关于成员国在实施欧盟 5G 网络安全工具箱方面的进展的第二次报告

关于会员国的第二次报告 在5G网络安全方面实施欧盟工具箱的进展 2023年6月 目录 1.Introduction3 1.1.政策背景3 1.2.报告的目标和内容4 1.3.方法4 2.成员国实施欧盟工具箱措施的进展5 2.1.实施战略措施5 2.2.实施技术措施11 3.欧盟工具箱支持行动和其他欧盟级别的行动16 3.1.知识交流和能力建设17 3.2.供应链弹性18 3.2.1.开放式无线接入网(OpenRAN)的网络安全18 3.2.2.欧洲通信基础设施和网络的网络安全和弹性风险评估19 3.2.3.欧盟协调5G19以外的风险评估 3.2.4.标准化和认证20 3.2.5.对欧盟网络技术领域能力的投资20 3.2.6.欧盟为安全的5G部署提供资金21 4.欧洲审计法院建议的执行情况21 5.主要发现和结论22 6.附件25 1.Introduction 1.1.政策背景 2020年1月发布的欧盟5G网络安全工具箱1（EUToolbox）旨在解决与5G网络网络安全相关的风险。它确定并描述了一套战略和技术措施，以及相应的支持行动，以加强其有效性，这些措施可能会到位，以减轻已识别的风险。会员国目前正在国家一级执行不同的措施。 该工具箱及其主要建议已得到欧洲联盟委员会和成员国最高级别的认可。2020年10月，欧洲理事会呼吁欧盟和成员国“充分利用2020年1月29日通过的5G网络安全工具箱，特别是根据共同客观标准，对欧盟协调风险评估中定义为关键和敏感资产的高风险供应商实施相关限制”。在2022年12月的建议中，欧盟理事会重申，“重要的是成员国实现欧盟工具箱中建议的5G网络安全措施的实施，特别是成员国对高风险供应商制定限制，考虑到时间的损失会增加欧盟网络的脆弱性。 欧盟层面的5G网络安全协调行动和欧盟工具箱是更广泛的欧洲电子通信网络和其他关键基础设施保护框架的一部分。并补充现有措施，如欧洲电子通信代码（EECC）4，电信框架，网络安全法案5和网络和信息系统安全指令（NIS指令）6。 关于成员国在实施欧盟工具箱方面的进展的第一份报告于20207年7月发布（第一份进度报告），并提供了截至2020年6月成员国执行不同措施的情况。报告的结论是，已经采取了具体步骤来实施欧盟工具箱。许多成员国已经通过或在准备更先进的5G网络安全安全措施方面取得了进展。然而，许多会员国仍在努力确定措施的内容和范围，在某些情况下，在这方面仍需要作出政治决定。 1NIS合作小组，5G网络的网络安全-欧盟风险缓解措施工具箱，2020年1月29日，https://digital-strategy.ec.europa.eu/en/library/网络安全-5g-networks-eu-toolbox-风险缓解 -措施 2欧洲理事会特别会议（2020年10月1日和2日）-结论，EUCO13/20。 3理事会关于加强关键基础设施韧性的全联盟协调方法的第15623/22号建议，2022年12月9日。 4欧洲议会和理事会关于建立欧洲电子通信法规的指令（EU）2018/1972。 5欧洲议会和理事会2019年4月17日关于ENISA（欧盟网络安全机构）以及关于信息和通信技术网络安全认证和废除条例（欧盟）第526/2013号（网络安全法）的2019/881条例 。 6欧洲议会和理事会2016年7月6日的指令（EU）2016/1148，关于在欧盟范围内实现网络和信息系统的高度共同安全的措施。 7NIS合作小组，关于成员国在实施欧盟5G网络安全工具箱方面的进展的报告，2020年7月24日，https://digital-strategy.ec.europa.eu/en/library/report-成员国-进展-实施-欧盟-工具箱-5G-网络安全 关于5G部署，到2023年4月，所有欧盟国家至少在该国的部分地区提供了商用5G服务，并且至少有一家提供5G服务的运营商覆盖了约81％的欧盟人口。 1.2.报告的目标和内容 该文件是关于欧盟工具箱执行情况的第二份报告。其主要目标是提供成员国直至2023年5月的欧盟工具箱执行过程的概述，以及自2020年第一份进度报告以来取得的进展。它是由NIS合作小组在委员会和欧盟网络安全机构(ENISA)的支持下编写和同意的。 该报告涵盖了欧盟工具箱的战略和技术措施的实施情况。战略措施（SMs）包括增加监管当局审查网络采购和部署的权力的措施，解决非技术漏洞相关风险的具体措施，以及促进可持续和多样化5G供应链和价值链的可能举措，以避免系统性、长期依赖风险。技术措施（TM）包括通过解决技术，流程，人力和物理因素引起的风险来加强5G网络和设备的安全性的措施。该报告还概述了欧盟层面正在进行的5G网络安全工作 。 具体而言，根据收集的信息，报告提供了欧盟工具箱措施的执行情况，已采取或计划采取的国家措施的概述以及分析的主要结果。在20229年1月的特别报告中，欧洲审计法院（ECA）得出结论，自采用欧盟工具箱以来，在加强5G网络的安全性方面取得了进展，大多数成员国都在对高风险供应商施加限制。然而，法院还强调，成员国在使用高风险供应商的设备或限制范围方面采用了不同的方法，欧盟工具箱本身有可能无法保证成员国以协调一致的方式处理安全问题。本报告还执行了欧洲审计法院的建议（见第4节）。 1.3.Methodology 本报告的结果基于成员国在NIS合作小组5G网络安全工作流框架内提供的信息。这些信息是在2022年6月至2023年5月期间收集的，特别是通过所有成员国提供答案的问卷，以及在NIS5G工作流会议期间的进一步投入和讨论。 收集的信息水平比2020年7月更详细，因为自那时以来，一些成员国通过了立法或公布了立法草案。但是，出于不同的原因（仍在讨论/咨询决定或等待政治决定，国家安全原因），并非所有会员国都为本报告提供了有关个别措施的详细信息。因此，在一些情况下，在编写本报告时缺乏可用信息，限制了可以对实质进行的分析。 85G天文台，季度报告18，2023年4月。 9欧洲审计法院，特别报告03/2022“5G在欧盟的推出：网络部署延迟，安全问题仍未解决”。 2.成员国在实施欧盟工具箱措施方面的进展 2.1.战略措施的实施 在执行欧盟工具箱的关键战略措施方面取得了进一步的进展。但是，各种措施之间以及成员国之间的执行情况仍然存在差异，这些差异将在下一节中根据成员国提供的数据进一步详细说明。 Implementationstatus 战略措施 已实施 正在进行中 已计划 尚未采取行动 SM01 23 1 / 3 SM02 18 8 / 1 SM03 通过的会员国 立法:21 成员国 / 未采取任何行动 与立法 yet:3 被收养或准备工作：3 有实际限制的成员国到位：10 成员国 / 成员国 目前工作 没有 在 限制 实施 地点或下 国家 立法：3 准备工作：14 SM04 12 6 / 9 SM05 9 1 1 16 SM06 3 4 2 18 SM07 见第2.1.7节。 2.1.1.SM01-加强监管机构的作用和权力 SM01-实施状态 3 1 23 实施正在进行中尚未采取行动 二十四个会员国已经实施或正在采取旨在加强国家当局作用的措施。这表明自2020年7月的第一份进度报告以来，该报告大幅增加，当时只有6个成员国认为该措施已实施 ，14个成员国正在实施，这表明当时报告正在实施或计划实施的大多数成员国在此期间已完成该措施。 (请参阅有关监管的更多详细信息 根据SM03第2.1.3节限制使用5G设备的权力)。 2.1.2.SM02-对操作员执行审计并要求提供信息 根据会员国的答复，18个会员国报告已执行SM02，而8个会员国报告正在执行或计划执行。相比之下，在第一份进度报告中，有7个会员国表示已执行该措施，有15个表示正在执行或计划执行。 在大多数情况下，成员国通过EECC的换位实施SM02。 2023年1月， SM02-实施状态 1 8 18 25个会员国已通知委员会关于EECC的完全换位。16个会员国报告说加强了审计的监管框架，18个会员国 正在定期进行审计，审计的平均周期从每四个月到每两年不等。 实施正在进行中尚未采取行动 根据收到的答复，十个成员国要求提供有关移动网络运营商（MNO）5G设备采购和第三方供应商参与计划的信息。在一些成员国中,这些信息必须作为必须提交给主管当局的MNO风险分析或多元化战略报告的一部分提供,或者作为SM01中提到的授权过程的一部分提供。 3.1.2.SM03-对高风险供应商的限制 根据SM03，成员国应该有一个立法框架，使国家当局能够评估供应商的风险状况，并在此基础上实施限制/排除。其次，它建议对供应商的风险状况进行具体评估，并施加限制，包括必要的排除，以有效减轻敏感和关键资产的风险。 国家当局的监管权力 立法框架 3 3 21 通过立法的成员国 正在通过或准备立法的会员国尚未采取行动 对高风险供应商的限制 10 14 3 有实际限制的成员国 致力于执行国家立法的会员国没有任何限制 根据会员国的答复，有21个会员国报告说已经通过了赋予国家当局限制高风险供应商权力的立法，有3个会员国正在通过或正在制定立法10。但是，一些会员国提供的关于正在制定的立法的性质和内容的信息有限。 10正在准备政府的案文草案。 其中，五个成员国拥有预授权系统/机制，移动运营商必须向主管当局申请授权才能部署5G设备。该机制将使与供应链风险有关的其他战略措施成为可能。四个会员国报告说，已经或将设立一个咨询机构，为政治一级关于高风险供应商的决策提供咨询和准备基础。 21个会员国报告说，已经制定或制定了评估供应商风险状况的标准清单。在大多数情况下，这些标准是公开的，并且基于EU工具箱中建议的标准。欧盟工具箱建议成员国根据欧盟5G网络协调风险评估的标准清单进行评估。这些标准包括：。 供应商受到非欧盟国家干扰的可能性；例如，通过供应商与非欧盟国家政府之间的紧密联系；或 通过非欧盟国家的立法，特别是在没有立法或民主制衡的情况下，或者在欧盟与非欧盟国家之间没有安全或数据保护协议的情况下； 供应商保证供应的能力；以及 供应商产品和网络安全实践的整体质量。 工具箱还建议增加具体国家的信息(例如国家安全部门的威胁评估等)。在这方面，几个会员国在其法律框架中阐明了与以下方面相关的补充标准: 供应商所在国家/地区实施的进攻性网络/情报政策； 供应商或其原产国对国家和/或欧盟安全构成威胁。 其他一些会员国也规定了其他标准，例如： 为供应商制定本地化要求的标准12； 与供应商参与犯罪活动的可能性相关的标准。 欧盟协调风险评估提到，电信设备供应商的公司治理存在显着差异，例如在透明度水平和公司所有权结构类型方面13。在这方面，欧洲审计法院关于5G的特别报告包含了对5G供应商的事实比较分析14。 在拥有立法权或正在准备的二十四个会员国中，有十七个会员国已经或将要采取事前方法，以禁止部署5G 设备。十九个会员国表示，它们能够强制拆除高风险供应商提供的已经到位的设备。 Thescopeofpotentialoractualrestrictionsisusuallydefinedinnationallegislations,oftenthroughalistofkeyassets.In17thMemberStateswherethisscopeifdefinedinlawthislistcoversor 11NIS合作小组，欧盟范围内5G网络安全协调风险评估，2019年10月9日，https://digital-stregy.ec.europa.eu/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security 例如，供应商必须位于欧盟、欧洲经济区(EEA)、