Operatorii de comunicații sunt responsabili de dezvoltarea rețelelor 5G, iar statele membre sunt responsabile de securitatea națională. Obiectivul Toolbox este de a stabili o abordare coordonată a setului de măsuri menite să reducă riscurile de securitate ale rețelelor 5G.
Măsurile strategice identificate includ următoarele:
În ceea ce privește evaluarea profilurilor cu risc ale furnizorilor individuali, Comisia sugerează că acest lucru poate fi evaluat pe baza unei varietăți de factori:
• Probabilitatea ca furnizorul să fie supus interferenței dintr-o țară terță. Astfel de interferență poate fi facilitată de (dar nu limitat la) prezența următorilor factori:
• Capacitatea furnizorului de a asigura aprovizionarea cu echipamente.
• Calitatea generală a produselor și practicile de securitate cibernetică ale furnizorului, inclusiv:
Măsurile tehnice includ măsuri de consolidare a securității rețelelor și echipamentelor 5G și consolidarea securității tehnologiilor, proceselor, oamenilor și a factorilor fizici:
În plus, adoptarea acestor măsuri de către statele membre va permite Comisiei să ia măsuri suplimentare pentru asigurarea unui lanț de aprovizionare 5G divers și durabil pentru a evita dependența pe termen lung de un furnizor, inclusiv prin utilizarea deplină a instrumentelor și instrumentelor UE existente (screening-ul ISD, apărare comercială). De asemenea, se dorește consolidarea capacităților UE în tehnologiile 5G și post-5G folosind programele relevante ale UE, și finanțarea și facilitarea coordonării între statele membre în ceea ce privește standardizarea pentru atingerea obiectivelor specifice de securitate și dezvoltarea certificării relevante la nivelul UE scheme.
Raportul Morgan Lewis a analizat în detaliu cinci state din cadrul UE, respectiv Germania, Suedia, Finlanda, România și Polonia, pentru a identificare principalele diferențe dintre abordări referitoare la legislația 5G.
La fel ca în abordarea UE, majoritatea statelor au mers pe criterii tehnice în evaluarea riscurilor aferente furnizorilor de echipamente 5G, inclusiv Germania, Suedia și Finlanda. Cu excepția România și Polonia, unde principalul criteriu de evaluare este politic, se extinde asupra tuturor rețelelor de comunicații (2G, 3G, 4G), iar legea are efect retroactive pentru ultimii cinci ani.
Deocamdată, legea este încă în dezbatere în România și Polonia, spre diferență de celelalte state, unde avansul către implementarea legii și a dezvoltării tehnologiei 5G este mult mai avansat.
Se dorește însă o susținere cât mai rapidă a implementării legii pentru a putea organiza licitația pentru spectrul de frecvență 5G. Pe partea tehnică, evaluarea riscurilor aferente securității 5G tinde să se globalizeze prin standarde adoptate de furnizorii din întreaga lume (prin 3GPP și GSMA), care ușurează sarcina tehnică a evaluatorilor. Principala piedică din prezent rămâne factorul politic, influențat de alegerile parlamentare sau prezidențiale care au loc în mai multe state spre sfârșitul anului.
Principalii furnizori globali de echipamente pentru rețele mobile, respectiv Huawei, Ericsson, Nokia și ZTE, au încheiat cu succes o evaluare a proceselor de dezvoltare și de gestionare a cilului de viață a produselor proprii utilizând GSMA Network Equipment Assurance Scheme (NESAS).
Schema NESAS este realizată prin colaborarea 3GPP și GSMA, fiind deschisă tuturor furnizorilor de echipamente de rețea care suportă funcțiile 3GPP. NESAS se concentrează pe calitățile furnizorilor din lanțul de aprovizionare și oferă un cadru de asigurare a securității în industria comunicațiilor. NESAS a fost dezvoltat folosind practicile și soluțiile deja stabilite pentru asigurarea securității.
„GSMA recunoaște sprijinul și participarea Ericsson, Huawei, Nokia și ZTE care au îndeplinit cerințele de securitate ale schemei printr-un audit de securitate independent și îi felicităm pentru realizarea acestui prim pas important”, spune Alex Sinclair, Chief Technology Officer, GSMA. „Prin angajamentul față de NESAS, furnizorii ajută operatorii de rețea și alte părți interesate să ia decizii în cunoștință de cauză pentru dezvoltarea sigură a produselor. Așteptăm cu nerăbdare ca alții să participe la schemă, dovedind angajamentul lor față de bunele practici de securitate prin promovarea unei culturi de securitate în cadrul industriei.”
În timpul celei de-a doua etape a NESAS, furnizorii vor trimite produse de echipamente de rețea către laboratoare de testare calificate pentru evaluare. Această etapă implică laboratoare care efectuează teste de securitate definite de 3GPP și verificarea dezvoltării securizate a produselor și a gestionării ciclului de viață. Evaluarea se încheie cu un raport de evaluare creat de către laboratorul de testare, prin care înregistrează rezultatele testelor. Raportul este furnizat furnizorului care îl poate pune la dispoziția clienților săi și a altor părți interesate, la alegerea sa.
GSMA susține în mod activ eforturile depuse în interiorul industrie de a crește nivelurile de securitate a infrastructurii de rețea. NESAS reprezintă o inițiativă critică a industriei, prin care crește transparența și îi stimulează pe vânzători să dezvolte și să susțină echipamente de rețea care să protejeze operatorii și clienții acestora și să poată sprijini cerințele de securitate naționale.