关于成员国在实施欧盟 5G 网络安全工具箱方面的进展的第二次报告

关于会员国的第二次报告欧盟工具箱的实施进展 关于5G网络安全 June2023 目录 1.Introduction3 1.1.Policy背景…………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………3 1.2.Objectivesand内容ofthe报告4 1.3.方法…………………………………………………………………………………………………… ………………………………………………………4 2.成员States’进展in实施theEU工具箱措施5 2.1.Implementationof战略措施5 2.2.Implementationof技术措施11 3.EU工具箱支撑行动and其他EUlevel行动16 3.13..2.1.Excha网ng络e安of全知o识fOapnden能收力音建机设访…问…权…限…N…et…wo…rk…s(…Op…en…R…AN…).…....….....…....….....…....….....…....….....…...1…8……… ……3.2….2.………Ri…sk…评…估…on…th…e…网…络…安全……an…d弹…性……of…欧…洲…通…信……………………………………………… ……基础…设…施…a…nd…网…络….….....…....….....…....…....….....…....….....…....…....1...719 3.23..2.3.SupplEyU链协条调韧ri性sk评估超越5G19 3.2.4.标准化and20 3.2.5.InvestmentsinEU能力intheareaof网络技术20 3.2.6.EU资金for安全5G21 4.Implementationoftherecommendationsofthe欧洲法院ofAuditors21 5.Key调查结果and结论22 6.附件25 1.Introduction 1.1.Policycontext 欧盟5G网络安全工具箱1(EUToolbox)于2020年1月发布，旨在应对风险与5G网络的网络安全有关。它确定并描述了一套战略和技术 措施，以及相应的支持行动，以加强其有效性，这些措施可能是到位，以减轻已识别的风险。会员国目前正在实施 国家层面的不同措施。 工具箱及其主要建议已得到欧盟委员会的认可 成员国最高级别。2020年10月，欧洲理事会呼吁欧盟和 成员国将充分利用2020年1月29日通过的5G网络安全工具箱，并在 特别是对定义为关键和关键资产的高风险供应商应用相关限制欧盟协调风险评估中的敏感性，基于共同的客观标准“2。在其2022年12月，欧盟理事会重申，“重要的是 成员国实现欧盟关于5G工具箱中建议的措施的实施网络安全，特别是成员国对高风险供应商颁布限制，考虑到时间的损失会增加联盟中网络的脆弱性“3. 欧盟层面的5G网络安全协调行动和欧盟工具箱是更广泛的一部分欧洲保护电子通信网络和其他关键网络的框架 基础设施，并补充现有措施，如欧洲电子通信 代码(EECC)4、电信框架、网络安全法案5，以及关于安全的指令网络和信息系统(NIS指令)6. 关于成员国在实施欧盟工具箱方面的进展的第一份报告于7月发布 20207（第一份进度报告）并给出了不同措施的实施状态截至2020年6月，该报告得出结论，已采取具体步骤实施欧盟工具箱。许多成员国已经采用或在 准备有关5G网络安全的更先进的安全措施。但是，工作仍然许多会员国正在就确定措施的内容和范围以及一些 在这种情况下，在这方面仍然需要做出政治决定。 1NIS合作小组，5G网络的网络安全-欧盟风险缓解措施工具箱，1月29日 2020，https://digital-strategy.ec.europa.eu/en/library/网络安全-5g-networks-eu-toolbox-risk-mitgating- 措施 2欧洲理事会特别会议（2020年10月1日和2日）-结论，EUCO13/20。 3理事会第15623/22号建议，关于采取全联盟协调办法加强 关键基础设施，2022年12月9日。 4欧洲议会和理事会关于建立欧洲电子的指令(EU)2018/1972 通信代码。 5欧洲议会和理事会2019年4月17日关于ENISA的条例(EU)2019/881( 欧洲联盟网络安全机构)和信息和通信技术网络安全 认证和废除条例（欧盟）第526/2013号（网络安全法）。 6欧洲议会和理事会2016年7月6日关于措施的指令(EU)2016/1148 为整个联盟的网络和信息系统提供高水平的安全性。 7NIS合作小组，关于成员国在5G方面实施欧盟工具箱的进展报告 网络安全，2020年7月24日，https://digital-strategy.ec.europa.eu/en/library/report-member-states-progress- 实施-欧盟-工具箱-5G-网络安全 关于5G部署，所有欧盟国家至少在 该国在2023年4月，约81%的欧盟人口至少覆盖了一个运营商提供5G服务8. 1.2.报告的目标和内容 本文件是关于欧盟工具箱执行情况的第二份报告。其主要目标是提供成员国在2023年5月之前的欧盟工具箱实施过程的概述， 以及自2020年第一份进度报告以来取得的进展。它已经由 NIS合作小组，在欧盟委员会和欧盟网络安全机构的支持下 （ENISA）。 该报告涵盖了欧盟工具箱的战略和技术措施的实施情况。战略措施(SM)包括有关增加当局监管权力的措施 审查网络采购和部署，解决与非 技术漏洞，以及促进可持续和多样化5G供应的可能举措 和价值链，以避免系统性、长期依赖性风险。技术措施(TM) 包括通过应对风险来加强5G网络和设备安全性的措施源于技术、工艺、人力和物理因素。该报告还概述 欧盟层面正在进行的5G网络安全工作。 具体而言，根据收集的信息，报告提供了 欧盟工具箱措施，通过或计划的国家措施概述，以及 分析。在2022年1月的特别报告中9欧洲审计法院(ECA)得出结论自欧盟工具箱成立以来，在加强5G网络的安全性方面取得了进展。通过，大多数会员国对高 风险供应商。但是，法院还强调，会员国采用了不同的方法关于使用高风险供应商的设备或限制范围，以及 是一种风险，即欧盟工具箱本身不能保证成员国在一致的方式。本报告还执行了欧洲法院的建议 审计员(见第4节)。 1.3.Methodology 本报告的结果基于会员国在以下框架内提供的信息： NIS合作小组关于5G网络安全的工作流。此信息是在 2022年6月和2023年5月，特别是通过所有会员国提供的调查表答案，并通过NIS5G工作流会议期间的进一步投入和讨论。 收集的信息水平比2020年7月更详细，因为几个会员国 此后通过的立法或公布的立法草案。但是，并非所有会员国都同意出于不同原因，本报告中关于个别措施的详细信息 （仍在讨论/咨询或等待政治决定，国家安全原因的决定）。因此，在一些情况下，在编写本报告时缺乏可用的信息 限制了可以对物质进行的分析。 85G天文台，季度报告18，2023年4月。 9欧洲审计法院，特别报告03/2022'5G在欧盟推出：网络部署延迟 安全问题仍未解决。 2.成员国在执行欧盟工具箱措施方面的进展 2.1.战略措施的实施 在执行欧盟工具箱的关键战略措施方面取得了进一步进展。但是，各种措施的执行情况仍然存在差异，并且 在会员国之间，将根据所提供的数据在下一节中进一步详细说明会员国。 status 战略措施 yet SM01 23 1 / 3 SM02 18 8 / 1 SM03 通过的会员国 成员国 / 未采取任何行动 立法:21 与立法 yet:3 被收养或 准备工作：3 有实际限制的成员国 成员国 / 成员国 到位：10 目前工作 没有 在 实施 限制 地点或下 国家 准备工作：14 立法：3 SM04 12 6 / 9 SM05 9 1 1 16 SM06 3 4 2 18 SM07 见第2.1.7节。 Implementation 已实施 正在进行中 计划不采取行动 2.1.1.SM01——强化监管机构的作用和权力 SM01-实施状态 3 1 23 已实施 正在进行中尚未采取行动 旨在加强国家作用的措施 当局要么已经实施，要么在 二十四个会员国的进展。这表明自第一份进度报告以来大幅增加 2020年7月，只有6个成员国认为措施已实施，14项正在进行中，这表明大多数会员国 报告正在进行或计划实施在此期间完成。 (请参阅有关监管的更多详细信息 根据SM03第2.1.3节限制使用5G设备的权力)。 2.1.2.SM02-对操作员进行审计并要求提供信息 SM02-实施状态 1 8 18 已实施 正在进行中尚未采取行动 根据会员国的答复，18个会员国 国家报告已实施SM02，而8个国家会员国报告将在 进度或计划。相比之下，在第一个在进度报告中，七个会员国表示这项措施已经实施，十五 表示其实施正在进行中或计划。 在大多数情况下，成员国实施SM02 通过EECC的换位。2023年1月， 25个会员国已将EECC的完全换位通知委员会。 16个会员国报告说加强了审计监管框架，18个会员国报告说会员国定期进行审计，审计的平均周期各不相同 从每四个月到每两年。 根据收到的答复，十个会员国要求提供有关移动网络运营商的信息 （MNO）计划进行5G设备采购和第三方供应商的参与。在一些会员国，这些信息必须作为MNO风险分析的一部分提供，或多元化战略报告必须提交给主管当局，或作为 SM01中提到的授权过程。 2.1.3.SM03-对高风险供应商的限制 根据SM03的说法，成员国应该有一个立法框架 当局能够评估供应商的风险状况，并对此应用限制/排除依据。其次，它建议具体执行对供应商风险状况的评估并应用限制，包括必要的排除，以有效降低敏感和 关键资产。 立法框架 3 3 21 通过立法的成员国 正在通过或准备立法的会员国尚未采取行动 对高风险供应商的限制 10 14 3 有实际限制的成员国 致力于执行国家立法的会员国没有限制的成员国 国家当局的监管权力 根据会员国的答复，有21个会员国报告通过了立法 赋予国家当局限制高风险供应商的权力，三个国家的立法收养或准备10然而，一些会员国提供的关于 准备立法的性质和内容。 10正在准备政府的案文草案。 其中，五个会员国有预先授权制度/机制请求授权主管当局能够部署5G设备。这 机制将启用与供应链风险相关的其他战略措施。四个成员国报告说，已经或将要成立一个咨询机构，为 政治层面关于高风险供应商的决策。 21个会员国报告说，它们已经制定或制定了评估以下风险状况的标准清单 Suppliers.Inmostcases,thesecriteriaarepublicandbasedontheonesrecommendedintheEU 工具箱。欧盟工具箱建议成员国应在 来自欧盟5G网络协调风险评估的标准清单11.此类标准 include: 供应商受到非欧盟国家干扰的可能性；例如通过供应商与非欧盟政府之间存在牢固的联系 国家；或通过非欧盟国家的立法，特别是在没有立法的情况下或实行民主制衡，或在没有安全或数据保护的情况下 欧盟与非欧盟国家之间的协议； 供应商保证供应的能力；以及 供应商产品和网络安全实践的整体质量。 工具箱还建议添加特定国家的信息(例如，威胁评估 nationalsecurityservices,etc.).Inthiscontext,severalMemberStateshavespelledout 其法律框架中的补充标准与: 供应商所在国家/地区实施的进攻性网络/情报政策 located; 供应商或其原产国对国家和/或欧