A Comissão Europeia mostra “grande preocupação” com os riscos que certos fornecedores de equipamentos de comunicação de redes móveis representam para a segurança da União Europeia. Com a Huawei e a ZTE na mira da CE, são anunciadas novas recomendações de segurança.
Por Sónia Santos Dias
Os Estados-Membros da União Europeia (UE)E, com o apoio da Comissão Europeia (CE) e da Agência da UE para a Cibersegurança (ENISA), publicaram nesta quinta-feira um segundo relatório de progresso sobre a implementação do conjunto de ferramentas da UE para a cibersegurança 5G. O relatório aborda igualmente algumas das recomendações do relatório especial do Tribunal de Contas Europeu de janeiro de 2022. Em complemento ao relatório intercalar, a CE adotou uma comunicação sobre a aplicação do conjunto de instrumentos pelos Estados-Membros e nas comunicações empresariais e atividades de financiamento da própria UE.
No que diz respeito às medidas estratégicas e, em especial, à imposição de restrições aos fornecedores de alto risco, o relatório intercalar regista que 24 Estados-Membros adotaram ou estão a preparar medidas legislativas que conferem às autoridades nacionais poderes para realizar uma avaliação dos fornecedores e emitir restrições. Destes, 10 Estados-Membros impuseram tais restrições e 3 Estados-Membros estão atualmente a trabalhar na aplicação da legislação nacional pertinente. Dada a importância da infraestrutura de conetividade para a economia digital e a dependência de muitos serviços críticos em relação às redes 5G, os Estados-Membros devem implementar o conjunto de instrumentos sem demora.
Na sua comunicação, a CE sublinha a sua grande preocupação com os riscos que certos fornecedores de equipamentos de comunicação de redes móveis representam para a segurança da União. A Comissão considera que as decisões adotadas pelos Estados-Membros para restringir ou excluir a Huawei e a ZTE das redes 5G são justificadas e conformes com o conjunto de instrumentos 5G. Em consonância com essas decisões, e com base numa vasta gama de informações disponíveis, a CE considera que a Huawei e a ZTE representam, de facto, riscos materialmente mais elevados do que outros fornecedores 5G.
“Precisamos de mais ações urgentes no âmbito da Toolbox da UE. Em especial, adotar as restrições necessárias para os fornecedores de alto risco, a fim de garantir a segurança das infraestruturas críticas da União. Embora alguns Estados-Membros tenham feito progressos, o relatório mostra que ainda não chegámos ao ponto em que deveríamos estar. A Comissão está a fazer o necessário para garantir a segurança nas suas próprias redes e instrumentos de financiamento”, refere Margrethe Vestager, vice-presidente Executiva para uma Europa Preparada para a Era Digital.
A CE considera que a segurança das redes 5G é uma componente essencial da sua Estratégia da União para a Segurança, uma vez que essas redes são uma infraestrutura central que fornecem a base para uma vasta gama de serviços essenciais para o funcionamento do mercado interno europeu. Considera que a questão é central para a soberania, a autonomia estratégica e a resiliência da União.
Assim, no âmbito da sua política de cibersegurança empresarial, a CE tomará medidas para evitar a exposição das suas comunicações empresariais às redes móveis que utilizam a Huawei e a ZTE como fornecedores. Tomará as medidas de segurança pertinentes para não adquirir novos serviços de conetividade que dependam de equipamento desses fornecedores e trabalhará com os Estados-Membros e os operadores de telecomunicações para garantir que esses fornecedores sejam progressivamente eliminados dos atuais serviços de conetividade dos sítios da CE.
Recomendações do segundo relatório intercalar sobre a Toolbox 5G
O relatório, adotado pelos Estados-Membros, regista que foram realizados novos progressos na aplicação das principais medidas do conjunto de instrumentos da UE desde o primeiro relatório intercalar de julho de 2020. A grande maioria dos Estados-Membros reforçou ou está em vias de reforçar os requisitos de segurança para as redes 5G com base no conjunto de instrumentos da UE. Ainda assim, o relatório considera que esta situação cria um risco claro de dependência persistente de fornecedores de alto risco no mercado interno, com impactos negativos potencialmente graves na segurança dos utilizadores e das empresas em toda a UE e nas infraestruturas críticas da UE.
“O presente relatório deixa claro que é uma prioridade urgente que as autoridades nacionais concluam os seus esforços para aplicar plenamente as medidas do conjunto de instrumentos 5G da UE, a fim de proteger a segurança coletiva da UE. A conclusão destes esforços e, em particular, a identificação e restrição do acesso a fornecedores de 5G de alto risco, é vital para selar a infraestrutura da União da Segurança”, sublinha Margaritis Schinas, vice-presidente para a Promoção do Modo de Vida Europeu.
O relatório inclui recomendações aos Estados-Membros para:
– Assegurar que dispõem de informações exaustivas e pormenorizadas dos operadores móveis sobre o equipamento 5G atualmente implantado e sobre os seus planos de implantação ou de aquisição de novos equipamentos.
– Ao avaliar o perfil de risco dos fornecedores, os Estados-Membros devem ter em conta os critérios objetivos recomendados na Toolbox da UE. Neste contexto, deve-se ter em conta que os fornecedores 5G apresentam diferenças claras nas suas características, em especial no que diz respeito à probabilidade de serem influenciados por países terceiros específicos que têm leis de segurança e governação empresarial que constituem um risco potencial para a segurança da União. Além disso, as designações feitas por outros Estados-Membros relativamente a fornecedores de alto risco devem ser tidas em conta, a fim de promover a coerência e um elevado nível de segurança em toda a União.
– Com base na avaliação dos fornecedores, os Estados-Membros devem impor restrições aos fornecedores de alto risco sem demora, ou seja, tendo em conta que uma perda de tempo pode aumentar a vulnerabilidade das redes na União.
– Para atenuar eficazmente os riscos, os Estados-Membros devem assegurar que as restrições abranjam os ativos críticos e altamente sensíveis identificados na avaliação de risco coordenada da UE, incluindo a rede de acesso via rádio.
– Relativamente aos tipos de equipamento abrangidos pelas restrições, os operadores não devem ser autorizados a instalar novos equipamentos. Se forem permitidos períodos de transição para a remoção dos equipamentos existentes, estes devem ser definidos de modo a garantir a remoção dos equipamentos no local no mais curto espaço de tempo possível, tendo em conta o risco de segurança de manter no local equipamentos de fornecedores de alto risco, e não devem ser aplicados para permitir a continuação da implantação de novos equipamentos de fornecedores de alto risco.
– Aplicar restrições aos prestadores de serviços geridos (MSP) e, no caso de as funções serem subcontratadas a MSP, impor disposições de segurança reforçadas relativamente ao acesso que lhes é concedido.
– Discutir mais aprofundadamente a aplicabilidade das medidas relacionadas com a diversificação de fornecedores e a melhor forma de garantir que qualquer potencial diversificação não resulte em riscos de segurança novos ou acrescidos, mas contribua para a segurança e a resiliência.
– Aplicar medidas técnicas e assegurar um forte nível de supervisão. Deve ser dada especial atenção a determinadas medidas, nomeadamente a garantia da aplicação de requisitos de segurança de base, o aumento das normas de segurança nos processos dos fornecedores através de condições de contratação sólidas e a garantia de uma gestão, operação e monitorização seguras da rede 5G.
Recorde-se que a Toolbox da UE sobre cibersegurança 5G foi publicada em janeiro de 2020 pelas autoridades dos Estados-Membros (Grupo de Cooperação SRI), com o apoio da Comissão e da ENISA, e visa abordar os riscos relacionados com a cibersegurança das redes 5G. Identifica e descreve um conjunto de medidas estratégicas e técnicas, bem como as correspondentes ações de apoio para reforçar a sua eficácia.