) an einen einzigen Anbieter vermieden werden, unter anderem durch die Förderung einer größeren Interoperabilität der Ausrüstungen.
Die Kommission wird die Umsetzung eines EU-Konzepts für die 5G-Cybersicherheit unterstützen und alle ihr zur Verfügung stehenden Instrumente nutzen, um die Sicherheit der 5G-Infrastruktur und ‑Lieferkette zu gewährleisten:
- Zusammenarbeit auf dem Gebiet der Cybersicherheit: weitere Unterstützung der Mitgliedstaaten bei der wirksamen, koordinierten und zeitnahen Umsetzung nationaler Maßnahmen durch die NIS-Kooperationsgruppe;
- Telekommunikations- und Cybersicherheitsvorschriften: Unterstützung der Umsetzung von Maßnahmen des Instrumentariums in Bezug auf Sicherheitsanforderungen, insbesondere im Hinblick auf die einschlägigen Bestimmungen im Rahmen der europäischen Vorschriften für die elektronische Kommunikation, und Prüfung des Mehrwerts möglicher Durchführungsrechtsakte, in denen die technischen und organisatorischen Sicherheitsmaßnahmen im Einzelnen festgelegt werden, um die nationalen Vorschriften zu ergänzen und die Wirksamkeit und Kohärenz der den Betreibern auferlegten Sicherheitsmaßnahmen zu verbessern;
- Normung: Maßnahmen zur Aufrechterhaltung und – wo nötig – Intensivierung der europäischen Beteiligung an den jeweiligen Normungsgremien, damit die Ziele Europas in den Bereichen Sicherheit und Interoperabilität erreicht werden. Insbesondere wird die Kommission gemeinsam mit den Mitgliedstaaten die technischen Spezifikationen und Normen bewerten und fördern, die die Interoperabilität zwischen den Anbietern von 5G-Ausrüstungen in verschiedenen Teilen des Netzes, einschließlich herkömmlicher Netze, ermöglichen, um beispielsweise mithilfe offener interoperabler Schnittstellen ein echtes herstellerneutrales Umfeld zu schaffen;
- Zertifizierung: Unterstützung der Entwicklung von 5G-Zertifizierungssystemen, die den Bedürfnissen von 5G-Netzen im Rahmen des EU-Zertifizierungsrahmens für die Cybersicherheit gerecht werden;
- Überprüfung ausländischer Direktinvestitionen: Unterstützung der Umsetzung des EU-Überprüfungsrahmens durch eine Erfassung der 5G-Wertschöpfungskette, einschließlich anfälliger Netzressourcen, und eine regelmäßige Überwachung ausländischer Direktinvestitionen entlang der Wertschöpfungskette. Entsprechend dem Zeitplan für die Überprüfung ausländischer Direktinvestitionen (ab Oktober 2020) wird die Kommission ausländische Investitionen im 5G-Bereich im Einklang mit den Vorgaben der Verordnung (EU) 2019/452 prüfen und dabei die EU-weit koordinierte Risikobewertung und das EU-Instrumentarium berücksichtigen;
- handelspolitische Schutzinstrumente: Überwachung aller relevanten Marktentwicklungen in der EU und in Drittländern sowie Schutz der EU-Akteure auf dem europäischen 5G-Markt durch handelspolitische Schutzmaßnahmen gegen potenzielle handelsverzerrende Praktiken (Dumping oder Subventionierung), gegebenenfalls auch durch Einleitung von Voruntersuchungen;
- Wettbewerbsregeln: Überwachung des Funktionierens der Märkte für 5G-Hard- und -Software, um sicherzustellen, dass diese Märkte wettbewerbsorientierte Ergebnisse hervorbringen, auch in Bezug auf eine mögliche vertragliche oder technische Bindung („lock-in“);
- EU-Förderprogramme: Gewährleistung, dass die Beteiligung an EU-Finanzierungsprogrammen in den einschlägigen Technologiebereichen von der Einhaltung der Sicherheitsanforderungen abhängig gemacht wird, indem die Sicherheitsbedingungen in den FuI-Programmen, insbesondere im Programm „Horizont Europa“, im Programm „Digitales Europa“ und in der Fazilität „Connecting Europe 2“, in den europäischen Struktur- und Investitionsfonds und in anderen einschlägigen Programmen umfassend genutzt und weiterhin angewandt werden. Ein ähnlicher Ansatz sollte auch bei den externen Finanzierungsprogrammen und Finanzierungsinstrumenten der EU verfolgt werden‚ auch im Hinblick auf die Förderung durch internationale Finanzinstitute;
- Öffentliche Aufträge: Nutzung der Vergabe öffentlicher Aufträge im Bereich 5G-Netze, um die festgelegten Ziele Sicherheit, Anbietervielfalt und langfristige Nachhaltigkeit von 5G-Netzen zu unterstützen; insbesondere ist darauf hinzuwirken, dass Sicherheitsaspekte bei der Vergabe öffentlicher Aufträge im Bereich der 5G-Netze im Einklang mit den EU-Vorschriften für die Vergabe öffentlicher Aufträge gebührend berücksichtigt werden;
- Reaktion auf Sicherheitsvorfälle und Krisenmanagement (Konzeptentwurf) und Cyberübungen: Umfassende Nutzung der Entwicklung des EU-Konzeptentwurfs20 für die koordinierte Reaktion auf große Cybersicherheitsvorfälle. Außerdem ist gemeinsam mit der ENISA zu prüfen, ob eine 5G-Cyberübung durchgeführt werden kann, sobald die Marktreife dies zulässt. Nächste Schritte
Zeitplan
Die Kommission fordert die Mitgliedstaaten auf, bis zum 30. April Maßnahmen zur Umsetzung der in den Schlussfolgerungen zum Instrumentarium empfohlenen Maßnahmen 2020 zu ergreifen und bis zum 30. Juni 2020 einen gemeinsamen Bericht über die Umsetzung in den einzelnen Mitgliedstaaten zu erstellen. Zusammen mit der EU-Cybersicherheitsagentur wird die Kommission weiterhin volle Unterstützung leisten, unter anderem durch die Einleitung einschlägiger Maßnahmen in den Bereichen, die in ihre Zuständigkeit fallen. Die NIS-Kooperationsgruppe wird weiterarbeiten, um die Umsetzung des Instrumentariums zu unterstützen.
Hintergrund
5G wird eine Schlüsselrolle in der künftigen Entwicklung der digitalen Wirtschaft und Gesellschaft Europas spielen. Die Technologie ist eine Grundvoraussetzung für künftige digitale Dienste in zentralen Bereichen des Alltags der Bürger und eine wichtige Grundlage für den digitalen und ökologischen Wandel.
Angesichts der weltweit mit 5G erwirtschafteten Umsätze, die 2025 einen Gegenwert von 225 Milliarden Euro erreichen dürften, ist die 5G-Technik ein Schlüsselfaktor für die europäische Wettbewerbsfähigkeit auf dem Weltmarkt, und die Cybersicherheit der 5G-Netze ist von entscheidender Bedeutung für die strategische Autonomie der Union. Es geht um Milliarden vernetzter Objekte und Systeme, auch in kritischen Sektoren wie Energie, Verkehr, Bank- und Gesundheitswesen sowie um industrielle Steuerungssysteme, die sensible Informationen verarbeiten und Sicherheitssysteme unterstützen.
Gleichzeitig bieten 5G-Netze wegen der weniger zentralisierten Architektur, modernster intelligenter Rechenkapazitäten, des Bedarfs an mehr Antennen und der zunehmenden Abhängigkeit von Software mehr potenzielle Angriffspunkte. Cybersicherheitsbedrohungen nehmen zu und werden immer komplexer. Da viele kritische Dienste auf 5G-Netze angewiesen sein werden, ist die Gewährleistung der Netzsicherheit von größter strategischer Bedeutung für die gesamte EU.
Über spezifische Sicherheitsmaßnahmen zu entscheiden, ist zwar weiterhin Sache der Mitgliedstaaten, aber die kollektive Arbeit an dem Instrumentarium zeugt von ihrer Entschlossenheit, den Sicherheitsherausforderungen der 5G-Netze gemeinsam zu begegnen. Dies ist von grundlegender Bedeutung für ein erfolgreiches und glaubwürdiges 5G-Sicherheitskonzept der EU und damit der Binnenmarkt auch künftig offen ist unter der Voraussetzung, dass die risikobasierten EU-Sicherheitsanforderungen eingehalten werden.
Zur Unterstützung der Einführung und des Aufbaus von 5G-Netzen hat die Kommission im September 2016 einen 5G-Aktionsplan vorgelegt. Mit Investitionen in Höhe von 1 Milliarde Euro, darunter 300 Millionen Euro an EU-Mitteln, liegt Europa bei der kommerziellen Einführung von 5G-Diensten weltweit mit an der Spitze. Bis Ende dieses Jahres dürften die ersten 5G-Dienste in 138 europäischen Städten verfügbar sein.
Auf eine Forderung des Europäischen Rates hin nahm die Kommission am 26. März 2019 eine Empfehlung zur Cybersicherheit von 5G-Netzen an, in der sie die Mitgliedstaaten aufrief, nationale Risikobewertungen durchzuführen, ihre Maßnahmen zu überprüfen und zusammen an einer koordinierten Risikobewertung und einem gemeinsamen Instrumentarium von Risikominderungsmaßnahmen zu arbeiten. Die Mitgliedstaaten schlossen ihre jeweilige nationale Risikobewertung ab und übermittelten der Kommission und der EU-Cybersicherheitsagentur die Ergebnisse. Im Oktober 2019 veröffentlichten die Mitgliedstaaten einen koordinierten EU-Bericht‚ in dem die wichtigsten Bedrohungen und Angreifer, die anfälligsten Anlagen und Einrichtungen, die größten Schwachstellen und eine Reihe strategischer Risiken genannt sind. In dem Bericht wurden eine Reihe von Sicherheitsproblemen im Zusammenhang mit 5G-Netzen aufgezeigt und Faktoren zur Bewertung der Risikoprofile einzelner Anbieter festgelegt. Im November 2019 veröffentlichte die EU-Cybersicherheitsagentur einen speziellen 5G-Bedrohungslagebericht als weiteren Beitrag für das Instrumentarium.
Links zum Thema:
Mitteilung der Kommission über die sichere 5G-Einführung in der EU
EU-Instrumentarium für die 5G-Cybersicherheit
Factsheet
Eurobarometer-Umfrage
Quelle dieser Informationen: EU-Nachrichten der Vertretung der EU-Kommission in Deutschland.