As redes de quinta geração (5G) constituirão a futura pedra basilar das nossas sociedades e economias, ligando milhares de milhões de objetos e sistemas entre si, nomeadamente em setores críticos como a energia, os transportes, a banca e a saúde, bem como sistemas de controlo industriais que transmitem informações sensíveis e servem de base aos sistemas de segurança.
Os processos democráticos, como as eleições, dependerão cada vez mais de infraestruturas digitais e das redes 5G, o que sublinha a necessidade de corrigir os eventuais fatores de vulnerabilidade e confere particular acuidade às recomendações da Comissão, à luz das eleições do Parlamento Europeu em maio.
As recomendações são uma combinação de instrumentos legislativos e estratégicos que visam proteger as nossas economias, sociedades e sistemas democráticos. Tendo em conta que as receitas provenientes das redes 5G a nível mundial deverão atingir o equivalente a 225 mil milhões de euros em 2025, a tecnologia 5G é fundamental para assegurar a competitividade da Europa no mercado mundial, sendo a sua cibersegurança crucial para garantir a autonomia estratégica da União.
Qualquer fator de vulnerabilidade nas redes 5G ou ciberataque dirigido contra as futuras redes de um Estado-Membro afetaria a União no seu conjunto. Trata-se da razão pela qual se impõem medidas concertadas, tanto a nível nacional como da UE, para assegurar um elevado nível comum de cibersegurança.
A recomendação prevê uma série de medidas operacionais:
1. A nível nacional
Cada Estado-Membro deverá proceder a uma avaliação nacional dos riscos ligados às infraestruturas das redes 5G até ao final de junho de 2019. Com base nesta análise, os Estados-Membros deverão atualizar os atuais requisitos de segurança aplicáveis aos fornecedores de serviços e prever condições para garantir a segurança das redes públicas, nomeadamente aquando da atribuição de direitos de utilização de radiofrequências nas faixas 5G. Estas medidas deverão incluir maiores obrigações para os fornecedores e operadores no sentido de garantirem a segurança das redes. As avaliações de risco e medidas nacionais deverão ter em conta vários fatores de risco, como os riscos técnicos e os riscos ligados ao comportamento dos fornecedores ou operadores, incluindo de países terceiros. As avaliações de risco nacionais serão cruciais para empreender uma avaliação coordenada dos riscos a nível da UE.
Os Estados-Membros da UE têm o direito de excluir empresas dos seus mercados, por razões de segurança nacional, se estas não respeitarem as normas e o quadro jurídico do país.
2. A nível da União Europeia
Os Estados-Membros devem trocar informações entre si e empreender, com o apoio da Comissão e da Agência da União Europeia para a Cibersegurança (ENISA), uma avaliação coordenada dos riscos até 1 de outubro de 2019. Nessa base, os Estados-Membros chegarão a acordo sobre um conjunto de medidas de contenção desses riscos, aplicáveis a nível nacional. Estas medidas podem incluir requisitos de certificação, testes e controlos, bem como a identificação de produtos ou fornecedores que sejam considerados potencialmente não seguros. Este trabalho será realizado pelo grupo de cooperação que reúne as autoridades competentes, conforme previsto na Diretiva Segurança das Redes e da Informação, com a assistência da Comissão e da ENISA. Este trabalho coordenado deverá apoiar as ações dos Estados-Membros a nível nacional e fornecer orientações à Comissão sobre eventuais novas etapas a nível da UE. Além disso, os Estados-Membros deverão estabelecer requisitos de segurança específicos suscetíveis de serem aplicados no contexto dos contratos públicos relativos às redes 5G, incluindo a obrigação de implementar regimes de certificação da cibersegurança.
A recomendação apresentada tirará partido da vasta gama de instrumentos já existentes ou acordados, a fim de reforçar a cooperação contra os ciberataques e permitir que a UE intervenha de forma coletiva para proteger a sua economia e a sua sociedade. Neste contexto, pode citar-se nomeadamente a primeira legislação a nível da UE em matéria de cibersegurança (Diretiva Segurança das Redes e da Informação), o Regulamento Cibersegurança recentemente aprovado pelo Parlamento Europeu e as novas regras em matéria de telecomunicações. A recomendação ajudará os Estados-Membros a implementar estes novos instrumentos de uma forma coerente no que diz respeito à segurança das redes 5G.
No domínio da cibersegurança, o futuro quadro europeu de certificação da cibersegurança para os produtos, procedimentos e serviços digitais, previsto no Regulamento Cibersegurança, deverá constituir um instrumento de apoio essencial para promover níveis consistentes de segurança. Paralelamente à sua aplicação, os Estados-Membros deverão também colaborar com todas as outras partes interessadas, de forma imediata e ativa, na criação de regimes de certificação específicos à escala da UE para a tecnologia 5G. Uma vez disponíveis, os Estados-Membros deverão tornar obrigatória a certificação neste domínio, adotando regulamentação técnica nacional para o efeito.
No domínio das telecomunicações, os Estados-Membros têm de garantir a preservação da integridade e da segurança das redes de comunicações públicas, obrigando os operadores a tomar medidas técnicas e organizacionais para gerir adequadamente os riscos que recaem sobre a segurança das redes e serviços.
Próximas etapas
- Os Estados-Membros deverão concluir as suas avaliações nacionais em matéria de riscos até 30 de junho de 2019 e atualizar as medidas de segurança, na medida do necessário. A avaliação nacional em matéria de riscos deverá ser transmitida à Comissão e à Agência da União Europeia para a Cibersegurança até 15 de julho de 2019.
- Paralelamente, os Estados-Membros e a Comissão irão iniciar os trabalhos de coordenação no âmbito do grupo de cooperação SRI. A ENISA elaborará uma panorâmica das ameaças ligadas à tecnologia 5G, a fim de assistir os Estados-Membros na apresentação, até 1 de outubro de 2019, da avaliação dos riscos à escala da UE.
- Até 31 de dezembro de 2019, o grupo de cooperação RSI deverá chegar a acordo sobre um conjunto de medidas de contenção destinadas a gerir os riscos para a cibersegurança identificados a nível nacional e da União.
- Assim que o Regulamento Cibersegurança, recentemente aprovado pelo Parlamento Europeu, entrar em vigor nas próximas semanas, a Comissão e a ENISA instituirão o quadro de certificação à escala da UE. Os Estados-Membros são encorajados a cooperar com a Comissão e com a ENISA para dar prioridade a um regime de certificação que abranja as redes 5G e os equipamentos conexos.
- Até 1 de outubro de 2020, os Estados-Membros, em cooperação com a Comissão, deverão analisar os efeitos da recomendação a fim de determinar a necessidade de tomar novas medidas. Esta análise deverá ter em conta os resultados da avaliação coordenada dos riscos a nível da UE e a eficácia do conjunto de medidas.
Ligações úteis:
- Comunicado de imprensa - 26/03/2019
- Recomendação sobre a cibersegurança das redes 5G
- Perguntas e respostas
- União da Segurança: 15 de 22 iniciativas legislativas acordadas até à data
- Comunicado de imprensa: Negociadores da UE chegam a acordo quanto ao reforço da cibersegurança na Europa
- Comunicado de imprensa: Comunicação conjunta UE-China – Uma perspetiva estratégica
- Conclusões do Conselho Europeu de 22 de março de 2019
Informação detalhada
- Data de publicação
- 27 de março de 2019
- Autor/Autora
- Representação em Portugal