详细解读欧盟委员针对 5G 网络安全的建议
2019-06-04
到2025年,5G收入预计将达到2250亿欧元(约2540亿美元)。5G网络将连接包括关键领域在内的数十亿个对象,因此必须解决网络中的任何漏洞。
2019年3月26日,欧盟委员会发布了关于对5G网络安全进行全国和整个欧盟范围内审查的建议,并采取措施加强现有安全规则,从而确保它们反映出5G网络的战略重要性。
该建议还计划体现出网络威胁的演变。预计欧盟成员国将确保网络的完整性和安全性,而运营商有义务采取技术和组织措施来确保管理安全风险。欧盟委员会的建议旨在加强成员国之间的合作,并对最近批准的“网络安全法案”和“关于网络和信息系统安全的指令”进行补充。
不管是单个国家,还是整个欧盟范围内采取的措施,都必须有效解决欧洲地区的5G网络安全漏洞问题。几个欧盟成员国已经开始考虑在推出5G之前,加强对移动运营商和设备供应商的安全限制。例如,在瑞典,政府已宣布将审查是否应将某些组件、供应商和运营商排除在即将到来的5G建设之外。
为了避免整个欧洲采用相互冲突的做法,2019年3月26日,欧盟委员会发布了针对5G网络安全的统一做法建议。它建议采取一系列操作步骤和措施,从而确保整个欧盟的5G网络具备更高的安全水平。
由于5G网络将连接数十亿个对象和系统,包括能源、交通、银行和医疗等关键领域,以及承载敏感信息和支持安全系统的系统,因此解决任何安全漏洞都是非常重要的。
安全性必须被构建在5G技术之内,从而确保消费者和企业能够有效和安全地使用该技术,同时,5G基础设施必须具有弹性,并且完全不受任何技术或法律后门的影响。
欧盟委员会的建议包括一整套立法和政策工具,用于评估5G网络安全风险并加强任何现有预防措施。5G网络中的任何漏洞或者任何一个成员国的网络攻击,都可能影响整个欧盟,因此欧盟在整个欧洲范围内就网络安全问题展开合作,并建议各国采取相应措施,这是至关重要的。
在国家层面,欧盟委员会建议每个成员国应在2019年6月30日之前完成对5G网络基础设施的国家风险评估,并在2019年7月15日之前将结果传达给欧盟委员会和欧盟网络与信息安全局(ENISA)。成员国应该更新对网络运营商的现有安全要求,包括增加义务和包括确保网络安全的条件,特别是在授予5G频谱牌照时。
预计国家风险评估和措施将考虑各种风险因素,例如技术风险、以及与供应商或运营商(包括来自第三国的运营商)行为相关的风险。欧盟的想法是,国家风险评估将用于建立统一协调的欧盟风险评估。欧盟委员会还建议,如果有些公司不符合国家的标准和法律框架,那么成员国有权出于国家安全的理由将其排除在市场之外。
在欧盟层面,欧盟委员会已经提出了成员国之间应该相互交换信息,并且在欧盟委员会和ENISA的支持下,在2019年10月1日之前完成统一协调的风险评估。
在2019年12月31日之前,成员国预计将就解决国家和欧盟层面已确定的网络安全风险达成一系列缓解措施,并且可能包括认证要求、测试、控制以及被认为可能不安全的产品或供应商的鉴定。这种统一协调的努力还将支持成员国在国家层面的行动,并为欧盟委员会提供欧盟层面可能采取的进一步措施的指导。
将来,一旦网络安全法案生效,欧盟委员会和ENISA将创建一个欧盟范围的认证框架。针对数字产品、流程和服务的欧洲网络安全认证框架,将支持和促进一致的安全级别。然后,这可能被用于制定一个针对5G的欧盟范围专用认证计划,并最终通过国家技术法规强制执行这一认证。
Ovum法规分析师Sarah McBride表示,随着网络安全的世界在不断发展,企业能够继续有效地保护自己是至关重要的。Ovum表示,很高兴看到欧盟委员会要求所有成员国在2020年10月1日前评估这些建议的效果,以确定是否需要采取更多行动。随着技术的进步,法律框架不断完善发展是非常重要的。