Volgens een eerste rapport van een coördinatiegroep over de uitvoering van aanbevelingen van de Europese Commissie maken de EU-landen vorderingen met de implementatie van nieuwe beveiligingsvoorschriften voor mobiele netwerken. Er is echter dringender werk nodig om ervoor te zorgen dat ze afhankelijkheid van leveranciers met een hoog risico voor 5G-netwerken vermijden, aldus het rapport. Een meerderheid van de landen rapporteert dat mobiele netwerken appratuur gebruiken van risicovolle leveranciers, terwijl slechts weinige lidstaten voldoende manieren zien om het risico te beheersen.
Het rapport is in januari aangekondigd door de Europese Commissie, bij de presentatie van de Toolbox om de 27 EU-landen te helpen bij het inschatten van veiligheidsrisico's in hun mobiele netwerken en bij de voorbereiding op de uitrol van 5G-netwerken. Hoewel commerciële 5G-netwerken al actief zijn in 12 EU-landen, geeft de vooruitgang bij het identificeren en verminderen van de veiligheidsrisico’s een gemengd beeld, aldus het rapport.
Juridisch kader ja, maatregelen nee
De meeste landen hebben de bevoegdheden van de nationale regelgevende instanties om de 5G-beveiliging te reguleren versterkt en de basisbeveiligingseisen voor de netwerken geïmplementeerd. Slechts enkele lidstaten hebben echter maatregelen getroffen om de betrokkenheid van risicovolle leveranciers bij de bouw van 5G-netwerken te beperken. Hoewel de meeste landen vergevorderd zijn met het voorbereiden van dergelijke beperkingen, roept de Europese Commissie op tot meer vooruitgang zodat het werk in de komende maanden is voltooid.
De geïmplementeerde of overwogen methoden omvatten pre-autorisatie voor operators die apparatuur aanschaffen, zoals Frankrijk en Italië hebben aangenomen, of de implementatie van 'witte' of 'zwarte' lijsten van leveranciers. De Commissie is voorstander van de eerste benadering, om te voorkomen dat specifieke leveranciers volledig worden verboden, zoals het VK met Huawei heeft gedaan.
Rol van statelijke actoren weegt mee
Om vast te stellen welke leveranciers als riskant moeten worden beschouwd, zei iets meer dan de helft van de EU-landen dat ze 'niet-technische' criteria zouden gebruiken (in sommige gevallen naast technische factoren). Potentiële staatsinterferentie in de 5G-toeleveringsketen werd door de meeste lidstaten genoemd als het grootste risico voor netwerkbeveiliging. Dientengevolge overwegen vele om leveranciersbeperkingen te baseren op hun land van herkomst of het risico van inmenging door derde landen. Hierbij kan rekening worden gehouden met het juridische en politieke systeem van het derde land of met dreigingsinformatie.
Zodra bepaalde leveranciers zijn uitgesloten, is de opgave om bestaande netwerken te verbouwen en nieuwe leveranciers te kiezen. Tot dusver is er weinig werk gedaan om mobiele operators te helpen hun afhankelijkheid van bepaalde leveranciers, riskant of anderszins, te verminderen, zo blijkt uit het rapport, en de Europese Commissie zei dat "vooruitgang dringend nodig is" op dit gebied.
Op zoek naar andere leveranciers
De aanbeveling is dat elk land, naast het beperken van risicovolle leveranciers, ook een multi-vendor-strategie onder operators promoot. Slechts twee van de EU-landen zeiden echter maatregelen te hebben genomen om ervoor te zorgen dat geen enkele exploitant afhankelijk is van één enkele leverancier, en de meerderheid zei dat ze geen tijdschema hadden om dit te implementeren.
Vele regeringen zien de noodzaak van nieuwe wetgeving om dergelijke eisen aan exploitanten op te leggen, evenals uitdagingen in het licht van een beperkt aantal geschikte leveranciers op de markt. Ze riepen op tot meer werk op EU-niveau ter ondersteuning van 5G-onderzoek en ontwikkeling van alternatieve leveranciers.
Netwerken van de volgende generatie
De Commissie kondigde afzonderlijk de start aan van een onafhankelijk onderzoek naar de 4G- en 5G-toeleveringsketen, om haar te helpen bij de uitvoering van haar beveiligingsaanbevelingen. Het rapport beoordeelt de bestaande marktsituatie, kijkt naar verwachte marktontwikkelingen en stelt mogelijke Europese en nationale beleidsmaatregelen voor om de risico's en kansen aan te pakken. De eenjarige studie zal sterk gericht zijn op de deelname van belanghebbenden, met twee workshops en vele interviews met deskundigen, aldus de Commissie. Eind dit jaar staat de eerste workshop gepland en begin 2021 zijn de eerste resultaten te verwachten.
De Commissie heeft ook een nieuw ontwerpvoorstel uitgebracht over het voorgestelde onderzoekspartnerschap "Slimme netwerken en diensten". Met steun van het Horizon-programma voor R&D van de EU zal het nieuwe partnerschap naar verwachting voortbouwen op de bestaande sterke positie van Europa op het gebied van telecomnetwerkapparatuur om het voortouw te nemen in de volgende generatie technologie. Het onderzoek zal naar verwachting de ontwikkeling van 6G- en Open RAN-systemen omvatten.
Het voortgangsverslag over de implementatie van de toolbox is opgesteld door de NIS-samenwerkingsgroep, die helpt bij het coördineren van veiligheidskwesties tussen EU-lidstaten. Het riep de landen op om informatie en oplossingen te delen over de implementatie van de 5G-toolbox, om de implementatie te voltooien. De staten moeten uiterlijk 1 oktober opnieuw verslag uitbrengen over de werking van de aanbeveling van de Commissie en of er meer actie nodig is.
