Spouštění sítí 5G v EU: při zavádění sítí dochází ke zpoždění a bezpečnostní problémy zůstávají nevyřešeny

Shrnutí

I „Pátá generace“ telekomunikačních systémů neboli 5G je novou globální normou v oblasti bezdrátové komunikace. Nabízí mnohem vyšší datovou kapacitu a přenosovou rychlost. Služby 5G jsou zásadní pro širokou škálu inovativních aplikací, které mají potenciál transformovat mnohá odvětví našich hospodářství a zlepšit každodenní život občanů. Sítě 5G mají proto strategický význam pro celý jednotný trh.

II Ve svém akčním plánu 5G z roku 2016 Komise předložila cíl zajistit do roku 2025 souvislé pokrytí sítí 5G v městských oblastech a podél hlavních dopravních cest. V březnu 2021 tento cíl rozšířila o záměr pokrýt do roku 2030 sítí 5G všechny obydlené oblasti.

III Sítě 5G mají sice potenciál vytvořit mnoho příležitostí k růstu, souvisejí s nimi však také určitá rizika. Ve svém doporučení z roku 2019 o kybernetické bezpečnosti sítí 5G Komise varovala, že závislost mnoha kritických služeb na sítích 5G by vedla k tomu, že by následky rozsáhlých narušení byly velmi závažné. Přeshraniční povaha příslušných hrozeb navíc znamená, že jakákoli významná zranitelnost nebo kybernetické bezpečnostní incidenty, které by se vyskytly v jednom členském státě, by měly dopad na EU jako celek. Jedním z výsledků tohoto doporučení Komise byl soubor opatření EU pro kybernetickou bezpečnost sítí 5G, který byl přijat v lednu 2020.

IV V celé EU by celkové náklady na zavádění sítí 5G mohly dosáhnout částky 400 miliard EUR. V období 2014–2020 EU poskytla financování na projekty 5G v objemu více než 4 miliardy EUR.

V Zkoumali jsme, zda Komise účinně podporovala členské státy v úsilí o dosažení cílů EU týkajících se spuštění jejich sítí 5G a při jednotném řešení otázek souvisejících s bezpečností těchto sítí. Posuzovali jsme aspekty týkající se jak zavádění sítí 5G, pro které byl rok 2020 klíčovým rokem, tak jejich bezpečnosti. Cílem této zprávy je poskytnout poznatky a doporučení pro včasné zavádění bezpečných sítí 5G ve všech zemích EU. Náš audit byl zaměřen na Komisi, ale zkoumali jsme též úlohu vnitrostátních správních orgánů a dalších subjektů.

VI Z auditu vyplynulo, že v členských státech dochází při spouštění sítí 5G ke zpoždění. Do konce roku 2020 spustilo 23 členských států komerční 5G služby a dosáhlo průběžného cíle, kterým je, aby k sítím 5G mělo přístup alespoň jedno velké město. Ne všechny členské státy však ve svých vnitrostátních strategiích pro sítě 5G nebo plánech pro širokopásmové připojení odkazují na cíle EU pro rok 2025 a 2030. V několika zemích navíc dosud nebyl ve vnitrostátním právu proveden evropský kodex pro elektronické komunikace a zpozdilo se přidělování spektra 5G. Tato zpoždění při přidělování spektra lze přičíst různým důvodům: slabé poptávce ze strany operátorů mobilních sítí, problémům v přeshraniční koordinaci se zeměmi mimo EU podél východních hranic, dopadu pandemie COVID‑19 na harmonogram aukcí a také nejistotě ohledně toho, jak řešit bezpečnostní problémy. Míra, v jaké členské státy zaostávají v zavádění sítí 5G, ohrožuje plnění cílů EU. Komise podporovala členské státy při provádění akčního plánu 5G z roku 2016 prostřednictvím iniciativ v oblasti „tvrdého“ i „měkkého“ práva, pokynů a rovněž financování výzkumu souvisejícího s 5G. Komise však jasně nevymezila očekávanou kvalitu služeb 5G.

VII V souboru opatření EU pro kybernetickou bezpečnost sítí 5G je uvedena řada strategických, technických a podpůrných opatření pro řešení bezpečnostních hrozeb sítí 5G a pro každé z těchto opatření se stanovují příslušné subjekty. Několik z těchto opatření se zabývá problémem vysoce rizikových prodejců zařízení 5G. Soubor opatření schválila Komise a Evropská rada. Kritéria v souboru opatření poskytují operační rámec pro koordinované hodnocení rizikového profilu dodavatelů ve všech členských státech. Provádění tohoto hodnocení ale zůstává v odpovědnosti jednotlivých členských států. Soubor opatření byl sice přijat v rané fázi zavádění sítí 5G, řada operátorů mobilních sítí již mezitím výběr svých dodavatelů zařízení 5G provedla. Od přijetí souboru opatření došlo k pokroku při posilování bezpečnosti sítí 5G. Většina členských států uplatňuje nebo se chystá uplatňovat omezení týkající se vysoce rizikových prodejců. V následujících letech mohou právní předpisy, které budou přijaty členskými státy na základě souboru opatření, vést k jednotnějšímu přístupu k vysoce rizikovým prodejcům zařízení pro sítě 5G. Vzhledem k tomu, že žádné z navrhovaných opatření není právně závazné, nemá Komise pravomoc k jejich prosazování. Zůstává tedy riziko, že samotný soubor opatření nemůže zaručit, že budou členské státy řešit příslušné bezpečnostní aspekty koordinovaným způsobem.

VIII Komise se začala zabývat problémem zahraničních subvencí poskytovaných prodejcům zařízení pro sítě 5G, které mohou mít bezpečnostní důsledky. Komise nemá dostatečné informace o způsobu, jakým by členské státy řešily potenciální náklady na náhradu, které by mohly vzniknout, pakliže by operátoři mobilních sítí museli bez přechodného období odstranit ze sítí EU zařízení od vysoce rizikových prodejců.

IX Doporučujeme Komisi, aby:

• podporovala rovnoměrné a včasné zavádění sítí 5G v rámci EU,
• prosazovala jednotný přístup k bezpečnosti sítí 5G mezi členskými státy,
• monitorovala přístupy jednotlivých členských států k bezpečnosti sítí 5G a posoudila dopad odlišných přístupů na účinné fungování jednotného trhu.

Úvod

Povaha a význam sítí 5G

01 „Pátá generace“ telekomunikačních systémů neboli 5G je novou globální normou v oblasti bezdrátové komunikace. Oproti sítím 3G a 4G nabízí mnohem vyšší datovou kapacitu a přenosovou rychlost. Sítě 5G zahrnují některé síťové prvky vycházející z předchozích generací mobilních a bezdrátových komunikačních technologií, nejde však o výsledek postupného vývoje těchto sítí. Jednotlivým uživatelům a připojeným zařízením sítě 5G poskytují univerzální připojení s ultravysokou přenosovou rychlostí a nízkou latencí.

02 Sítě 5G propojí více zařízení než kdy před tím v rámci „internetu věcí“. Na konci roku 2018 bylo po celém světě v užívání odhadem 22 miliard připojených zařízení. Předpokládá se, že toto číslo vzroste do roku 2030 na přibližně 50 miliard¹, čímž vznikne obrovská síť vzájemně propojených zařízení zahrnující vše od chytrých telefonů po kuchyňské spotřebiče. Očekává se, že celosvětový objem využívaných dat prudce vzroste z 12 exabytů přenesených mobilních dat za měsíc v roce 2017² na více než 5 000 exabytů do roku 2030³.

03 Služby 5G jsou zásadní pro širokou škálu inovativních aplikací, které mají potenciál transformovat mnohá odvětví hospodářství EU a zlepšit každodenní život občanů (viz obrázek 1). Studie z roku 2017 vypracovaná pro Komisi ukázala, že přínosy zavedení sítí 5G ve čtyřech klíčových strategických průmyslových odvětvích (automobilový průmysl, zdravotnictví, doprava a energetika) mohou dosáhnout až 113 miliard EUR ročně⁴. Studie rovněž předpokládá, že zavedení sítí 5G by mohlo v členských státech vytvořit 2,3 milionu pracovních míst. Další studie z roku 2021 odhaduje, že v letech 2021 až 2025 zvýší sítě 5G evropský hrubý domácí produkt (HDP) až o 1 bilion EUR s potenciálem vytvořit nebo transformovat až 20 milionů pracovních míst ve všech odvětvích hospodářství⁵.

Bezpečnostní otázky

04 Sítě 5G mají sice potenciál vytvořit mnoho příležitostí k růstu, přinášejí však také určitá rizika (viz příloha I, která uvádí hlavní příležitosti a rizika sítí 5G). Jedním z těchto rizik jsou bezpečnostní hrozby. Telekomunikační systémy byly vždy vystaveny riziku kybernetických útoků (viz příloha I)⁶. Bezpečnostní problémy jsou u sítí 5G obzvláště znepokojivé, jelikož tyto sítě nabízí větší prostor k útoku než telekomunikační systémy 3G nebo 4G, a to kvůli povaze svých technologií a zejména své závislosti na softwaru⁷.

05 Vzhledem k tomu, že se očekává, že se sítě 5G stanou páteří široké škály služeb a aplikací, dostupnost těchto sítí se stane hlavní bezpečnostní výzvou jednotlivých států i Evropské unie. Pokud by hackeři pronikli do sítě 5G, mohli by ohrozit její základní funkce a narušit služby nebo převzít kontrolu nad kritickou infrastrukturou (například rozvodné sítě), která má v EU často přeshraniční rozměr. Studie odhadují hospodářský dopad kyberkriminality až na 5 000 miliard EUR ročně, tedy více než 6 % celosvětového HDP v roce 2020⁸.

06 Další bezpečnostní výzvou sítí 5G je kritická úloha, kterou při budování a provozu sítí 5G hraje omezený počet prodejců. To zvyšuje expozici vůči potenciálnímu narušení dodávek v případě, že existuje závislost na jediném prodejci (a zejména pak v případě, že takovýto prodejce představuje vysokou míru rizika) – například budou-li dodávky předmětem zásahu ze země mimo EU. V roce 2019 skupina pro spolupráci v oblasti bezpečnosti sítí a informací, která se skládá ze zástupců členských států a orgánů EU, upozornila na riziko, že by do sítě 5G mohly mít snadný přístup „subjekty nepřátelských států“, a to prostřednictvím privilegovaného přístupu, skrze nátlak na prodejce nebo uplatnění vnitrostátních právních požadavků⁹ (viz rámeček 1). V této souvislosti začala EU vyvíjet iniciativy v oblasti bezpečnosti sítí 5G.

07 Potenciálně ohroženy jsou také důvěrnost a soukromí, neboť telekomunikační operátoři často poskytují své údaje datovým centrům. Existuje nebezpečí, že tyto údaje budou uloženy na zařízeních prodejců 5G, která se nacházejí v zemích mimo EU, kde existuje jiná úroveň právní ochrany a ochrany údajů než v EU.

Iniciativy v oblasti 5G přijaté na úrovni EU

08 Politický rámec týkající se sítí 5G a jejich bezpečnosti se skládá jak z „tvrdého“ práva, které je právně závazné a vynutitelné (například nařízení), tak z nezávazného „měkkého“ práva (například sdělení Komise). Právní a politický rámec je uveden v příloze III. Obrázek 2 znázorňuje hlavní politické dokumenty spolu s klíčovými cíli.

Úlohy a povinnosti

09 Operátoři mobilních sítí odpovídají za bezpečné spouštění sítí 5G pomocí zařízení od prodejců technologií a členské státy nesou odpovědnost za národní bezpečnost, avšak bezpečnost sítí 5G je otázkou strategického významu pro celý jednotný trh i technologickou suverenitu EU¹². V důsledku toho Komise a agentury EU podporují a koordinují opatření členských států, pokud jde o technické a bezpečnostní aspekty sítí 5G.

10 Tabulka 1 dále vysvětluje hlavní úlohy a povinnosti, co se týče sítí 5G.

Náklady na zavádění sítí 5G a související finanční podpora EU

Celkové náklady na zavedení sítí 5G ve všech členských státech by mohly dosáhnout 400 miliard EUR

11 V roce 2021 se celkové náklady na zavedení sítí 5G ve všech členských státech EU do roku 2025 odhadují mezi 281 miliardami EUR a 391 miliardami EUR, přičemž tato částka se rovnoměrně dělí mezi budování nové infrastruktury 5G a modernizaci pevné infrastruktury na gigabitové rychlosti¹³. Převážnou část těchto investic musí financovat operátoři mobilních sítí.

V období 2014–2020 EU podpořila rozvoj sítí 5G částkou větší než 4 miliardy EUR

12 Během období 2014–2020 podpořila EU rozvoj sítí 5G částkou větší než 4 miliardy EUR, a to přímo z rozpočtu EU i prostřednictvím finančních prostředků Evropské investiční banky (EIB). Zatímco z rozpočtu EU byly financovány projekty týkající se výhradně výzkumných činností, finanční prostředky EIB podporovaly jak výzkum v oblasti sítí 5G, tak jejich zavádění.

13 EIB je největším poskytovatelem finančních prostředků EU na projekty související se sítěmi 5G. K srpnu 2021 poskytla EIB úvěry v celkové výši 2,5 miliardy EUR na devět projektů v oblasti 5G v pěti členských státech¹⁴. Kromě toho bylo pro období 2014–2020 uvolněno přibližně 1,9 miliardy EUR z rozpočtu EU. Hlavní zdroje finanční podpory EU pro sítě 5G shrnuje tabulka 2.

14 EFSI (který spravuje EIB) podpořil dva projekty, jejichž cílem bylo dosáhnout zavádění hustší sítě buněk a podpořit standardizaci. Celkové investiční náklady na tyto projekty činily 3,9 miliardy EUR, včetně financování z EFSI ve výši 1 miliardy EUR (viz příloha IV).

15 Od roku 2014 Komise také přímo spolufinancovala více než 100 projektů v oblasti 5G, a to prostřednictvím financování z programu Horizont 2020 a v menší míře z EFRR. Příklady těchto projektů uvádí příloha V.

Další finanční prostředky na zavádění sítí 5G poskytne EU v nadcházejících letech z Nástroje pro oživení a odolnost

16 Doplňkový zdroj finančních prostředků na zavádění sítí 5G poskytne v nadcházejících letech Nástroj pro oživení a odolnost. K září 2021 plánovalo financovat zavádění sítí 5G prostřednictvím Nástroje pro oživení a odolnost 16 členských států a 10 států se rozhodlo tak neučinit. Od posledního členského státu nebyly informace dosud k dispozici.

Rozsah a koncepce auditu

17 Prostřednictvím tohoto auditu jsme posuzovali, zda Komise účinně podporuje členské státy:

• v úsilí o dosažení cílů EU pro roky 2025 a 2030 týkajících se zavedení a spuštění jejich sítí 5G,
• při jednotném řešení otázek souvisejících s bezpečností sítí 5G.

U obou těchto oblastí jsme prověřovali také opatření a činnosti členských států.

18 Pojmem „bezpečnost sítí 5G“ označujeme kybernetickou bezpečnost a zabezpečení hardwaru a softwaru. Zkoumali jsme bezpečnost i zavádění sítí 5G, pro které byl rok 2020 klíčovým rokem (viz obrázek 2). Prostřednictvím své zprávy chceme poskytnout poznatky a doporučení ohledně včasného zavádění bezpečných sítí 5G ve všech zemích EU.

19 Náš audit se vztahuje na období od roku 2016 do května 2021. Bylo-li to možné, zařadili jsme další aktuální informace. V rámci auditní práce jsme:

• přezkoumali právní předpisy EU, iniciativy Komise a další příslušnou dokumentaci,
• vedli rozhovory se zástupci Komise, EIB, Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (BEREC), Agentury Evropské unie pro kybernetickou bezpečnost (ENISA), telekomunikačních sdružení, operátorů mobilních sítí, prodejců 5G, mezinárodních organizací a odborníků v oboru, abychom shromáždili poznatky, a také s orgány ve Finsku, Německu, Polsku a Španělsku. Výběr členských států se zakládal na kritériích, jako je výše finančních prostředků EU určených na projekty v oblasti 5G, stav zavádění a zohlednění zeměpisné rovnováhy,
• provedli průzkum mezi všemi 27 vnitrostátními regulačními orgány EU v oblasti telekomunikace, abychom získali širší pohled na výzvy týkající se 5G v členských státech,
• přezkoumali deset projektů spolufinancovaných EU (EFSI, EFRR a Horizont 2020) týkajících se 5G, vybraných pro ilustraci.

20 Čerpali jsme také ze svého nedávného přezkumu reakce EU na čínskou státem řízenou investiční strategii¹⁵ a také z předchozích zpráv, například zpráv týkajících se širokopásmového připojení¹⁶, iniciativy digitalizace evropského průmyslu¹⁷ a politiky EU v oblasti kybernetické bezpečnosti¹⁸.

Připomínky

Zpoždění při zavádění sítí 5G ohrožuje dosažení cílů EU pro roky 2025 a 2030

21 Pokud jde o včasné zavádění sítí 5G, zkoumali jsme, zda:

• členské státy zavádějí sítě 5G podle plánu,
• Komise poskytovala členským státům odpovídající podporu,
• členské státy odstranily hlavní překážky rychlého spuštění sítí 5G.

Členské státy v zavádění sítí 5G zaostávají

Komise ve svém akčním plánu 5G z roku 2016 stanovila lhůty pro zavedení sítí 5G

22 Ve svém akčním plánu 5G z roku 2016 Komise navrhla lhůty pro zavedení sítí 5G v EU: členské státy měly do konce roku 2018 spustit první 5G sítě, do konce roku 2020 zavést plně komerční 5G služby alespoň v jednom velkém městě a do roku 2025 zajistit souvislé pokrytí sítí 5G v městských oblastech a podél hlavních dopravních cest.

23 V březnu 2021 přidala Komise další lhůtu, a to do roku 2030 pokrýt sítí 5G všechny obydlené oblasti¹⁹.

Do konce roku 2020 spustilo komerční 5G služby 23 členských států

24 Do konce roku 2020 dosáhlo cíle, aby alespoň jedno velké město mělo přístup ke službám 5G, 23 členských států. Tento cíl nesplnily pouze Kypr, Litva, Malta a Portugalsko. Ke konci října 2021 stále nenabízejí služby 5G v žádném ze svých měst již pouze Litva a Portugalsko.

Existuje riziko, že většina členských států nedodrží termíny cílů pro roky 2025 a 2030

25 Podle nedávné studie Komise pravděpodobně dosáhne do roku 2025 souvislého pokrytí sítí 5G ve všech svých městských oblastech a podél hlavních pozemních dopravních cest pouze 11 členských států²⁰. U zbývajících 16 členských států má Komise za to, že pravděpodobnost dosažení tohoto cíle je buď střední (Rakousko, Česká republika, Estonsko, Německo, Irsko, Polsko, Litva a Slovinsko), nebo nízká (Belgie, Bulharsko, Chorvatsko, Kypr a Řecko).

26 V roce 2021 průmyslová organizace Global System for Mobile Communications Association (GSMA) konstatovala, že zavádění sítí 5G postupuje v EU jiným tempem než v jiných částech světa. Odhadla například, že v Severní Americe bude do roku 2025 na 5G založeno 51 % veškerého mobilního připojení, ale v Evropě (včetně zemí mimo EU) to bude podle očekávání pouze 35 % (viz obrázek 3).

27 Při současném tempu zavádění existuje vysoké riziko, že termín cíle do roku 2025, a tedy i do roku 2030 na pokrytí všech obydlených oblastí, většina členských států nedodrží. S ohledem na tyto skutečnosti jsme zkoumali, zda Komise účinně podporovala členské státy, aby mohly dosáhnout cílů EU pro roky 2025 a 2030, pokud jde o zavádění a spouštění jejich sítí 5G.

V podpoře Komise pro členské státy existují určité nedostatky

Komise nevymezila očekávanou kvalitu služeb sítí 5G

28 Komise dosud nevymezila očekávanou kvalitu služeb sítí 5G, například pokud jde o minimální rychlost a maximální latenci. Kromě toho vyžaduje akční plán od členských států, aby do konce roku 2020 v Evropě spustily „plně komerční“ 5G služby, aniž by tyto pojmy související s kvalitou definoval.

29 Tato nedostatečná jasnost ohledně očekávané kvality služeb vytváří riziko, že si členské státy budou tyto pojmy vykládat odlišně. Mezi členskými státy jsme zaznamenali příklady rozdílných přístupů k zavádění sítí 5G (viz rámeček 2).

30 Pokud tento stav bude přetrvávat, mohlo by to vést k nerovnostem v přístupu ke službám 5G a v jejich kvalitě v EU („digitální propast“): lidé v jedné části EU by měli lepší přístup ke službám 5G v lepší kvalitě než ostatní. Tato digitální propast by také mohla ovlivnit potenciál hospodářského rozvoje, neboť 5G může radikálně ovlivnit oblasti, jako je zdravotní péče, vzdělávání a pracovní síla pouze tehdy, bude-li doprovázena dostatečnou výkonností.

31 Jasnost ohledně očekávané výkonnosti sítí 5G je zapotřebí také s ohledem na iniciativu Komise zavést větší transparentnost, pokud jde o kvalitu služeb poskytovaných operátory mobilních sítí pro roaming, v souvislosti s níž Komise nedávno předložila legislativní návrh²².

Čtvrtletní zprávy Komise o spouštění sítí 5G nejsou vždy spolehlivé

32 Komise monitoruje úroveň zavádění sítí 5G v členských státech prostřednictvím Střediska pro sledování 5G. Středisko poskytuje čtvrtletně informace o zavádění 5G a o strategiích členských států v oblasti 5G. Zjistili jsme však, že u dvou ze čtyř námi zkoumaných zemí nebyly informace obsažené v těchto zprávách vždy spolehlivé. Například čtvrtletní zpráva 10, která obsahuje informace do konce prosince 2020, uvádí mnohem nižší počet obcí s 5G ve Finsku, než je skutečný počet (40 namísto 70), a neposkytuje žádné informace o skutečnosti, že v Polsku byly odloženy aukce spektra 5G (viz bod 42).

Komise teprve nedávno využila ke sledování pokroku členských států při zavádění sítí 5G proces evropského semestru

33 Zjistili jsme, že během posledních dvou let Komise k podpoře pokroku členských států při zavádění sítí 5G více využívala proces evropského semestru. Počet doporučení pro jednotlivé země přímo souvisejících s 5G se zvýšil z doporučení pro dva členské státy v roce 2019 na doporučení pro sedm členských států v roce 2020 (viz obrázek 4).

Členské státy stále ještě musí odstranit klíčové překážky rychlého spuštění sítí 5G

34 Aby členské státy dosáhly cílů EU v oblasti zavádění sítí 5G do roku 2025 a 2030, musí položit tři hlavní stavební kameny: jeden strategický, tedy zajistit, aby jejich vnitrostátní strategie pro sítě 5G nebo plány pro širokopásmové připojení tyto cíle odrážely²³, druhý legislativní, tedy zajistit provedení směrnice o evropském kodexu pro elektronické komunikace z roku 2018²⁴, a poslední podnikatelsky zaměřený, tedy dosáhnout přidělení spektra²⁵. Tabulka 3 poskytuje přehled pokroku členských států u těchto tří prvků.

Jen málo členských států zahrnulo cíle v oblasti zavádění sítí 5G do roku 2025 a 2030 do svých vnitrostátních strategií pro tyto sítě

35 Členské státy stanovují svou politiku v oblasti 5G prostřednictvím zvláštních vnitrostátních strategií pro sítě 5G nebo pomocí aktualizace svých stávajících vnitrostátních plánů pro širokopásmové připojení. Studie Komise z roku 2021 týkající se vnitrostátních plánů pro širokopásmové připojení²⁶ uvádí, že cíl EU mít „do roku 2025 souvislé pokrytí sítí 5G pro všechny městské oblasti a hlavní pozemní dopravní cesty“ začlenilo do své vnitrostátní strategie pro sítě 5G nebo aktualizace vnitrostátních plánů pro širokopásmové připojení pouze 14 členských států (viz tabulka 3). Toto začlenění má pro podporu úspěšného provádění této politiky klíčový význam.

Většina členských států neprovedla směrnici o evropském kodexu pro elektronické komunikace do konce roku 2020

36 Evropský kodex pro elektronické komunikace – směrnici, která stanovuje úkoly vnitrostátních regulačních a dalších příslušných orgánů a lhůty pro přidělení prvotních pásem 5G – měly členské státy provést ve svém vnitrostátním právu do 21. prosince 2020. Do konce února 2021 pouze tři členské státy (Finsko, Řecko a Maďarsko) prohlásily, že přijaly veškerá nezbytná opatření k provedení této směrnice. Komise proto proti zbývajícím 24 členským státům zahájila řízení o nesplnění povinnosti²⁷.

37 Ke konci listopadu 2021 stále probíhá 23 řízení o nesplnění povinnosti. Ačkoli u šesti členských států Komise očekává, že řízení o nesplnění povinnosti brzy uzavře (týká se Rakouska, Bulharska, České republiky, Francie, Německa a Malty), v případě ostatních 17 členských států Komise bude možná nucena předložit záležitost Soudnímu dvoru²⁸ (viz tabulka 3).

Přidělování prvotních pásem 5G zaostává

38 V roce 2016 Komise a členské státy určily tři prvotní pásma, která měla být využita pro služby 5G:

• spektrum pásma 700 MHz usnadňuje pronikání bezdrátového signálu do budov a umožňuje operátorům poskytovat širší pokrytí (stovky čtverečních kilometrů). Rychlost a latence sítě 5G je však pouze o krok dál před sítí 4G (ze 150 na 250 megabitů za sekundu),
• střední kmitočtové pásmo 3,6 GHz, které může přenášet značné množství dat (až 900 megabitů za sekundu) a zároveň překonávat značné vzdálenosti (okruh několika kilometrů),
• vysoké kmitočtové pásmo 26 GHz, které poskytuje vysoké rychlosti 1 až 3 gigabitů za sekundu na krátké vzdálenosti (tj. méně než 2 km), ale je citlivější na rušení.

39 Členské státy měly zpřístupnit nízké kmitočtové pásmo do 30. června 2020²⁹ a střední a vysoké pásmo měly pak následovat do 31. prosince 2020³⁰. Do konce roku 2020 však členské státy přidělily méně než 40 % veškerých dostupných prvotních pásem (viz tabulka 4):

• pásmo 700 MHz bylo přiděleno ve 13 členských státech,
• pásmo 3,6 GHz bylo přiděleno v 17 členských státech (včetně dvou členských států, které poskytly jeho provizorní využívání),
• pásmo 26 GHz bylo přiděleno ve čtyřech členských státech.

K říjnu 2021 se míra přidělení zvýšila na 53 %³¹.

Zpoždění při přidělování prvotních pásem lze přičíst celé řadě důvodů

40 Zjistili jsme, že zpoždění při přidělování pásma 26 GHz je způsobeno především slabou poptávkou ze strany operátorů mobilních sítí. Například ve Španělsku je pro 5G z pásma 26 GHz k dispozici celkem 1,5 GHz. Zatím však tyto kmitočty operátorům nebyly přiděleny, protože podle veřejné konzultace dokončené v červnu 2019 po nich není poptávka. Do konce roku 2021 se plánuje nová veřejná konzultace s cílem vydražit toto pásmo ve druhém čtvrtletí roku 2022. Také operátoři mobilních sítí ve Finsku zaznamenali, že o pásmo 26 GHz zatím není velký zájem, ani pro ně zatím není ekonomické opodstatnění.

41 Ke zpoždění při přidělování spektra 5G přispívají také problémy v oblasti přeshraniční koordinace se zeměmi mimo EU podél východních hranic (Bělorusko, Rusko a Ukrajina). Tyto země mimo EU využívají podle stávajících mezinárodních dohod pásmo 700 MHz pro televizní vysílání a pásmo 3,6 GHz pro služby vojenských družic. Tento problém se týká především pobaltských států (Estonsko, Lotyšsko a Litva) a Polska. Podle Komise došlo k určitému pokroku v případě Ukrajiny a Běloruska, které by měly pásmo 700 MHz uvolnit do konce roku 2022. U dvoustranných jednání s Ruskem zatím nebylo dosaženo žádného pokroku. S ohledem na tuto situaci požádaly Estonsko a Polsko o výjimku, co se týče lhůty pro přidělení pásma 700 MHz, tedy o její prodloužení do poloviny roku 2022.

42 V Polsku a Španělsku byly navíc aukce spektra 5G odloženy během pandemie COVID‑19 (viz rámeček 3).

43 Dalším důvodem zdržení při přidělování prvotních pásem 5G jsou různé přístupy členských států k bezpečnosti sítí 5G a zpoždění při přijímání jejich zákonů o bezpečnosti těchto sítí, což vytváří obchodní nejistotu (viz body 74 a 75):

• Ve Španělsku bylo součástí pravidel pro aukce prvotních pásem obecné ustanovení o tom, že držitelé veřejných koncesí jsou povinni plnit povinnosti týkající se bezpečnosti sítí 5G stanovené kdykoli v budoucnu evropskými nebo španělskými předpisy. Španělský operátor mobilní sítě, s nímž jsme vedli pohovor, se domníval, že je v důsledku tohoto ustanovení nucen rozhodovat o strategiích a nákupech v podmínkách nejistoty. Poukázal také na to, že vnitrostátní orgány nebyly ochotny vyjasnit některé klíčové podmínky, jako je možnost kompenzace v případě, že budoucí právní předpisy, které mají být přijaty do konce roku 2022, budou vyžadovat výměnu zařízení.
• V Polsku byla jedním z důvodů pro odklad přidělení kmitočtů 5G nutnost počkat na zákon objasňující bezpečnostní požadavky na sítě 5G.

K řešení bezpečnostních problémů u zavádění sítí 5G je potřeba další úsilí

44 Co se týče bezpečnostních aspektů sítí 5G, zkoumali jsme, zda:

• Komise podnikla nezbytné kroky pro podporu řádné koncepce bezpečnostního rámce a poskytla členským státům odpovídající podporu,
• členské státy jednotným způsobem zavádějí bezpečné sítě 5G, přijímají zmírňující opatření obsažená v souboru opatření EU pro kybernetickou bezpečnost sítí 5G a aktualizují v tomto ohledu své právní předpisy.

Když se bezpečnost sítí 5G stala významným problémem na úrovni EU, Komise rychle zareagovala

45 Akční plán 5G z roku 2016 se bezpečností nezabývá. Bezpečnost sítí 5G a přílišná závislost na prodejcích ze třetích zemí, a zejména z Číny, byly za problém zásadního významu označeny v březnu roku 2019. Evropský parlament vyjádřil ve svém usnesení ze dne 12. března 2019³² obavy ohledně prodejců zařízení pro sítě 5G ze zemí mimo EU, kteří by kvůli zákonům své země původu mohli představovat bezpečnostní riziko pro EU. Téhož dne Komise ve svém strategickém výhledu týkajícím se vztahu mezi EU a Čínou zdůraznila, že v zájmu ochrany před potenciálními vážnými bezpečnostními dopady na kritickou digitální infrastrukturu je třeba stanovit společný přístup EU k bezpečnosti sítí 5G³³. Evropská rada v závěrech ze svého zasedání ve dnech 21. a 22. března 2019 požádala Komisi, aby vydala doporučení ohledně jednotného přístupu k bezpečnosti sítí 5G³⁴.

46 O několik dnů později Komise takové doporučení vydala. Obsahovalo soubor opatření na vnitrostátní úrovni (například posouzení rizik v oblasti 5G) i na úrovni EU (například koordinované posouzení rizik) s cílem zajistit vysokou úroveň kybernetické bezpečnosti sítí 5G v celé EU³⁵.

47 Téměř všechny členské státy dokončily svá vnitrostátní posouzení rizik ve lhůtě do července 2019³⁶. V říjnu 2019 vydala skupina pro spolupráci v oblasti bezpečnosti sítí a informací zprávu o posouzení rizik kybernetické bezpečnosti sítí 5G koordinovaném EU a v lednu 2020 „soubor opatření EU pro kybernetickou bezpečnost sítí 5G³⁷“ (viz příloha VII). Soubor opatření rychle schválila Komisí a Evropskou radou³⁸.

Soubor opatření EU pro kybernetickou bezpečnost sítí 5G z roku 2020 poprvé stanovil opatření k řešení bezpečnostních hrozeb na úrovni EU, nebyl však preskriptivní

Je-li bezpečnost sítí 5G považována za sféru spadající do pravomocí v oblasti národní bezpečnosti, omezuje to rozsah opatření Komise

48 Smlouvy EU³⁹ určují rozsah opatření k řešení problémů, jako jsou ty, které se týkají zavádění bezpečných sítí 5G na úrovni EU. Tento rozsah je velký a ponechává Komisi a členským státům prostor pro výklad (viz rámeček 4).

49 Bezpečnost sítí 5G se týká pravomocí jak jednotlivých států, tak EU a dotýká se i národní bezpečnosti. Komise přistoupila k problematice bezpečnosti sítí 5G ve smyslu ohrožení národní bezpečnosti členských států, a rozhodla se proto pro opatření „měkkého práva“. To znamená, že EU nemůže přijímat právně závazná opatření, která by členské státy nutila uplatňovat jednotná opatření ke zmírnění rizik, nebo zavádět vynutitelné požadavky. Místo toho může Komise vydávat nezávazná doporučení a sdělení, pomáhat při šíření osvědčených postupů a koordinovat vnitrostátní opatření členských států. Je však možný i jiný přístup. Příkladem je směrnice o bezpečnosti sítí a informací⁴⁰, což je právní předpis EU zabývající se bezpečností sítí a informačních systémů v celé Unii. Tento právní předpis navrhla Komise a byl přijat podle právního základu „jednotného trhu“, ačkoli je kybernetická bezpečnost do velké míry ve výhradní kompetenci jednotlivých států⁴¹.

Soubor opatření byl přijat v rané fázi zavádění sítí 5G, ale řada operátorů mobilních sítí již mezitím provedla výběr svých prodejců zařízení 5G

50 V lednu 2020 přijala skupina pro spolupráci v oblasti bezpečnosti sítí a informací soubor opatření EU pro kybernetickou bezpečnost sítí 5G, který uvádí řadu strategických, technických a podpůrných opatření pro řešení bezpečnostních hrozeb sítí 5G a určuje pro každé z těchto opatření příslušné subjekty. Tento soubor opatření, který schválila Komise a Evropská rada, byl přijat pouhých devět měsíců poté, co Evropský parlament a Rada poprvé vyjádřily své obavy ohledně bezpečnosti sítí 5G. V nedávné době byl soubor opatření EU pro kybernetickou bezpečnost sítí 5G zmíněn v nové Evropské strategii na podporu inteligentního, jasného a bezpečného spojení v digitálních systémech na celém světě, a to jako nástroj pro řízení investic do digitální infrastruktury⁴². Přístup založený na „měkkém“ právu zavedený Komisí přispěl k tomu, že opatření k řešení bezpečnostních hrozeb se rychle dala do pohybu také na úrovni EU, a usnadnil spolupráci členských států na tomto přeshraničním tématu. Pro srovnání, směrnice o bezpečnosti sítí a informací si vyžádala od návrhu Komise⁴³ až po své přijetí⁴⁴ více než tři roky a směrnice o evropském kodexu pro elektronické komunikace více než dva roky⁴⁵. Ještě více času bylo zapotřebí k provedení těchto směrnic ve vnitrostátních právních systémech členských států (viz také body 36 a 37).

51 Soubor opatření EU pro kybernetickou bezpečnost sítí 5G byl přijat čtyři roky poté, co byla politika v oblasti 5G představena v akčním plánu 5G, a ve stejném roce, kdy bylo třeba dosáhnout průběžných milníků v oblasti zavádění sítí 5G stanovených v rámci tohoto akčního plánu 5G. V této souvislosti se zástupci ministerstev členských států, vnitrostátních regulačních orgánů a operátorů mobilních sítí, s nimiž jsme pro účely tohoto auditu vedli pohovory, domnívali, že opatření týkající se bezpečnostních aspektů sítí 5G byla zavedena příliš pozdě.

52 Tento soubor opatření byl zároveň zveřejněn v době, kdy ve většině členských států byly zavádění sítí 5G a plány pro tyto sítě ještě v rané fázi. Většina smluv na zařízení sítí 5G mezi dodavateli a operátory byla uzavřena v letech 2020 a 2021. Podle Sdružení evropských provozovatelů telekomunikačních sítí (ETNO) však řada operátorů mobilních sítí v době, kdy byl dán k dispozici soubor opatření, již své prodejce vybrala.

Soubor opatření EU pro kybernetickou bezpečnost sítí 5G poskytl rámec pro hodnocení rizikového profilu dodavatelů, ale přetrvaly některé nedostatky

Některé členské státy a vnitrostátní orgány mají za to, že část kritérií pro klasifikaci prodejců jako vysoce rizikových není dostatečně jasná

53 Klíčovým rysem souboru opatření EU pro kybernetickou bezpečnost sítí 5G je nutnost, aby členské státy posuzovaly prodejce a u klíčových aktiv definovaných jako kritická uplatňovaly omezení vůči prodejcům klasifikovaným jako vysoce rizikoví. Toto posouzení by členské státy měly provést na základě demonstrativního výčtu kritérií pramenících z posouzení rizik koordinovaného EU. Mezi tato kritéria patří například:

• pravděpodobnost, že prodejce bude vystaven zásahům ze země mimo EU, například skrze existenci silné vazby mezi prodejcem a vládou země mimo EU nebo prostřednictvím právních předpisů této země mimo EU, zejména pokud v ní nejsou zavedeny žádné legislativní nebo demokratické brzdy a protiváhy nebo neexistují dohody o bezpečnosti nebo ochraně údajů mezi EU a danou třetí zemí,
• schopnost prodejce zajistit dodávky,
• celková kvalita produktů a postupů prodejce v oblasti kybernetické bezpečnosti.

54 Soubor opatření byl vypracován proto, aby se na vnitřním trhu předešlo fragmentaci a zajistila se jednotnost. Kritéria v souboru opatření poskytují operační rámec pro koordinované hodnocení rizikového profilu dodavatelů ve všech členských státech. Soubor opatření rovněž umožnil Komisi spolu s členskými státy rychle reagovat na nově se objevující problémy v oblasti bezpečnosti sítí 5G. Uplatňování těchto kritérií při hodnocení rizik týkajících se konkrétních dodavatelů však zůstává v odpovědnosti vnitrostátních orgánů. Do října 2021 tento rámec zohlednilo 13 členských států, které přijaly nebo aktualizovaly své právní předpisy pro oblast bezpečnosti sítí 5G (viz bod 75 a obrázek 6).

55 Zástupci dvou ze čtyř ministerstev členských států, s nimiž jsme pro účely tohoto auditu vedli pohovor, však zastávali názor, že některá z těchto kritérií poskytují prostor pro výklad a bylo by třeba je dále vyjasnit. Většina ze zmíněných dotázaných také požadovala další podporu a jasné pokyny Komise týkající se klasifikace vysoce rizikových prodejců. Zástupci členských států, s nimiž jsme vedli pohovory, rovněž uvedli, že tato situace vytváří riziko, že členské státy budou vůči vysoce rizikovým prodejcům používat rozdílné přístupy (viz též body 74 a 75 a rámeček 5). Podobné obavy vyjádřilo i jedenáct z vnitrostátních regulačních orgánů, které jsme formou průzkumu oslovili a které jsou v různé míře zapojeny do oblasti bezpečnosti sítí 5G.

Na posouzení bezpečnostních rizik má vliv země původu prodejců zařízení pro sítě 5G

56 Prodejci zařízení pro sítě 5G se liší, pokud jde o vlastnosti jejich podniků, a pocházejí ze zemí s různými vazbami na EU. Obrázek 5 ukazuje některé společné rysy a rozdíly, co se týče hlavních prodejců zařízení pro sítě 5G a zemí jejich původu, a to zejména v oblastech, které podle souboru opatření EU pravděpodobně ovlivní posouzení jejich rizikového profilu (viz bod 53).

57 Jedním z rizikových faktorů je míra, v níž země původu prodejce dodržuje základní politické a ekonomické hodnoty Evropské unie. Faktory související s konkrétními zeměmi, jako je právní stát, nezávislost soudnictví, otevřenost vůči zahraničním investicím a existence dohod o ochraně údajů, mohou být považovány za měřítko právní ochrany, kterou společnost požívá před vládními zásahy, a také ochrany, kterou společnost může poskytnout svým zákazníkům.

58 Zatímco prodejci sídlící v členských státech EU jsou povinni dodržovat normy a právní požadavky EU, u šesti z hlavních prodejců se sídlem v zemích mimo EU tomu tak není a tito prodejci působí v rámci právních předpisů třetích zemí (viz obrázek 5). Tyto právní předpisy se mohou od norem EU značně lišit, například co se týče ochrany údajů poskytované občanům, účinnosti této ochrany nebo obecněji toho, jak je prostřednictvím legislativních nebo demokratických brzd a protivah zajišťována nezávislost soudnictví. Pokud jde o nezávislost soudnictví, jsou na tom ve srovnání s jinými neunijními zeměmi původu prodejců zařízení pro sítě 5G lépe USA a Japonsko, a pokud jde o hodnocení oblasti právního státu, je na tom mezi zeměmi mimo EU nejlépe Jižní Korea.

59 Sítě 5G fungují převážně na bázi softwaru. Fakt, že někteří prodejci působí v rámci neunijních právních předpisů, by mohl být zvláště znepokojivý, pokud by řídicí centra takového softwaru byla umístěna v zemích mimo EU, takže na občany EU by se mohly vztahovat právní předpisy třetích zemí.

60 Komise se začala těmito obavami zabývat, neboť má za to, že každý podnik poskytující služby občanům EU by měl respektovat pravidla a hodnoty EU⁴⁶. Zahájila dialog s několika zeměmi, aby zajistila silnou ochranu soukromí u osobních údajů⁴⁷. Obrázek 5 také ukazuje, že Komise již v případě Japonska (a předtím Spojených států) uznala, že jejich režimy ochrany údajů poskytují odpovídající ochranu. Je však třeba upozornit, že rozhodnutí o odpovídající ochraně mohou být napadena a podléhají přísné soudní kontrole. Například v roce 2015 Evropský soudní dvůr zrušil tehdy platný právní nástroj pro výměnu údajů se Spojenými státy, tj. dohodu o „bezpečném přístavu“⁴⁸, a později v roce 2020 rozhodl, že dohoda o štítu mezi EU a USA pro ochranu osobních údajů, která nahradila dohodu o „bezpečném přístavu“, neposkytuje občanům EU odpovídající ochranu⁴⁹. V současné době proto v případě Spojených států neexistuje žádné rozhodnutí o odpovídající ochraně. Na obecnější rovině a mimo existenci režimu ochrany osobních údajů je důležité brát v úvahu širší právní a institucionální rámec, například dodržování zásad právního státu a způsob, jakým je zajištěna nezávislost soudnictví.

61 Obrázek 5 také ukazuje, že mezi prodejci zařízení pro sítě 5G existuje značná variabilita, co se týče podílu na 5G patentech, příjmů a počtu zaměstnanců. To má vliv na zdroje, které mají k dispozici, a ty zase mohou ovlivnit jejich odolnost a schopnost zajistit nepřetržité dodávky. Například Samsung a Huawei jsou prodejci, kteří mají největší podíl na 5G patentech, vytvářejí jako společnosti nejvyšší příjmy a mají celkově největší počet zaměstnanců.

62 Dalším důležitým faktorem definovaným v souboru nástrojů EU, který určuje rizikový profil prodejce, je pravděpodobnost, že prodejce bude vystaven zásahům ze strany vlády třetí země. V této souvislosti hraje důležitou úlohu vlastnictví, neboť vlastníci s velkým počtem podílů mohou být schopni vyvíjet tlak nebo ovlivňovat rozhodnutí vedení. Společnosti v soukromém nebo státním vlastnictví jsou navíc považovány za méně otevřené veřejné kontrole, pokud jde o audity a odpovědnost, ve srovnání s veřejnými obchodními společnostmi, které v průběhu roku podléhají přísným požadavkům na zveřejňování ve prospěch obecných investorů a regulačních orgánů. Většina prodejců zařízení pro sítě 5G jsou společnosti veřejně obchodované na burze cenných papírů, ať už ve své zemi původu, nebo v zahraničí, kdežto čínští prodejci se hůře klasifikují a jsou obecně vnímáni jako úzce spjatí s čínskou vládou⁵⁰.

Členské soudily, že podpora Komise a agentury ENISA byla při provádění souboru opatření EU pro kybernetickou bezpečnost sítí 5G užitečná

63 Komise poskytla členským státům podporu výměnou osvědčených postupů týkajících se některých klíčových opatření ze souboru opatření EU pro kybernetickou bezpečnost sítí 5G (včetně postupů týkajících se vysoce rizikových prodejců). Tato podpora, často poskytovaná v rámci skupiny pro spolupráci v oblasti bezpečnosti sítí a informací, byla doplněna konkrétními činnostmi agentury ENISA, například pořádáním webinářů nebo vydáváním pokynů týkajících se:

• provádění souboru opatření se zaměřením na technická opatření,
• osvědčených postupů v oblasti bezpečnosti sítí, zejména pokud jde o:

• typy ohrožení sítí 5G⁵¹,
• vypracování vnitrostátních posouzení rizik v oblasti 5G,
• bezpečnostní opatření v rámci evropského kodexu pro elektronické komunikace⁵² včetně samostatných pokynů pro oblast bezpečnosti sítí 5G⁵³.

64 Komise také pověřila agenturu ENISA, aby připravila systém certifikace kybernetické bezpečnosti pro sítě 5G v EU, který by měl pomoci řešit rizika související s technickými zranitelnostmi sítí a dále posílit kybernetickou bezpečnost⁵⁴. Tato certifikace by sice mohla přispět ke zlepšení bezpečnosti, nemůže však zabránit tomu, aby se hrozby do systémů dostávaly prostřednictvím aktualizací softwaru.

65 Všichni zástupci orgánů členských států, s nimiž jsme pro účely tohoto auditu vedli pohovory, zdůraznili užitečnost podpory Komise a agentury ENISA při provádění souboru opatření EU pro kybernetickou bezpečnost sítí 5G. Většina vnitrostátních regulačních orgánů v oblasti telekomunikace (15 z 21) navíc uvedla, že Komise anebo agentura ENISA podporovaly vnitrostátní orgány při výměně osvědčených postupů týkajících se provádění klíčových strategických opatření.

Soubor opatření EU pro kybernetickou bezpečnost sítí 5G byl přijat příliš pozdě na to, aby mohl být zohledněn u projektů spolufinancovaných EU v období 2014–2020

66 Jedním z cílů souboru opatření EU pro kybernetickou bezpečnost sítí 5G je zajistit, aby projekty v oblasti 5G spolufinancované EU zohledňovaly kybernetická bezpečnostní rizika. Soubor opatření byl však přijat až v lednu 2020. Vzhledem k tomu, že všechny projekty přezkoumávané pro účely tohoto auditu byly vybrány před přijetím souboru opatření EU pro kybernetickou bezpečnost sítí 5G, nelze očekávat, že se držely doporučeného přístupu ke kybernetické bezpečnosti, a to i vůči vysoce rizikovým prodejcům. V našem vzorku jsme nalezli například jeden projekt programu Horizont 2020 a dva projekty EFRR ve Španělsku využívající čínská zařízení 5G, která byla následně zakázána ve Švédsku (viz bod 15).

67 V období 2021–2027 hodlá Komise u projektů spolufinancovaných EU prosazovat jednotný přístup k bezpečnosti sítí 5G tak, že jako podmínku pro financování z EU stanoví soulad se souborem nástrojů. Přístup se však lišit v závislosti na režimu provádění:

• programy přímo řízené Komisí (například Horizont Evropa na období 2021–2027) umožní vyloučit prodejce, kteří podléhají zásahům ze strany vlád zemí mimo EU. Díky tomu by projekty financované EU měly zohledňovat kybernetická bezpečnostní rizika a mělo by se zabránit situacím, kdy určitý prodejce v jednom členském získá spolufinancování EU, zatímco v jiném členském státě je považován za vysoce rizikového a vyloučen,
• u programů prováděných v rámci sdíleného řízení právní předpisy žádné požadavky týkající se kybernetických bezpečnostních rizik neobsahují. Komise proto plánuje prosazovat začlenění odkazu na soubor opatření do dohod o partnerství členských států; tímto způsobem se má umožnit, aby financování projektů souvisejících s 5G z EFRR zohledňovalo kybernetická bezpečnostní rizika,
• u programu Invest-EU (který nahrazuje EFSI)⁵⁵ a Nástroje pro oživení a odolnost Komise rovněž plánuje vybídnout odpovědné orgány, aby na soubor opatření EU odkazovaly v dohodách o financování.

Členské státy při zavádění sítí 5G neřeší bezpečnostní aspekty jednotným způsobem

Informace o tom, jak členské státy přistupují k bezpečnostním záležitostem, jsou nedostatečné

68 Komise sleduje pokrok při provádění souboru opatření EU pro kybernetickou bezpečnost sítí 5G a podává o něm zprávy prostřednictvím skupiny pro spolupráci v oblasti bezpečnosti sítí a informací, dvoustranných jednání s členskými státy a nepřímo prostřednictvím sdělovacích prostředků. První výsledky tohoto sledování byly zveřejněny v červenci 2020⁵⁶. V prosinci 2020 Komise dále zveřejnila zprávu o dopadu svého doporučení o kybernetické bezpečnosti sítí 5G⁵⁷. V září 2021 se žádné další zprávy neplánovaly.

69 Výše uvedené zprávy však postrádají společný soubor klíčových ukazatelů výkonnosti a neposkytují srovnatelný soubor podrobných informací o tom, jak členské státy k otázkám souvisejícím s bezpečností sítí 5G přistupují.

70 Kromě toho existuje málo veřejně dostupných informací o tom, jak členské státy přistupují k vysoce rizikovým prodejcům, tj. jejich identifikace a to, zda jsou tito prodejci vyloučeni z poskytování svých zařízení 5G, a i tyto informace jsou rozporuplné a neúplné. Například:

• Komise ve své zprávě z července 2020 o pokroku členských států při provádění souboru opatření (viz bod 68) uvádí, že přibližně polovina členských států (14 z 27) posoudila rizikový profil prodejců a u prodejců považovaných za vysoce rizikové uplatnila omezení,
• zpráva sdružení BEREC z prosince 2020⁵⁸ uvádí, že tato omezení zavedlo pouze devět členských států a že sedm ze zbývajících 18 členských států, které omezení dosud nezavedly, nemá v úmyslu tato omezení v budoucnu zavést.

71 I když členské státy přijaly právní předpisy týkající se bezpečnosti sítí 5G (viz také bod 75), tyto předpisy stále nevyjasňují přístup členských států k vysoce rizikovým prodejcům. Jakákoli konkrétní rozhodnutí budou pravděpodobně přijata pouze prostřednictvím prováděcích aktů nebo neveřejných správních nebo obchodních rozhodnutí.

72 Podle zúčastněných stran a subjektů s rozhodovací pravomocí (například Evropského parlamentu), s nimiž byly vedeny pohovory, jsou neveřejné informace (například ze zpráv Komise nebo skupiny pro spolupráci v oblasti bezpečnosti sítí a informací) o přístupu členských států k vysoce rizikovým prodejcům rovněž vzácné a tyto subjekty musí spoléhat na sdělovací prostředky a neoficiální zdroje.

73 Navzdory přeshraniční povaze otázek souvisejících s bezpečností sítí 5G je celkově k dispozici málo veřejných informací o tom, jak členské státy přistupují k bezpečnostním záležitostem, a zejména k otázce vysoce rizikových prodejců. To brání sdílení znalostí mezi členskými státy a možnosti uplatňovat jednotná opatření. Rovněž to omezuje možnost Komise navrhovat zlepšení bezpečnosti sítí 5G.

Existují náznaky, že některé členské státy uplatňují vůči prodejcům zařízení pro sítě 5G rozdílné přístupy

74 Vnitrostátní orgány mají při provádění klíčových opatření v oblasti bezpečnosti sítí 5G velký prostor pro uvážení (viz body 48 a 49). Soubor opatření zohledňuje vnitrostátní pravomoci i relevantní faktory specifické pro jednotlivé země (hodnocení hrozeb provedené národními bezpečnostními službami, časový rámec pro zavádění sítí 5G, přítomnost dodavatelů, schopnosti v oblasti kybernetické bezpečnosti). Členské státy doposud uplatňovaly k použití zařízení od konkrétních prodejců nebo k rozsahu omezení uplatňovaných na vysoce rizikové prodejce rozdílné přístupy (viz příklady čtyř členských států v rámečku 5).

75 Od přijetí souboru opatření došlo k pokroku při posilování bezpečnosti sítí 5G. Většina členských států uplatňuje nebo se chystá uplatňovat omezení týkající se vysoce rizikových prodejců. Do konce roku 2021 přijalo nebo aktualizovalo státní zákony pro oblast bezpečnosti sítí 5G 13 členských států. Tato regulační opatření zohledňují kritéria stanovená v souboru opatření, ale uplatňují se v nich rozdílné přístupy (viz obrázek 6). Ostatní členské státy se takovéto právní předpisy chystají předložit ke schválení. V následujících letech to může vést k jednotnějšímu přístupu k vysoce rizikovým prodejcům zařízení pro sítě 5G, přinejmenším v členských státech, které tyto právní předpisy již schválily.

76 Komise dosud neposoudila, jaký by byl dopad rozdílných přístupů, kdyby jeden členský stát vybudoval své sítě 5G s využitím zařízení od prodejce, který by byl v jiném členském státě považován za vysoce rizikového. To by mohlo mít dopad buď na přeshraniční bezpečnost, nebo na hospodářskou soutěž operátorů mobilních sítí působících na jednotném trhu EU.

Komise se nedávno začala zabývat problémem zahraničních subvencí narušujících vnitřní trh

77 K prosinci 2020 pocházela více než polovina všech zařízení 4G a 5G v EU od prodejců ze zemí mimo EU (viz obrázek 7).

78 Konkrétně ke konci roku 2019 používalo 286 milionů zákazníků v EU‑27 (64 % celkové populace) telekomunikační sítě založené na zařízení 4G čínských prodejců⁵⁹. V říjnu 2020 se skupina poslanců Evropského parlamentu obrátila na ministry členských států odpovědné za telekomunikace a obchod a také na Komisi a vyjádřila obavy, že jedním z důvodů vysokého tržního podílu čínských prodejců je to, že tito prodejci těží z nespravedlivého ekonomického zvýhodnění, tj. dostávají veřejné subvence, které evropští prodejci v rámci pravidel EU pro státní podporu nemají k dispozici⁶⁰. V nedávném přezkumu jsme v tomto ohledu zdůraznili podobná rizika⁶¹. Tyto subvence mohou narušovat vnitřní trh, a tím vytvářet nerovné podmínky mezi prodejci zařízení pro sítě 5G, což může mít důsledky pro bezpečnost. Aby Komise řešila tento problém, navrhla v květnu 2021 nové nařízení⁶², které stanoví postupy pro šetření těchto subvencí a nápravu souvisejících narušení.

Komise nemá dostatečné informace o možných nákladech na náhradu zařízení od čínských prodejců

79 Podle zprávy z června 2020⁶³ by omezení klíčového prodejce infrastruktury 5G v EU zvýšilo v příštím desetiletí celkové investiční náklady o téměř 2,4 miliardy EUR ročně (tj. 24 miliard EUR). Podle jiné studie⁶⁴ evropští operátoři již nyní čelí modernizaci sítí 4G vybudovaných v letech 2012 až 2016, jelikož je běžnou obchodní praxí provádět generální opravu a modernizaci síťových zařízení starých více než tři až čtyři roky. Tato studie odhaduje, že celkové náklady na odstranění a výměnu modernizovatelných zařízení zakoupených u čínských prodejců od roku 2016 bude činit přibližně 3 miliardy EUR.

80 Vysoký podíl zařízení od čínských prodejců v kombinaci s jejich možným zařazením do kategorie vysoce rizikových prodejců v některých členských státech může vést k tomu, že operátoři mobilních sítí budou možná čelit nákladům na náhradu v řádu miliard EUR, neboť budou muset bez přechodného období odstranit zařízení čínských prodejců z evropských sítí a nahradit je jinými zařízeními (viz body 77–79). Státní podporu nelze v zásadě udělit na to, aby byli operátoři kompenzováni za dodržování zákonných povinností, pakliže členské státy neprokážou Komisi, že jsou splněny nezbytné požadavky (jako například motivační účinek). Při naší analýze jsme zjistili jeden případ, kdy vnitrostátní právní předpisy umožňují, aby byla z veřejného financování poskytnuta podpora na náklady na náhradu (viz finský zákon o elektronických komunikačních službách⁶⁵). Členské státy mají povinnost oznámit Komisi všechny případy státní podpory poskytnuté operátorům mobilních sítí jako kompenzace těchto nákladů. Komise uvádí, že k projednání státní podpory na náklady na nahrazení zařízení ji zatím nekontaktoval žádný členský stát ani zainteresovaný subjekt. Podle zainteresovaných subjektů z odvětví, s nimiž byly v průběhu auditu vedeny pohovory, ohrožuje nejistota, jak k těmto nákladům jednotlivé členské státy budou přistupovat, a také možné rozdíly v přístupu mezi členskými státy jistotu při podnikání a včasné zavedení sítí 5G.

Závěry a doporučení

81 Z našeho auditu celkově vyplynulo, že i přes podporu Komise dochází v členských státech při zavádění sítí 5G ke značným zpožděním a že je potřeba dalšího úsilí, aby se při zavádění sítí 5G vyřešily problémy s jejich bezpečností.

82 Ve svém akčním plánu 5G z roku 2016 Komise požadovala, aby do roku 2025 bylo zajištěno pokrytí sítí 5G ve všech městských oblastech a podél hlavních dopravních cest, a v březnu 2021 požadovala, aby do roku 2030 bylo zajištěno plné pokrytí. Do konce roku 2020 spustilo 23 členských států komerční 5G služby a dosáhlo průběžného cíle, kterým je, aby k takovým službám mělo přístup alespoň jedno velké město. Zjistili jsme však, že ne všechny členské státy ve svých vnitrostátních strategiích pro sítě 5G nebo plánech pro širokopásmové připojení na cíle Komise odkazují. V několika zemích navíc dosud nebyl ve vnitrostátním právu proveden evropský kodex pro elektronické komunikace a zpozdilo se přidělování spektra pro 5G. Tato zpoždění při přidělování spektra lze přičíst různým důvodům: slabé poptávce ze strany operátorů mobilních sítí, problémům v přeshraniční koordinaci se zeměmi mimo EU podél východních hranic, dopadu pandemie COVID‑19 na harmonogram aukcí a také nejistotě ohledně toho, jak řešit bezpečnostní problémy. Podle Komise je pouze u 11 členských států pravděpodobné, že dosáhnou cíle pro rok 2025 (viz body 22–43).

83 Komise podporovala členské státy při provádění akčního plánu 5G z roku 2016 prostřednictvím iniciativ, pokynů a financování výzkumu souvisejícího s 5G. Komise však dosud nevymezila očekávanou kvalitu služeb sítí 5G, například pokud jde o výkonnost z hlediska minimální rychlosti a maximální latence. To vedlo k tomu, že pojem „kvalita 5G“ je členskými státy chápán různě. Zaznamenali jsme rozdílné přístupy členských států k zavádění služeb 5G, například skutečnost, že pouze dva členské státy vymezily minimální rychlost a maximální latenci. Tyto rozdílné přístupy s sebou v konečném důsledku nesou riziko nerovností v přístupu ke službám 5G a v jejich kvalitě v EU, a tedy riziko toho, že „digitální propast“ mezi členskými státy a regiony se spíše zvětší, nežli zmenší (viz body 22–31).

Doporučení 1 – Podporovat rovnoměrné a včasné zavádění sítí 5G v rámci EU

Komise by měla:

1. společně s členskými státy vypracovat společné vymezení očekávané kvality služeb sítí 5G, jako jsou například požadavky na výkonnost, kterou by měly tyto sítě nabízet, pokud jde o minimální rychlost a maximální latenci;
2. vybídnout členské státy, aby do příštích revidovaných verzí svých digitálních strategií a strategií pro sítě 5G nebo plánů pro širokopásmové připojení zahrnuly cíle v oblasti zavádění sítí 5G pro roky 2025 a 2030 a také opatření nezbytná k jejich dosažení;
3. podporovat členské státy při řešení problémů v koordinaci spektra se sousedními zeměmi, které nejsou členy EU, například tím, že bude prosazovat, aby toto téma bylo na pořadu jednání každého příslušného zasedání.

Časový rámec: prosinec 2022

84 Bezpečnostní aspekty sítí 5G se staly významným problémem na úrovni EU teprve nedávno. Související potřebu přijmout opatření na úrovni EU zdůraznila Evropská rada v roce 2019, kdy vyzvala k jednotnému přístupu a spolupráci členských států na tomto přeshraničním tématu. Komise spolu s členskými státy na nově se objevující problémy v oblasti bezpečnosti sítí 5G reagovala rychle. V roce 2020 přijala skupina pro spolupráci v oblasti bezpečnosti sítí a informací soubor opatření EU pro kybernetickou bezpečnost sítí 5G, který uvádí řadu strategických, technických a podpůrných opatření pro řešení bezpečnostních hrozeb sítí 5G a určuje pro každé z těchto opatření příslušné subjekty. Několik z těchto opatření se zabývá problémem vysoce rizikových prodejců zařízení 5G. Soubor opatření následně schválila Komise a Evropská rada (viz body 45–47). Vzhledem k tomu, že je soubor opatření nástrojem „měkkého“ práva, nemá na členské státy závazný účinek. V nedávné době byl soubor opatření EU pro kybernetickou bezpečnost sítí 5G zmíněn v nové Evropské strategii na podporu inteligentního, čistého a bezpečného spojení v digitálních systémech na celém světě jako nástroj pro řízení investic do digitální infrastruktury (viz bod 50).

85 Kritéria v souboru opatření poskytují operační rámec pro koordinované hodnocení rizikového profilu dodavatelů ve všech členských státech. Provádění hodnocení ale zůstává v odpovědnosti jednotlivých členských států (viz bod 54).

86 Od přijetí souboru opatření došlo k pokroku při posilování bezpečnosti sítí 5G. Většina členských států uplatňuje nebo se chystá uplatňovat omezení týkající se vysoce rizikových prodejců. Do října 2021 tento rámec zohlednilo 13 členských států, které přijaly nebo aktualizovaly své právní předpisy pro oblast bezpečnosti sítí 5G. Další členské státy chystají právní předpisy, které kritéria obsažená v souboru opatření zohlední (viz body 54 a 75).

87 Soubor opatření byl přijat v rané fázi zavádění sítí 5G, avšak řada operátorů mobilních sítí již výběr svých dodavatelů zařízení 5G mezitím provedla (viz bod 52). Neřešení bezpečnostních otázek vyplývajících z koncepce politiky s sebou nese riziko negativních dopadů na její provádění, například že očekávané přínosy (např. růst HDP) budou narušeny náklady na řešení hrozeb (např. náklady způsobené kyberkriminalitou) (viz body 02 a 04).

88 Soubor opatření zohledňuje vnitrostátní pravomoci i relevantní faktory specifické pro jednotlivé země. Náš audit ukázal, že členské státy dosud uplatňovaly rozdílné přístupy, pokud jde o používání zařízení od vysoce rizikových prodejců nebo rozsah omezení (například omezení týkající se pouze základních nebo kritických částí sítě 5G nebo rádiové přístupové sítě či její části) (viz body 74 a 75).

89 V následujících letech mohou právní předpisy, které členské státy přijmou na základě daného souboru opatření, vést k jednotnějšímu přístupu k vysoce rizikovým prodejcům zařízení pro sítě 5G. Vzhledem k tomu, že žádné z navrhovaných opatření není právně závazné, nemá Komise pravomoc k jejich prosazování. Zůstává tedy riziko, že samotný soubor opatření nemůže zaručit, že členské státy budou řešit příslušné bezpečnostní aspekty koordinovaným způsobem (viz body 49–75).

90 Mnoho prodejců zařízení pro sítě 5G se nachází mimo EU, a působí tedy v rámci právních předpisů třetích zemí, které se mohou od norem EU značně lišit, například co se týče účinné ochrany údajů poskytované občanům a obecněji toho, jak je prostřednictvím legislativních nebo demokratických brzd a protivah zajišťována nezávislost soudnictví. Zvláštní bezpečnostní problém by mohla představovat také skutečnost, že sítě 5G pracují převážně na bázi softwaru: pokud by řídicí centra takového softwaru byla umístěna v zemích mimo EU, mohlo by to občany EU potenciálně podřídit právním předpisům třetích zemí. Komise se začala těmito problémy zabývat, neboť má za to, že každý podnik poskytující služby občanům EU by měl respektovat pravidla a hodnoty EU. Zahájila rovněž dialogy s několika zeměmi, aby zajistila silnou ochranu soukromí u osobních údajů (viz body 56–62).

91 Navzdory přeshraniční povaze otázek souvisejících s bezpečností sítí 5G je celkově k dispozici málo veřejných informací o tom, jak členské státy přistupují k bezpečnostním záležitostem a ke své závislosti na vysoce rizikových prodejcích. Komise sleduje pokrok při provádění souboru opatření EU a podává o něm zprávy. Tyto zprávy však neposkytují podrobné a srovnatelné informace o tom, jak členské státy přistupují k otázkám souvisejícím s bezpečností sítí 5G. Kromě toho v září 2021 nebyly do budoucna plánovány žádné další zprávy. Tento nedostatek informací brání sdílení znalostí mezi členskými státy a možnosti uplatňovat jednotná opatření. Rovněž to omezuje možnost Komise navrhovat zlepšení bezpečnosti sítí 5G (viz body 68–73).

Doporučení 2 – Podporovat jednotný přístup k bezpečnosti sítí 5G mezi členskými státy

Komise by měla:

1. poskytnout další pokyny či podpůrná opatření ke klíčovým prvkům souboru opatření EU pro kybernetickou bezpečnost sítí 5G, jako jsou kritéria pro posuzování prodejců zařízení pro sítě 5G, jejich klasifikace jako vysoce rizikových a ochrana údajů.
   Časový rámec: prosinec 2022
2. prosazovat transparentnost ohledně přístupu členských států k bezpečnosti sítí 5G tím, že bude monitorovat provádění bezpečnostních opatření stanovených v souboru opatření EU pro kybernetickou bezpečnost sítí 5G a bude o něm podávat zprávy. K tomu by měla používat společný soubor klíčových ukazatelů výkonnosti.
   Časový rámec: prosinec 2022
3. spolu s členskými státy posoudit, u kterých aspektů bezpečnosti sítí 5G je třeba určit vynutitelné požadavky, a případně iniciovat přijetí právních předpisů.
   Časový rámec: prosinec 2022

92 Komise se začala zabývat souvisejícími tvrzeními o nespravedlivém ekonomickém zvýhodnění z důvodu zahraničních subvencí. Tyto subvence mohou narušovat vnitřní trh, a tím vytvářet nerovné podmínky mezi prodejci zařízení pro sítě 5G, což může mít důsledky pro bezpečnost (viz bod 78).

93 Komise nemá dostatečné informace o způsobu, jakým by členské státy řešily potenciální náklady na náhradu, které by mohly vzniknout, pakliže operátoři mobilních sítí budou muset bez přechodného období odstranit ze sítí EU zařízení od vysoce rizikových prodejců. Rozdíly v přístupu mohou ohrozit podnikatelskou jistotu i včasné zavedení sítí 5G (viz body 79 a 80). Přístup členských států k bezpečnosti sítí 5G, a zejména neexistence jednotného přístupu v celé EU, mohou zároveň ovlivnit účinné fungování jednotného trhu. Komise tuto otázku zatím nevyhodnotila (viz body 74–76).

Doporučení 3 – Monitorovat přístup členských států v oblasti bezpečnosti sítí 5G a posoudit dopad odchylek na účinné fungování jednotného trhu

Komise by měla:

1. prosazovat transparentní a jednotný přístup členských států k nákladům operátorů mobilních sítí na výměnu zařízení 5G zakoupeného od vysoce rizikových prodejců tím, že v rámci provádění souboru opatření EU pro kybernetickou bezpečnost sítí 5G bude tuto otázku monitorovat a podávat o ní zprávy.
2. posoudit, jaký by mělo na jednotný trh dopad to, kdyby jeden členský stát vybudoval své sítě 5G s využitím zařízení od prodejce, který by byl v jiném členském státě považován za vysoce rizikového.

Časový rámec: prosinec 2022

Tuto zprávu přijal senát II, jemuž předsedá Iliana Ivanovová, členka Účetního dvora, v Lucemburku dne 15. prosince 2021.

Přílohy

Příloha I – Hlavní příležitosti a rizika sítí 5G

Zdroj: EÚD na základě výzkumné služby Evropského parlamentu – Evropského vědeckého mediálního střediska.

Příloha II – Příklady ukazující dopad narušení telekomunikačních sítí a kybernetických bezpečnostních incidentů

Výpadek čísel tísňového volání ve Francii^{66, 67}

01 Dne 3. června 2021 výpadek sítě Orange, největší francouzské telekomunikační společnosti, na několik hodin znemožnil tísňová volání. I když bylo vyloučeno, že by závadu způsobil kybernetický útok, tento incident jasně ukazuje dopad, jaký může mít narušení kritické síťové infrastruktury.

Ransomwarové útoky na irské veřejné zdravotnictví^{68, 69, 70}

02 V květnu 2021 irská zdravotní služba (Health Service Executive) zastavila provoz všech svých systémů IT, a to kvůli ransomwarovému útoku. Tento útok ovlivnil všechny aspekty péče o pacienty, neboť způsobil potíže s přístupem ke zdravotnické dokumentaci a zvýšil nebezpečí zpoždění a chyb. I když si irští představitelé nejsou vědomi toho, že by došlo k ohrožení jakýchkoli údajů o pacientech, mohlo sdílení zdravotnické dokumentace vést ke všem typům souvisejících trestných činů, jako jsou podvody a vydírání. Podle generálního ředitele Health Service Executive budou odhadované náklady na obnovu pravděpodobně činit celkem 500 milionů EUR (600 milionů USD).

Solarwinds ^{71, 72, 73}

03 Solarwinds je americká společnost, která vyvíjí software pro podniky a státní a federální agentury, který jim pomáhá spravovat jejich sítě, systémy a infrastrukturu informačních technologií. Na počátku roku 2020 byla společnost Solarwinds cílem softwarového útoku. Hackerům se podařilo prostřednictvím aktualizací softwaru obsahujících škodlivé kódy rozšířit útoky na klienty společnosti. Otevřela se tak „zadní vrátka“ k platformám klientů, což umožnilo snadný vstup pro útoky a instalaci dalšího malwaru a spywaru.

Příloha III – Právní a politický rámec

Příloha IV – Příklady projektů spolufinancovaných z EFSI

Projekty EFSI související s 5G

Dva projekty EFSI, které jsme zkoumali, se týkaly investic do výzkumu, vývoje a inovací pro rozvoj produktového portfolia sítí 5G. Oba zahrnovaly vývoj hardwaru a softwaru pro rádiovou přístupovou síť a také pro páteřní síť. Oba projekty přispěly k zavádění hustší sítě buněk, podpořily normalizaci a usnadnily klíčové technologické experimenty.

Projekty byly zahájeny v roce 2018 a ukončeny v prosinci 2020. Celkové kombinované investiční náklady na projekty činily 3,9 miliardy EUR, včetně 1 miliardy EUR finančních prostředků z EFSI.

Příloha V – Příklady projektů programu Horizont 2020 a EFRR

Projekt programu Horizont 2020 související s 5G

Při tomto projektu, jenž využívá zařízení od všech tří hlavních prodejců zařízení pro sítě 5G (Ericsson, Huawei a Nokia), se testuje technologie 5G v přeshraničním koridoru spojujícím města Mety (Francie), Merzig (Německo) a Lucemburk. Byl zahájen v listopadu 2018 a podle plánu by měl probíhat 31 měsíců. Na jeho celkové rozpočtové náklady ve výši 17,1 milionu EUR poskytla EU 12,9 milionu EUR.

Projekt EFRR související s 5G

Cílem tohoto projektu ve Španělsku je získat poznatky o zavádění sítí 5G. Jeho součástí je experimentování s technikami správy sítě, které technologie 5G umožňují, jako například síťová virtualizace, tzv. edge computing, dynamické přidělování síťových služeb nebo virtuální rozvrstvení sítě (network slicing), a vypracovávat případy užití 5G. Projekt byl zahájen v roce 2019 a podle plánu by měl probíhat po dobu 30 měsíců. Příspěvek EU činil 2,2 milionu EUR z celkových očekávaných nákladů ve výši 7,1 milionu EUR.

Příloha VI – Pokrytí sítí 5G ve vybraných městech

Níže uvedené obrázky vycházejí z údajů o mobilním širokopásmovém připojení shromážděných z testů, jež provedli uživatelé aplikace Nperf. Určité oblasti, kde bylo 5G zjištěno, nemusí být nutně otevřené komerčnímu využití. Vzhledem k tomu, že výkonnost sítí závisí na jednotlivých operátorech mobilních sítí, následující mapy získané dne 4. října 2021 zobrazují pouze pokrytí, nikoli kvalitativní výkonnost těchto sítí, například jejich rychlost a latenci.

Příloha VII – Soubor opatření EU pro kybernetickou bezpečnost sítí 5G

Soubor opatření EU pro kybernetickou bezpečnost sítí 5G, který přijala skupina pro spolupráci v oblasti bezpečnosti sítí a informací a podpořila Komise, obsahuje tři druhy nezávazných opatření (strategická, technická a podpůrná opatření), která mají realizovat různé subjekty, jak je shrnuto níže.

Opatření	Příslušné subjekty
	Orgány členských států	Operátoři mobilních sítí	Evropská komise	ENISA	Zainteresované subjekty (vč. dodavatelů)
Strategická opatření
SM01 – Posílení úlohy vnitrostátních orgánů	✓	✓
SM02 – Provádění auditů u operátorů a vyžadování informací	✓	✓
SM03 – Posouzení rizikového profilu dodavatelů a uplatňování omezení vůči dodavatelům, kteří jsou považováni za vysoce rizikové, včetně nezbytných vyloučení za účelem účinného zmírnění rizik, pokud jde o klíčová aktiva	✓	✓
SM04 – Kontrola využívání poskytovatelů spravovaných služeb a třetí linie podpory dodavatelů zařízení	✓	✓
SM05 – Zajištění rozmanitosti dodavatelů pro jednotlivé operátory mobilních sítí prostřednictvím vhodných strategií využívání více prodejců	✓	✓
SM06 – Posílení odolnosti na úrovni jednotlivých států	✓	✓
SM07 – Určení klíčových aktiv a podpora rozmanitého a udržitelného ekosystému 5G v EU	✓		✓
SM08 – Zachování a budování rozmanitosti a kapacit EU v oblasti budoucích síťových technologií	✓		✓		✓
Technická opatření
TM01 – Zajištění uplatňování základních bezpečnostních požadavků (bezpečná koncepce a architektura sítě)	✓	✓
TM02 – Zajištění a vyhodnocení provádění bezpečnostních opatření ve stávajících normách 5G	✓	✓			✓
TM03 – Zajištění přísných kontrol přístupu	✓	✓
TM04 – Zvyšování bezpečnosti virtualizovaných síťových funkcí	✓	✓
TM05 – Zajištění bezpečné správy a bezpečného provozu a monitorování sítí 5G	✓	✓
TM06 – Posílení fyzické bezpečnosti	✓	✓
TM07 – Posílení integrity softwaru, aktualizace a správy oprav	✓	✓
TM08 – Zvyšování bezpečnostních norem v procesech dodavatelů prostřednictvím robustních podmínek nákupu	✓	✓			✓
TM09 – Využívání certifikace EU pro součásti sítí 5G, vybavení zákazníků nebo procesy dodavatelů	✓	✓	✓	✓	✓
TM10 – Využívání certifikace EU pro jiné produkty a služby IKT, které nejsou specifické pro 5G (připojená zařízení, cloudové služby)	✓		✓	✓	✓
TM11 – Posílení plánů odolnosti a kontinuity	✓	✓			✓
Podpůrná opatření
SA01 – Revize nebo vývoj pokynů a osvědčených postupů v oblasti bezpečnosti sítí	✓	✓		✓
SA02 – Posílení schopností testování a auditu na vnitrostátní úrovni i na úrovni EU	✓		✓	✓
SA03 – Podpora a utváření normalizace 5G	✓	✓	✓	✓	✓
SA04 – Vypracování pokynů k provádění bezpečnostních opatření ve stávajících normách 5G	✓			✓
SA05 – Zajištění uplatňování standardních technických a organizačních bezpečnostních opatření prostřednictvím zvláštního systému certifikace pro celou EU	✓			✓	✓
SA06 – Výměna osvědčených postupů při provádění strategických opatření, zejména vnitrostátních rámců pro hodnocení rizikového profilu dodavatelů	✓
SA07 – Zlepšení koordinace reakce na incidenty a řešení krizí	✓			✓
SA08 – Provádění auditů vzájemné závislosti mezi sítěmi 5G a jinými kritickými službami	✓
SA09 – Posílení mechanismů spolupráce, koordinace a sdílení informací	✓			✓
SA10 – Zajištění toho, aby projekty 5G podporované z veřejných prostředků zohledňovaly kybernetická bezpečnostní rizika	✓		✓

Zdroj: soubor opatření EU pro kybernetickou bezpečnost sítí 5G.

Zkratková slova a zkratky

BEREC: Sdružení evropských regulačních orgánů v oblasti elektronických komunikací

EFRR: Evropský fond pro regionální rozvoj

EFSI: Evropský fond pro strategické investice

EIB: Evropská investiční banka

ENISA: Agentura Evropské unie pro bezpečnost sítí a informací

HDP: hrubý domácí produkt

RAN: rádiová přístupová síť (radio access network)

Glosář

Agentura Evropské unie pro kybernetickou bezpečnost: agentura EU zřízená za účelem vytvoření a udržování vysoké úrovně bezpečnosti sítí a informací ve všech oblastech soukromého a veřejného života.

Evropský fond pro strategické investice: mechanismus na podporu investic zřízený Evropskou investiční bankou (EIB) a Komisí v rámci investičního plánu pro Evropu s cílem mobilizovat soukromé investice do projektů, které mají pro EU strategický význam.

Exabyte: jednotka úložné kapacity digitálních informací odpovídající 1 miliardě gigabytů.

Internet věcí: hmotné předměty vybavené senzory, softwarem a dalšími technologiemi, které jim umožňují bezdrátové připojení a výměnu údajů s jinými zařízeními a systémy.

Latence: u počítačových sítí se jedná o čas potřebný k tomu, aby soubor údajů urazil cestu mezi dvěma body.

Operátor mobilní sítě: telekomunikační společnost zajišťující bezdrátovou hlasovou a datovou komunikaci pro uživatele mobilních telefonů, kteří odebírají její služby.

Rádiová přístupová síť: významná součást moderních telekomunikačních technologií, která pomocí rádiových spojení spojuje jednotlivá zařízení s jinými částmi sítě.

Rádiové spektrum: část elektromagnetického spektra odpovídající rádiovým kmitočtům.

Ransomware: malware, který postiženým subjektům odpírá přístup k počítačovému systému nebo činí soubory nečitelnými, čímž dotčené subjekty nutí zaplatit výkupné pro obnovení přístupu.

Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (BEREC): subjekt složený ze zástupců vnitrostátních regulačních orgánů členských států, který těmto orgánům a Komisi pomáhá při provádění regulačního rámce EU s cílem vytvořit jednotný trh elektronických komunikací.

Sdružení Globální systém pro mobilní komunikaci (GSMA): oborová organizace, která zastupuje zájmy mobilních operátorů po celém světě, stejně jako výrobních a servisních společností a organizací se zájmem na mobilní infrastruktuře.

Skupina pro politiku rádiového spektra: poradní skupina na vysoké úrovni složená ze zástupců členských států, která pomáhá a radí orgánům EU při rozvoji jednotného trhu s bezdrátovými produkty a službami.

Skupina pro spolupráci v oblasti bezpečnosti sítí a informací: subjekt, který byl zřízen směrnicí o bezpečnosti sítí a informací, aby zajišťoval spolupráci a výměnu informací mezi členskými státy. Skupinu tvoří zástupci členských států EU, Evropské komise a Agentury EU pro kybernetickou bezpečnost.

Širokopásmové připojení: vysokorychlostní simultánní přenos informací v mnoha formátech (například data, audio, video).

Vnitrostátní plány pro širokopásmové připojení: dokumenty vypracované členskými státy, které obsahují strategické cíle pro dosažení cílů EU v oblasti širokopásmového připojení.

Odpovědi Komise

https://www.eca.europa.eu/cs/Pages/DocItem.aspx?did=60614

Harmonogram

https://www.eca.europa.eu/cs/Pages/DocItem.aspx?did=60614

Auditní tým

Účetní dvůr ve svých zvláštních zprávách informuje o výsledcích auditů politik a programů EU či témat z oblasti správy a řízení zaměřených na konkrétní oblasti rozpočtu. Účetní dvůr vybírá a koncipuje tyto auditní úkoly tak, aby byl jejich dopad co nejvyšší, a zohledňuje přitom rizika pro výkonnost a zajištění souladu s předpisy, objem příslušných příjmů či výdajů, očekávaný vývoj, politické zájmy a zájem veřejnosti.

Tento audit výkonnosti provedl auditní senát II, který se zaměřuje na výdajové oblasti týkající se investic ve prospěch soudržnosti, růstu a začleňování a jemuž předsedá členka EÚD Iliana Ivanovová. Audit vedla členka Účetního dvora Annemie Turtelboomová a podporu jí poskytovali vedoucí kabinetu Florence Fornaroliová, tajemník kabinetu Celil Ishik, vyšší manažer Niels-Erik Brokopp, vedoucí úkolu Paolo Pesce a auditoři Jussi Bright, Rafal Gorajski, Zuzana Gullová, Alexandre Tan, Aleksandar Latinov a Nils Westphal.

 

Poznámky na konci textu

¹ Statista, Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030.

² Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2017–2022, únor 2019.

³ ITU-R, IMT traffic estimates for the years 2020 to 2030.

⁴ Identification and quantification of key socio-economic data to support strategic planning for the introduction of 5G in Europe, únor 2017.

⁵ Accenture Strategy, The Impact of 5G on the European Economy, únor 2021.

⁶ Přezkum č. 02/2019: Výzvy týkající se účinné politiky EU v oblasti kybernetické bezpečnosti (informační dokument), auditní kompendium kontaktního výboru z roku 2020 – Kybernetická bezpečnost a výzkumná služba Evropského parlamentu – Evropské vědecké mediální středisko.

⁷ Skupina pro spolupráci v oblasti bezpečnosti sítí a informací, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019. Bod 3.4.

⁸ Světové ekonomické fórum, Wild Wide Web – Consequences of Digital Fragmentation, 2021.

⁹ Skupina pro spolupráci v oblasti bezpečnosti sítí a informací, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019.

¹⁰ https://ec.europa.eu/commission/presscorner/detail/cs/IP_15_5715

¹¹ Usnesení Evropského parlamentu ze dne 12. března 2019, zákon o národních zpravodajských službách Čínské lidové republiky, článek 14. Viz také překlad tohoto zákona do angličtiny na https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/

¹² https://ec.europa.eu/commission/presscorner/detail/cs/IP_20_12

¹³ Odhad Komise vycházející z údajů od EIB, Analysys, GSMA a údajů obsažených v oznámeních společností a také z dokumentu ETNO – European Telecommunications, Connectivity & Beyond: How Telcos Can Accelerate a Digital Future for All, březen 2021.

¹⁴ Seznam projektů EIB.

¹⁵ Přezkum č. 03/2020 „Reakce EU na čínskou státem řízenou investiční strategii“.

¹⁶ Zvláštní zpráva č. 12/2018 „Širokopásmové připojení v členských státech EU: přes dosažený pokrok nebudou splněny všechny cíle strategie Evropa 2020“.

¹⁷ Zvláštní zpráva č. 19/2020 „Digitalizace evropského průmyslu: ambiciózní iniciativa, jejíž úspěch závisí na pokračujícím odhodlání EU, vlád a podniků ji naplnit“.

¹⁸ Přezkum č. 02/2019 „Výzvy týkající se účinné politiky EU v oblasti kybernetické bezpečnosti (Informační dokument)“.

¹⁹ Evropská komise, Digitální kompas 2030: Evropské pojetí digitální dekády, COM(2021) 118 final.

²⁰ Study on National Broadband Plans in the EU‑27.

²¹ 5G Observatory Quarterly Report 12, Up to June 2021.

²² Evropská komise, návrh nařízení o roamingu ve veřejných mobilních komunikačních sítích v Unii (přepracované znění), COM(2021) 85 final ze dne 24.2.2021.

²³ Komise, Study on National Broadband Plans in the EU‑27.

²⁴ Směrnice (EU) 2018/1972, kterou se stanoví evropský kodex pro elektronické komunikace.

²⁵ Sdělení Evropské komise, Bezpečné zavádění sítí 5G v EU – Implementace souboru opatření EU, COM(2020) 50 final.

²⁶ Study on National Broadband Plans in the EU‑27.

²⁷ Tisková zpráva Komise IP/21/206 ze dne 4.2.2021.

²⁸ Tisková zpráva Komise IP/21/4612 ze dne 23.9.2021.

²⁹ Rozhodnutí (EU) 2017/899 o využívání kmitočtového pásma 470–790 MHz.

³⁰ Směrnice (EU) 2018/1972, kterou se stanoví evropský kodex pro elektronické komunikace.

³¹ Středisko pro sledování 5G a Skupina pro politiku rádiového spektra.

³² Usnesení Evropského parlamentu ze dne 12. března 2019 (2019/2575(RSP)).

³³ JOIN(2019) 5 final ze dne 12.3.2019. EU-China – A strategic outlook.

³⁴ Závěry ze zasedání Evropské rady ve dnech 21. a 22. března 2019.

³⁵ Doporučení Komise (EU) 2019/534 ze dne 26. března 2019, Kybernetická bezpečnost sítí 5G.

³⁶ Tisková zpráva ze dne 19. července 2019.

³⁷ Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures. Skupina pro spolupráci v oblasti bezpečnosti sítí a informací, 01/2020.

³⁸ Sdělení Evropské komise, Bezpečné zavádění sítí 5G v EU – Implementace souboru opatření EU, COM(2020) 50 final, a závěry Evropské rady ze zasedání konaného ve dnech 1. a 2. října 2020 (EUCO 13/20).

³⁹ Smlouva o fungování Evropské unie.

⁴⁰ Směrnice (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.

⁴¹ Přezkum č. 02/2019 „Výzvy týkající se účinné politiky EU v oblasti kybernetické bezpečnosti (Informační dokument)“, bod 36.

⁴² Společné sdělení Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru, Výboru regionů a Evropské investiční bance: The Global Gateway. JOIN(2021) 30 final, 1.12.2021.

⁴³ COM(2013) 48 final ze dne 7.2.2013.

⁴⁴ Směrnice (EU) 2016/1148.

⁴⁵ COM(2016) 590 final/2 ze dne 12.10.2016 a směrnice (EU) 2018/1972, kterou se stanoví evropský kodex pro elektronické komunikace.

⁴⁶ Sdělení Evropské komise, Formování digitální budoucnosti Evropy, COM(2020) 67 final.

⁴⁷ EU-China – A strategic outlook.

⁴⁸ Rozsudek ve věci C-362/14 a https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117cs.pdf

⁴⁹ Rozsudek ve věci C-311/18 a https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091cs.pdf.

⁵⁰ https://www.europarl.europa.eu/doceo/document/E-9-2020-004305_CS.html a https://www.europarl.europa.eu/RegData/etudes/ATAG/2019/637912/EPRS_ATA(2019)637912_EN.pdf

⁵¹ ENISA, Threat Landscape for 5G Networks, 14.12.2020.

⁵² ENISA, Guideline on Security Measures under the EECC, 10.12.2020.

⁵³ ENISA, 5G supplement to the Guidelines on Security Measures under the EECC, 7.7.2021.

⁵⁴ Tisková zpráva ze dne 3. února 2021.

⁵⁵ Nařízení (EU) 2021/523, kterým se zavádí program InvestEU.

⁵⁶ Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity, červenec 2020.

⁵⁷ Report on the impacts of the Commission Recommendation of 26 March 2019 on the Cybersecurity of 5G networks, SWD(2020) 357 final ze dne 16.12.2020.

⁵⁸ BEREC, interní zpráva týkající se strategických opatření 5 a 6 souboru opatření EU pro kybernetickou bezpečnost sítí 5G (diverzifikace dodavatelů a posílení odolnosti jednotlivých států), BoR 20 (227), 10.12.2020.

⁵⁹ StrandConsult, Understanding the Market for 4G RAN in Europe: Share of Chinese and Non-Chinese Vendors in 102 Mobile Networks.

⁶⁰ Dopis poslanců Evropského parlamentu ministrům telekomunikací a obchodu EU a evropským komisařům Thierry Bretonovi, Margrethe Vestagerové a Valdisi Dombrovskisovi, 14.10.2020.

⁶¹ Přezkum EÚD č. 3/2020: Reakce EU na čínskou státem řízenou investiční strategii.

⁶² Návrh nařízení o zahraničních subvencích narušujících vnitřní trh, COM(2021) 223 final ze dne 5.5.2021.

⁶³ Oxford Economics, Restricting competition in 5G network equipment throughout Europe, červen 2020. (Studie sponzorovaná společností Huawei).

⁶⁴ StrandConsult, The real cost to ‘rip and replace’ Chinese equipment from telecom networks.

⁶⁵ Zákon o elektronických komunikačních službách č. 1207/2020 ze dne 30.12.2020, paragraf 301.

⁶⁶ https://www.euronews.com/2021/06/03/french-telecom-operator-orange-apologises-after-emergency-numbers-crash-nationwide

⁶⁷ https://www.reuters.com/business/media-telecom/orange-blames-network-outage-software-failure-audit-2021-06-11/

⁶⁸ https://www.wsj.com/articles/irish-healthcare-service-shuts-down-it-systems-after-ransomware-attack-11620998875

⁶⁹ https://www.reuters.com/technology/irish-health-service-hit-by-ransomware-attack-vaccine-rollout-unaffected-2021-05-14/

⁷⁰ https://www.cert.europa.eu/cert/moreclusteredition/en/blog_DataBreachTodayinRSS Syndication-in-299786a86ffeab5aec16d55392d94819.20210624.en.html

⁷¹ https://www.solarwinds.com/

⁷² https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AF03R

⁷³ https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12?international=true&r=US&IR=T

Kontakt

EVROPSKÝ ÚČETNÍ DVŮR
12, rue Alcide De Gasperi
1615 Lucemburk
LUCEMBURSKO

Tel.: +352 4398-1
Dotazy: eca.europa.eu/cs/Pages/ContactForm.aspx
Internetová stránka: eca.europa.eu
Twitter: @EUAuditors

Mnoho doplňujících informací o Evropské unii je k dispozici na internetu.
Můžete se s nimi seznámit na portálu Europa (https://europa.eu).

Lucemburk: Úřad pro publikace Evropské unie, 2022

PDF	ISBN 978-92-847-7402-9	ISSN 1977-5628	doi:10.2865/950629	QJ-AB-21-029-CS-N
HTML	ISBN 978-92-847-7395-4	ISSN 1977-5628	doi:10.2865/813706	QJ-AB-21-029-CS-Q

AUTORSKÁ PRÁVA

© Evropská unie, 2022.

Politiku opakovaného použití dokumentů Evropského účetního dvora (EÚD) upravuje rozhodnutí Evropského účetního dvora č. 6-2019 o politice týkající se veřejně přístupných dat a opakovaném použití dokumentů.

Pokud není uvedeno jinak (například v jednotlivých upozorněních o ochraně autorských práv), je obsah EÚD vlastněný EU předmětem licence Creative Commons Attribution 4.0 International (CC BY 4.0). To znamená, že opakované použití je povoleno za podmínky, že je uveden zdroj a případné změny jsou označeny. Uživatel nesmí zkreslit původní význam nebo sdělení dokumentů. EÚD nenese za jakékoli důsledky opakovaného použití odpovědnost.

Jste povinni vypořádat další práva, pokud konkrétní obsah zobrazuje identifikovatelné fyzické osoby, například fotografie zaměstnanců EÚD, nebo obsahuje díla třetích stran. Je-li povolení poskytnuto, ruší a nahrazuje toto povolení výše uvedené obecné povolení a musí jasně uvádět veškerá omezení týkající se použití.

K reprodukci obsahu, který není vlastnictvím EU, musíte žádat o povolení přímo od držitelů autorských práv:

• Obrázky v příloze VI: © nPerf. nPerf SAS company.

Programové vybavení nebo dokumenty, na něž se vztahují práva průmyslového vlastnictví, jako patenty, ochranné známky, zapsané (průmyslové) vzory, loga a názvy, jsou z politiky EÚD pro opakované použití vyloučeny a není vám k nim poskytnuta licence.

Soubor internetových stránek orgánů a institucí Evropské unie využívajících doménu europa.eu obsahuje odkazy na stránky třetích stran. Protože nad jejich obsahem nemá EÚD žádnou kontrolu, doporučujeme seznámit se s jejich vlastními zásadami ochrany soukromí a politikou v oblasti autorských práv.

Používání loga Evropského účetního dvora

Logo Evropského účetního dvora nesmí být použito bez předchozího souhlasu Evropského účetního dvora.

Obraťte se na EU

Osobně
Po celé Evropské unii se nachází stovky informačních středisek Europe Direct. Adresu nejbližšího střediska naleznete na internetové stránce: https://europa.eu/european-union/contact_cs.

Telefonicky nebo e-mailem
Europe Direct je služba, která odpoví na vaše dotazy o Evropské unii. Můžete se na ni obrátit:

• prostřednictvím bezplatné telefonní linky: 00 800 6 7 8 9 10 11 (někteří operátoři mohou tento hovor účtovat),
• na standardním telefonním čísle: +32 22999696 nebo
• e-mailem prostřednictvím internetové stránky: https://europa.eu/european-union/contact_cs.

Vyhledávání informací o EU

On-line
Informace o Evropské unii ve všech úředních jazycích EU jsou dostupné na internetových stránkách Europa na adrese: https://europa.eu/european-union/index_cs.

Publikace EU
Publikace EU, ať už bezplatné, nebo placené, si můžete stáhnout nebo objednat na adrese: https://op.europa.eu/cs/publications. Chcete-li obdržet více než jeden výtisk bezplatných publikací, obraťte se na službu Europe Direct nebo na místní informační střediska (viz https://europa.eu/european-union/contact_cs).

Právo EU a související dokumenty
Právní informace EU včetně všech právních předpisů EU od roku 1951 ve všech úředních jazykových verzích jsou dostupné na stránkách EUR-Lex na adrese: https://eur-lex.europa.eu.

Veřejně přístupná data od EU
Portál veřejně přístupných dat EU (https://data.europa.eu/cs) umožňuje přístup k datovým souborům z EU. Data lze bezplatně stahovat a opakovaně použít pro komerční i nekomerční účely.