5G-verkot EU:ssa: viiveitä käyttöönotossa ja ratkaisemattomia turvallisuusongelmia

Tiivistelmä

I Tietoliikennejärjestelmien nk. viides sukupolvi eli 5G on uusi maailmanlaajuinen langaton standardi, joka tarjoaa aiempaa huomattavasti suuremman tiedonsiirtokapasiteetin ja siirtonopeuden. 5G-palvelut ovat välttämättömiä monenlaisille innovatiivisille sovelluksille, jotka voivat muuttaa monia talouden aloja ja parantaa kansalaisten jokapäiväistä elämää. 5G on näin ollen strategisen tärkeä koko sisämarkkinoille.

II Komissio esitti vuoden 2016 5G-toimintasuunnitelmassaan tavoitteen varmistaa keskeytymätön 5G-palvelu kaupunkialueilla ja keskeisillä liikenneväylillä vuoteen 2025 mennessä. Maaliskuussa 2021 komissio laajensi tavoitetta siten, että 5G-palvelu kattaisi kaikki asutut alueet vuoteen 2030 mennessä.

III 5G tarjoaa monia kasvumahdollisuuksia, mutta siihen liittyy tiettyjä riskejä. Vuonna 2019 antamassaan 5G-kyberturvallisuutta koskevassa suosituksessa komissio varoitti, että monien kriittisten palvelujen riippuvuus 5G-verkoista tekisi laajalle levinneen häiriön seurauksista erityisen vakavia. Lisäksi uhat ovat luonteeltaan rajat ylittäviä, joten yhdessä jäsenvaltiossa ilmenevät merkittävät haavoittuvuudet tai kyberturvallisuushäiriöt vaikuttaisivat koko EU:hun. Yksi komission suosituksen tuloksista oli 5G-kyberturvallisuutta koskeva EU:n välineistö, joka hyväksyttiin tammikuussa 2020.

IV 5G:n käyttöönotto koko EU:ssa saattaa maksaa kaikkiaan jopa 400 miljardia euroa. Vuosina 2014–2020 EU myönsi 5G-hankkeisiin yli neljä miljardia euroa.

V Tilintarkastustuomioistuin tutki, onko komissio tukenut jäsenvaltioita vaikuttavasti 5G-verkkojen käyttöönottamista koskevien EU:n tavoitteiden saavuttamisessa ja 5G:n turvallisuuteen liittyvän ongelmien käsittelemisessä yhtenäisellä tavalla. Tilintarkastustuomioistuin tutki sekä 5G-verkkojen turvallisuutta että niiden toteutusta, jonka kannalta vuosi 2020 oli keskeinen. Kertomuksen tarkoituksena on lisätä tietämystä ja antaa suosituksia turvallisten 5G-verkkojen ripeästä käyttöönotosta kaikissa EU:n jäsenvaltioissa. Tarkastuksen painopisteenä oli komissio, mutta siinä tutkittiin myös kansallisten hallintoelinten ja muiden toimijoiden roolia.

VI Tarkastus osoitti, että 5G-verkkojen käyttöönotto jäsenvaltioissa on viivästynyt. Vuoden 2020 loppuun mennessä 23 jäsenvaltiota oli käynnistänyt kaupallisia 5G-palveluja ja saavuttanut välitavoitteen, jonka mukaan 5G on käytettävissä vähintään yhdessä suurkaupungissa. Kaikki jäsenvaltiot eivät kuitenkaan viittaa EU:n vuosiksi 2025 ja 2030 asettamiin tavoitteisiin kansallisissa 5G-strategioissaan tai laajakaistasuunnitelmissaan. Lisäksi useissa maissa eurooppalaista sähköisen viestinnän säännöstöä ei ole vielä saatettu osaksi kansallista lainsäädäntöä ja 5G-taajuuksien jakaminen on viivästynyt. Viiveet taajuuksien jakamisessa johtuvat useista eri syistä: heikko kysyntä matkaviestinoperaattoreiden taholta, rajat ylittävän koordinoinnin ongelmat EU:n ulkopuolisten maiden kanssa itäisillä rajoilla, covid-19-pandemian vaikutus huutokauppojen aikatauluihin ja epävarmuus siitä, miten turvallisuuskysymyksiä käsitellään. 5G:n toteutuksen viivästyminen jäsenvaltioissa vaarantaa EU:n tavoitteiden saavuttamisen. Komissio tuki jäsenvaltioita vuoden 2016 5G-toimintasuunnitelman täytäntöönpanossa sitoviin ja ei-sitoviin säädöksiin perustuvien aloitteiden sekä ohjeiden ja 5G-tutkimukseen liittyvän rahoituksen avulla. Komissio ei kuitenkaan ole selkeästi määritellyt 5G-palveluilta odotettavaa laatua.

VII 5G:n kyberturvallisuutta koskevassa EU:n välineistössä määritellään useita strategisia, teknisiä ja tukitoimenpiteitä 5G-verkkoihin kohdistuvien turvallisuusuhkien torjumiseksi ja määritetään kunkin toimenpiteen kannalta merkitykselliset toimijat. Useissa toimenpiteissä käsitellään suuririskisiä 5G-laitteiden toimittajia. Komissio ja Eurooppa-neuvosto hyväksyivät välineistön. Välineistöön sisältyvät kriteerit tarjoavat hyödyllisen toimintakehyksen, jonka avulla laitetoimittajien riskiprofiileja voidaan arvioida koordinoidusti kaikissa jäsenvaltioissa. Toisaalta arvioinnin tekeminen kuuluu yhä jäsenvaltion vastuulle. Vaikka välineistö hyväksyttiin 5G-verkkojen käyttöönoton alkuvaiheessa, useat matkaviestinoperaattorit olivat jo valinneet laitetoimittajansa. Välineistön hyväksymisen jälkeen 5G-verkkojen turvallisuutta on parannettu, sillä suurin osa jäsenvaltioista soveltaa tai aikoo soveltaa rajoituksia suuririskisiin laitetoimittajiin. Suhtautumista suuririskisiin toimittajiin saattaa tulevina vuosina yhdenmukaistaa se, että jäsenvaltiot hyödyntävät välineistöä antaessaan 5G:n turvallisuuteen liittyvää lainsäädäntöä. Mikään esiin tuoduista toimenpiteistä ei kuitenkaan ole oikeudellisesti sitova, joten komissiolla ei ole toimivaltaa panna niitä täytäntöön. Siksi on yhä olemassa vaara, ettei pelkällä välineistöllä voida taata, että jäsenvaltiot ratkoisivat verkkojen turvallisuuskysymyksiä yhtenäisesti.

VIII Komissio on ryhtynyt käsittelemään 5G-toimittajille myönnettäviä ulkomaisia tukia, joilla voi olla turvallisuusvaikutuksia. Komissiolla ei ole riittävästi tietoja siitä, miten jäsenvaltioissa käsiteltäisiin kustannuksia, joita voisi aiheutua, jos matkaviestinoperaattorit joutuisivat ilman siirtymäkautta korvaamaan eurooppalaisissa verkoissa olevat suuririskisten toimittajien laitteet muilla laitteilla.

IX Tilintarkastustuomioistuin suosittaa, että komissio

• edistää 5G-verkkojen yhtäläistä ja ripeää käyttöönottoa EU:ssa
• edistää jäsenvaltioiden yhtenäistä lähestymistapaa 5G-turvallisuuteen
• seuraa jäsenvaltioiden tapoja suhtautua 5G-turvallisuuteen ja arvioi, miten suhtautumistapojen kirjavuus vaikuttaa sisämarkkinoiden tehokkaaseen toimintaan.

Johdanto

5G:n luonne ja merkitys

01 Tietoliikennejärjestelmien nk. viides sukupolvi eli 5G on uusi maailmanlaajuinen langaton standardi, jolla on 3G- ja 4G-verkkoihin verrattuna huomattavasti suurempi tiedonsiirtokapasiteetti ja siirtonopeus. 5G sisältää eräitä verkkoelementtejä, jotka perustuvat aiempiin mobiiliviestinnän ja langattomien viestintäteknologioiden sukupolviin, mutta se ei ole näiden verkkojen asteittaisen kehityksen tulos. Se tarjoaa yleisen ultralaajan kaistanleveyden ja pieniviiveisen yhteyden yksittäisille käyttäjille ja verkkoon liitettyihin laitteisiin.

02 5G yhdistää nk. esineiden internetissä enemmän laitteita kuin koskaan aiemmin on yhdistetty. Vuoden 2018 loppuun mennessä maailmassa oli käytössä arviolta 22 miljardia verkkolaitetta. Määrän ennustetaan kasvavan noin 50 miljardiin vuoteen 2030¹ mennessä, mikä luo valtavan yhteenliitettyjen laitteiden verkon, joka kattaa kaiken älypuhelimista keittiölaitteisiin. Datankulutuksen odotetaan kasvavan maailmassa 12 eksatavun mobiilidataliikenteestä kuukaudessa vuonna 2017² yli 5 000 eksatavuun vuoteen 2030 mennessä³.

03 5G-palvelut ovat välttämättömiä monenlaisille innovatiivisille sovelluksille, jotka voivat muuttaa monia EU:n talouden aloja ja parantaa kansalaisten jokapäiväistä elämää (ks. kaavio 1). Komission puolesta vuonna 2017 tehdyssä tutkimuksessa todettiin, että 5G:n käyttöönoton hyödyt neljällä strategisella teollisuudenalalla (autoteollisuus, terveys, liikenne ja energia) voivat nousta jopa 113 miljardiin euroon vuodessa⁴. Lisäksi tutkimuksessa ennakoitiin, että 5G:n täytäntöönpanon myötä jäsenvaltioihin voisi syntyä 2,3 miljoonaa uutta työpaikkaa. Vuonna 2021 tehdyssä tutkimuksessa arvioitiin, että 5G kasvattaisi vuosina 2021–2025 Euroopan bruttokansantuotetta (BKT) jopa biljoonan euron verran ja että se voisi luoda tai nykyaikaistaa jopa 20 miljoonaa työpaikkaa kaikilla talouden aloilla⁵.

Turvallisuusnäkökohdat

04 Vaikka 5G tarjoaa monia kasvumahdollisuuksia, siihen liittyy myös tiettyjä riskejä (ks. liite I, jossa esitetään 5G:n tärkeimmät mahdollisuudet ja riskit). Turvallisuusuhat muodostavat yhden riskeistä. Tietoliikennejärjestelmiin on aina kohdistunut kyberhyökkäysten riski (ks. liite I)⁶. 5G:hen liittyvät turvallisuusongelmat ovat erityisen huolestuttavia, koska se tarjoaa tekniikkansa luonteen ja erityisesti ohjelmistoriippuvaisuutensa vuoksi suuremman hyökkäyspinnan kuin 3G- tai 4G-tietoliikennejärjestelmät⁷.

05 Koska 5G-verkon odotetaan toimivan monenlaisten palvelujen ja sovellusten selkärankana, näiden verkkojen saatavuudesta tulee merkittävä kansallinen ja EU:n turvallisuushaaste. Jos hakkerit tunkeutuisivat 5G-verkkoon, he voisivat vaarantaa sen ydintoiminnot häiritäkseen palveluita tai ottaakseen hallintaansa kriittistä infrastruktuuria (esimerkiksi sähköverkot), joka EU:ssa usein ulottuu rajojen yli. Tutkimuksissa arvioidaan kyberrikollisuuden maailmanlaajuisen taloudellisen vaikutuksen olevan jopa 5 000 miljardia euroa vuodessa (yli kuusi prosenttia maailman BKT:stä vuonna 2020)⁸.

06 Toinen 5G-turvallisuushaaste on määrältään rajallisten laitetoimittajien kriittinen rooli verkkojen rakentamisessa ja toiminnassa. Se lisää alttiutta mahdolliselle toimitusten keskeytymiselle, jos kyseessä on riippuvuus yhdestä laitetoimittajasta, etenkin jos tämä toimittaja on suuririskinen. Tilanne saattaa esimerkiksi johtaa EU:n ulkopuolisen maan vaikuttamispyrkimyksiin. Vuonna 2019 verkko- ja tietojärjestelmän yhteistyöryhmä, johon kuuluu jäsenvaltioiden ja EU:n elinten edustajia, otti esiin vaaratilanteen, jossa ”vihamieliset valtiolliset toimijat” pääsisivät helposti 5G-verkkoon joko etuoikeutetun käyttöoikeuden kautta, painostamalla laitetoimittajaa tai vetoamalla kansallisiin oikeudellisiin vaatimuksiin⁹ (ks. laatikko 1). Näin ollen EU alkoi työstää 5G-turvallisuusaloitteita.

07 Myös luottamuksellisuuteen ja yksityisyyteen liittyviä uhkia voi ilmetä, sillä teleoperaattorit usein ulkoistavat tietonsa datakeskuksiin. On olemassa vaara, että tietoja säilytetään 5G-toimittajien laitteissa, jotka sijaitsevat EU:n ulkopuolisissa maissa, joissa oikeussuojan ja tietosuojan taso on erilainen kuin EU:ssa.

EU:n 5G-aloitteet

08 5G:tä ja sen turvallisuutta koskeva toimintapoliittinen kehys koostuu sekä lainsäädännöstä, joka on oikeudellisesti sitovaa ja täytäntöönpanokelpoista (esimerkiksi asetukset), että ei-sitovasta ”pehmeästä lainsäädännöstä” (esimerkiksi komission tiedonannot). Oikeudellinen ja toimintapoliittinen kehys esitetään liitteessä III. Kaaviossa 2 puolestaan luetellaan pääasialliset toimintapoliittiset asiakirjat ja keskeiset tavoitteet.

Tehtävät ja vastuualueet

09 Matkaviestinoperaattorit ovat vastuussa 5G:n turvallisesta toteutuksesta käyttäen teknologiatoimittajilta hankittuja laitteita ja jäsenvaltiot ovat vastuussa kansallisesta turvallisuudesta, mutta 5G-verkon turvallisuus on strategisesti tärkeä asia koko sisämarkkinoilla ja EU:n teknologisen suvereniteetin osalta¹². Näin ollen komissio ja EU:n virastot tukevat ja koordinoivat jäsenvaltioiden toimia 5G-verkkojen teknisten ja turvallisuusnäkökohtien osalta.

10 Taulukossa 1 eritellään 5G-verkkojen tärkeimmät tehtävät ja vastuualueet.

5G:n käyttöönoton kustannukset ja siihen liittyvä EU:n rahoitustuki

5G:n käyttöönoton kustannukset yhteensä kaikissa jäsenvaltioissa saattavat olla jopa 400 miljardia euroa

11 Vuonna 2021 arvioitiin, että 5G:n käyttöönoton kustannukset kaikissa EU:n jäsenvaltioissa vuoteen 2025 mennessä ovat yhteensä 281–391 miljardia euroa. Kustannukset jakautuvat tasaisesti uuden 5G-infrastruktuurin rakentamiseen ja kiinteän infrastruktuurin päivittämiseen gigabittinopeuksiin¹³. Suurimman osan investoinneista rahoittavat matkaviestinoperaattorit.

Vuosina 2014–2020 EU on tukenut 5G:n kehittämistä yli neljällä miljardilla eurolla

12 Vuosina 2014–2020 EU tuki 5G:n kehittämistä yli neljällä miljardilla eurolla. Rahoitus on peräisin suoraan EU:n talousarviosta sekä Euroopan investointipankilta (EIP). EU:n talousarviosta rahoitetut hankkeet liittyivät yksinomaan tutkimukseen, kun taas EIP tuki sekä tutkimusta että käyttöönottoa.

13 EIP on ollut 5G-hankkeiden suurin EU‑rahoittaja. Elokuuhun 2021 mennessä EIP myönsi yhteensä 2,5 miljardin euron edestä lainoja yhdeksälle 5G-hankkeelle viidessä jäsenvaltiossa¹⁴. Lisäksi EU:n talousarviosta asetettiin kaudella 2014–2020 käyttöön noin 1,9 miljardia euroa. Taulukossa 2 esitetään yhteenveto 5G:lle myönnetyn EU‑rahoitustuen tärkeimmistä lähteistä.

14 Euroopan strategisten investointien rahastosta (jota EIP hallinnoi) tuettiin kahta hanketta, joiden tavoitteena on tiivistää solukkojen käyttöönottoa ja tukea standardointia. Näiden hankkeiden investointikustannukset olivat kaikkiaan 3,9 miljardia euroa, johon sisältyi miljardin euron rahoitus ESIR-rahastosta (ks. liite IV).

15 Vuodesta 2014 lähtien komissio on myös suoraan yhteisrahoittanut yli sata 5G-hanketta Horisontti 2020 -puiteohjelman rahoituksella ja vähäisemmässä määrin Euroopan aluetukirahaston kautta. Liitteessä V on esimerkkejä tällaisista hankkeista.

Elpymis- ja palautumistukivälineestä myönnetään tulevina vuosina lisää EU‑rahoitusta 5G:n käyttöönottoon

16 Elpymis- ja palautumistukiväline muodostaa 5G:n käyttöönoton lisärahoituslähteen tulevina vuosina. Syyskuun 2021 tilanteen mukaan 16 jäsenvaltiota aikoo rahoittaa 5G:n käyttöönottoa elpymis- ja palautumistukivälineestä, kun taas 10 jäsenvaltiota on päättänyt toisin. Yhdestä jäsenvaltiosta ei vielä ollut saatavissa tietoja.

Tarkastuksen sisältö ja tarkastustapa

17 Tässä tarkastuksessa tilintarkastustuomioistuin arvioi, tukeeko komissio vaikuttavasti jäsenvaltioita

• 5G-verkkojen käyttöönottoa koskevien vuosiksi 2025 ja 2030 asetettujen EU:n tavoitteiden saavuttamisessa ja
• 5G-turvallisuusnäkökohtien yhtenäisessä ratkaisemisessa.

Tilintarkastustuomioistuin tutki myös jäsenvaltioiden toimenpiteitä ja toimia näillä kummallakin osa-alueella.

18 Käsitteellä 5G-turvallisuus tarkoitetaan kyberturvallisuutta ja laitteistojen/ohjelmistojen suojausta. Tilintarkastustuomioistuin tutki sekä 5G-verkkojen turvallisuutta että niiden toteutusta, jonka kannalta vuosi 2020 oli keskeinen vuosi (ks. kaavio 2). Tilintarkastustuomioistuin pyrkii kertomuksen avulla lisäämään tietämystä ja antamaan suosituksia turvallisten 5G-verkkojen ripeästä käyttöönotosta EU:ssa.

19 Tarkastus kattaa vuoden 2016 ja toukokuun 2021 välisen ajanjakson. Kertomuksessa on mahdollisuuksien mukaan hyödynnetty myös muita ajantasaisia tietoja. Osana tarkastustyötään tilintarkastustuomioistuin

• kävi läpi EU:n säädöksiä sekä komission aloitteet ja muut asiaankuuluvat asiakirjat
• haastatteli komission, Euroopan investointipankin, Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelimen (BEREC), Euroopan unionin kyberturvallisuusviraston (ENISA), televiestintäyhdistysten, matkaviestinoperaattoreiden, 5G-toimittajien, kansainvälisten järjestöjen, alan asiantuntijoiden sekä Suomen, Saksan, Puolan ja Espanjan viranomaisten edustajia. Jäsenvaltioiden valintaperusteita olivat muun muassa 5G-hankkeisiin osoitettujen EU:n varojen määrä, käyttöönottoaste ja maantieteellinen tasapaino
• teki kyselyn kaikille 27:lle EU:n kansalliselle televiestintäalan sääntelyviranomaiselle saadakseen laajemman kuvan 5G-haasteista jäsenvaltioissa ja
• tarkasti kymmenen EU:n yhteisrahoittamaa (ESIR, EAKR ja Horisontti 2020) 5G-hanketta, jotka valittiin havainnollistamaan tilannetta.

20 Tilintarkastustuomioistuin hyödynsi myös hiljattain laatimaansa katsausta, joka koskee EU:n vastausta Kiinan valtiovetoiseen investointistrategiaan¹⁵ sekä muita kertomuksia, jotka käsittelevät muun muassa laajakaistaa¹⁶, Euroopan teollisuuden digitalisointia koskevaa aloitetta¹⁷ ja EU:n kyberturvallisuuspolitiikkaa¹⁸.

Huomautukset

5G-verkkojen käyttöönoton viivästyminen vaarantaa EU:n vuosien 2025 ja 2030 tavoitteiden saavuttamisen

21 5G-verkkojen ripeän käyttöönoton osalta tilintarkastustuomioistuin tutki,

• olivatko jäsenvaltiot edistyneet suunnitellusti 5G:n käyttöönotossa
• oliko komissio antanut jäsenvaltioille asianmukaista tukea
• olivatko jäsenvaltiot poistaneet keskeiset esteet 5G-verkkojen ripeän käyttöönoton tieltä.

5G:n toteutus jäsenvaltioissa on viivästynyt

Komissio asetti 5G-verkkojen käyttöönotolle määräajat vuoden 2016 5G-toimintasuunnitelmassaan

22 Komissio ehdotti vuoden 2016 5G-toimintasuunnitelmassaan määräaikoja 5G-verkkojen käyttöönotolle EU:ssa: Jäsenvaltioiden olisi pitänyt käynnistää varhaisvaiheen 5G-verkot vuoden 2018 loppuun mennessä ja täysin kaupalliset 5G-palvelut ainakin yhdessä suurkaupungissa vuoden 2020 loppuun mennessä. Lisäksi niiden olisi pitänyt varmistaa keskeytymätön 5G-palvelu kaupunkialueilla ja keskeisillä liikenneväylillä vuoteen 2025 mennessä.

23 Maaliskuussa 2021 komissio asetti lisäksi määräajan, joka koski kaikkien asuttujen alueiden 5G-palvelujen toteuttamista vuoteen 2030 mennessä¹⁹.

Kaikkiaan 23 jäsenvaltiota käynnisti kaupalliset 5G-palvelut vuoden 2020 loppuun mennessä

24 Vuoden 2020 loppuun mennessä 23 jäsenvaltiota oli saavuttanut tavoitteen, jonka mukaan 5G-palvelut ovat käytettävissä vähintään yhdessä suurkaupungissa. Ainoastaan Kypros, Liettua, Malta ja Portugali eivät saavuttaneet tätä tavoitetta. Lokakuun 2021 lopussa ainoastaan Liettua ja Portugali eivät edelleenkään tarjonneet 5G-palveluja missään kaupungeistaan.

On olemassa vaara, että useimmat jäsenvaltiot eivät täytä vuosien 2025 ja 2030 määräaikaa

25 Hiljattain tehdyn komission tutkimuksen mukaan vain 11 jäsenvaltiota todennäköisesti saavuttaa keskeytymättömän 5G-palvelun kaikilla kaupunkialueillaan ja merkittävillä maaliikenneväylillä vuoteen 2025 mennessä²⁰. Muiden 16 jäsenvaltion osalta komissio katsoo, että tavoitteen saavuttamisen todennäköisyys on keskisuuri (Itävalta, Tšekki, Viro, Saksa, Irlanti, Puola, Liettua ja Slovenia) tai alhainen (Belgia, Bulgaria, Kroatia, Kypros ja Kreikka).

26 Vuonna 2021 toimialajärjestö Global System for Mobile Communications Association (GSMA) totesi, että 5G:n käyttöönotto etenee EU:ssa eri tahtia kuin muualla maailmassa. Järjestö arvioi esimerkiksi, että vuoteen 2025 mennessä 51 prosenttia kaikista Pohjois-Amerikan matkaviestintäyhteyksistä perustuu 5G:hen, kun taas Euroopassa (myös EU:n ulkopuolisissa maissa) osuuden odotetaan olevan vain 35 prosenttia (ks. kaavio 3).

27 Nykyisellä käyttöönoton etenemisvauhdilla on olemassa suuri riski, että useimmat jäsenvaltiot eivät pysty noudattamaan vuoden 2025 määräaikaa – eivätkä näin ollen myöskään kaikkien asuttujen alueiden kattavuutta koskevaa vuoden 2030 määräaikaa. Tämän pohjalta tilintarkastustuomioistuin tutki, onko komissio tukenut jäsenvaltioita vaikuttavasti 5G-verkkojen käyttöönottoa koskevien EU:n vuosien 2025 ja 2030 tavoitteiden saavuttamisessa.

Komission tuessa jäsenvaltioille ilmeni puutteita

Komissio ei ole määrittänyt 5G-verkoilta odotettua palvelun laatua

28 Komissio ei toistaiseksi ole määritellyt 5G-verkoilta odotettua palvelun laatua esimerkiksi vähimmäisnopeuden ja enimmäisviiveen osalta. Lisäksi vuoden 2016 toimintasuunnitelmassa pyydettiin jäsenvaltioita käynnistämään ”täysin kaupalliset” 5G-palvelut Euroopassa vuoden 2020 loppuun mennessä määrittelemättä kuitenkaan laadullisia käsitteitä.

29 Epäselvyys palvelun odotetusta laadusta aiheuttaa riskin, että jäsenvaltiot tulkitsevat näitä termejä eri tavoin. Tilintarkastustuomioistuin havaitsi esimerkkejä jäsenvaltioiden erilaisista lähestymistavoista 5G:n käyttöönotossa (ks. laatikko 2).

30 Jatkuessaan tilanne voi johtaa eriarvoisuuteen 5G-palvelujen saatavuudessa ja laadussa (nk. digitaalinen kuilu), jolloin osassa EU:ta kansalaiset saisivat paremmin ja laadukkaampia 5G-palveluita kuin muualla. Digitaalinen kuilu saattaa vaikuttaa myös taloudellisiin kehitysmahdollisuuksiin, sillä 5G voi muuttaa ratkaisevasti esimerkiksi terveydenhuoltoa, koulutusta ja työvoimaa vain, jos siihen liittyy riittävä 5G-suorituskyky.

31 Selvyys 5G-verkkojen odotettavissa olevasta suorituskyvystä tarvitaan myös, koska komissio pyrkii lisäämään matkaviestinoperaattoreiden verkkovierailupalvelujen laatua koskevaa avoimuutta: se on hiljattain tehnyt aiheesta lainsäädäntöehdotuksen²².

Komission neljännesvuosittainen raportointi 5G:n käyttöönotosta ei aina ole luotettavaa

32 Komissio seuraa 5G:n käyttöönoton tasoa jäsenvaltioissa 5G Observatoryn avulla. Sivusto tarjoaa neljännesvuosittain tietoja 5G:n käyttöönotosta ja jäsenvaltioiden 5G-strategioista. Tilintarkastustuomioistuin havaitsi kuitenkin, että neljästä sen tarkastamasta maasta kahden osalta näiden raporttien sisältämät tiedot eivät aina olleet luotettavia. Esimerkiksi neljännesvuosiraportissa nro 10, jossa esitetään tiedot joulukuun 2020 loppuun asti, oli Suomen osalta ilmoitettu paljon todellista vähemmän 5G:llä varustettuja kuntia (40 eikä 70 kuntaa), eikä siinä esitetty tietoja siitä, että 5G-taajuushuutokauppoja oli lykätty Puolassa (ks. kohta 42).

Komissio on vasta hiljattain hyödyntänyt eurooppalaista ohjausjaksoa seuratessaan jäsenvaltioiden edistymistä 5G-verkkojen käyttöönotossa

33 Tilintarkastustuomioistuin havaitsi, että komissio on kahden viime vuoden aikana aiempaa enemmän kannustanut eurooppalaisen ohjausjakson yhteydessä jäsenvaltioita edistämään 5G-verkkojen käyttöönottoa. Suoraan 5G:n kannalta merkitykselliset maakohtaiset suositukset lisääntyivät: vuonna 2019 niitä annettiin kahdelle ja vuonna 2020 seitsemälle jäsenvaltiolle (ks. kaavio 4).

Jäsenvaltioiden on vielä poistettava keskeisiä esteitä 5G-verkkojen ripeän käyttöönoton tieltä

34 EU:n vuosiksi 2025 ja 2030 asettamien 5G:n käyttöönottotavoitteiden saavuttamiseksi jäsenvaltioiden on toteutettava kolme keskeistä osatekijää. Strategisella osatekijällä varmistetaan, että kansalliset 5G-strategiat tai laajakaistasuunnitelmat vastaavat asetettuja tavoitteita²³. Lainsäädännöllinen osatekijä koskee vuoden 2018 eurooppalaisen sähköisen viestinnän säännöstön saattamista osaksi kansallista lainsäädäntöä²⁴. Liiketoimintaan suuntautunut osatekijä puolestaan koskee taajuuksien myöntämistä²⁵. Taulukossa 3 esitetään yleiskuva jäsenvaltioiden edistymisestä näiden kolmen osatekijän toteuttamisessa.

Vain harva jäsenvaltio on sisällyttänyt vuosien 2025 ja 2030 käyttöönottotavoitteet kansalliseen 5G-strategiaansa

35 Jäsenvaltiot määrittelevät 5G-politiikkansa erityisten kansallisten 5G-strategioiden avulla tai päivittämällä olemassa olevia kansallisia laajakaistasuunnitelmiaan. Kansallisia laajakaistasuunnitelmia koskevassa komission tutkimuksessa²⁶ vuodelta 2021 todetaan, että vain 14 jäsenvaltiota on sisällyttänyt kansalliseen 5G-strategiaansa tai laajakaistasuunnitelmiensa päivitykseen EU:n tavoitteen, jonka mukaan kaikilla kaupunkialueilla ja keskeisillä maaliikenneväylillä saavutetaan keskeytymätön 5G-palvelu vuoteen 2025 mennessä (ks. taulukko 3). Tavoitteen sisällyttäminen strategiaan tai suunnitelmaan on keskeinen edellytys sille, että politiikkaa voidaan tukea ja sen täytäntöönpanossa onnistua.

Useimmat jäsenvaltiot eivät saattaneet eurooppalaisen sähköisen viestinnän säännöstöä koskevaa direktiiviä osaksi kansallista lainsäädäntöään vuoden 2020 loppuun mennessä

36 Jäsenvaltioiden olisi pitänyt saattaa eurooppalainen sähköisen viestinnän säännöstö osaksi kansallista lainsäädäntöään 21. joulukuuta 2020 mennessä. Kyseisessä direktiivissä vahvistetaan kansallisten sääntelyviranomaisten ja muiden toimivaltaisten viranomaisten tehtävät ja asetetaan määräaika 5G-pioneeritaajuusalueiden myöntämiselle. Helmikuun 2021 loppuun mennessä vain kolme jäsenvaltiota (Suomi, Kreikka ja Unkari) ilmoitti hyväksyneensä kaikki tarvittavat toimenpiteet direktiivin saattamiseksi osaksi kansallista lainsäädäntöä. Näin ollen komissio käynnisti rikkomusmenettelyn muita 24 jäsenvaltiota vastaan²⁷.

37 Marraskuun 2021 lopussa 23 rikkomusmenettelyä oli yhä käynnissä. Komission asiantuntijat olettavat, että rikkomusmenettely saadaan pian päätökseen kuuden jäsenvaltion (Itävalta, Bulgaria, Tšekki, Ranska, Saksa ja Malta) osalta. Komissio voi kuitenkin joutua viemään asian loppujen 17 jäsenvaltion osalta unionin tuomioistuimeen²⁸ (ks. taulukko 3).

5G-pioneeritaajuusalueiden myöntäminen on myöhässä

38 Vuonna 2016 komissio ja jäsenvaltiot yksilöivät kolme 5G-palveluihin käytettävää pioneeritaajuusaluetta:

• 700 MHz:n taajuusalue helpottaa langattomien signaalien pääsyä rakennuksiin ja antaa operaattoreille mahdollisuuden laajempaan peittoon (satoja neliökilometrejä). 5G-verkon nopeus ja viive ovat kuitenkin vain yksi edistysaskel suhteessa 4G:hen (150 megabitistä 250 megabittiin sekunnissa).
• 3,6 GHz:n keskitaajuusalue voi kantaa merkittäviä tietomääriä (jopa 900 megabittiä sekunnissa) merkittävillä etäisyyksillä (usean kilometrin säteellä).
• 26 GHz:n ylätaajuusalue voi tuottaa suuria nopeuksia 1–3 gigabittiä sekunnissa lyhyillä etäisyyksillä (alle 2 km), mutta se on herkempi häiriöille.

39 Jäsenvaltioiden oli tarkoitus saattaa alakaistataajuusalue saataville 30 päivään kesäkuuta 2020²⁹ mennessä ja keski- ja korkea taajuusalue 31 päivään joulukuuta 2020 mennessä³⁰. Jäsenvaltiot olivat kuitenkin myöntäneet vuoden 2020 loppuun mennessä alle 40 prosenttia kaikista käytettävissä olevista pioneeritaajuusalueista (ks. taulukko 4):

• 700 MHz:n taajuusalue on osoitettu 13 jäsenvaltiossa
• 3,6 GHz:n taajuusalue on myönnetty 17 jäsenvaltiossa (mukaan lukien kaksi jäsenvaltiota, jotka olivat myöntäneet käyttöön väliaikaisen luvan) ja
• 26 GHz:n taajuusalue on myönnetty neljässä jäsenvaltiossa.

Lokakuun 2021 loppuun mennessä pioneeritaajuusalueista oli myönnetty jo 53 prosenttia³¹.

Pioneeritaajuusalueiden myöntäminen on viivästynyt monenlaisista syistä

40 Tilintarkastustuomioistuin havaitsi, että 26 GHz:n taajuusalueen myöntäminen viivästyi pääasiassa siksi, että kysyntä matkaviestinoperaattoreiden taholta on vähäistä. Esimerkiksi Espanjassa 5G:hen on käytettävissä yhteensä 1,5 GHz:iä 26 GHz:n taajuusalueesta. Sitä ei kuitenkaan ole vielä osoitettu operaattoreille, koska heinäkuussa 2019 päättyneen julkisen kuulemisen mukaan sille ei ole kysyntää. Vuoden 2021 loppuun mennessä aiotaan järjestää uusi julkinen kuuleminen taajuusalueen huutokauppaamiseksi vuoden 2022 toisella neljänneksellä. Myös Suomen matkaviestinoperaattorit totesivat, että 26 GHz:n taajuusalueen osalta ei ole vielä juurikaan havaittavissa kiinnostusta eikä liiketoimintamalleja.

41 Rajat ylittävän koordinoinnin ongelmat EU:n ulkopuolisten maiden kanssa itäisillä rajoilla (Valko-Venäjä, Venäjä ja Ukraina) ovat osaltaan viivästyttäneet 5G-taajuuksien jakamista. Nämä EU:n ulkopuoliset maat käyttävät nykyisten kansainvälisten sopimusten puitteissa 700 MHz:n taajuusaluetta televisiolähetyksiin ja 3,6 GHz:n taajuusaluetta sotilaallisiin satelliittipalveluihin. Ongelma vaikuttaa pääasiassa Baltian maihin (Viro, Latvia ja Liettua) ja Puolaan. Komission mukaan Ukrainan ja Valko-Venäjän osalta tilanne on jonkin verran edistynyt, ja niiden olisi tarkoitus vapauttaa 700 MHz:n taajuusalue vuoden 2022 loppuun mennessä. Kahdenväliset neuvottelut Venäjän kanssa eivät ole vielä edenneet. Tämän vuoksi Viro ja Puola ovat pyytäneet erivapautta 700 MHz:n taajuusalueen myöntämisen määräajoista vuoden 2022 puoliväliin saakka.

42 Lisäksi Puolassa ja Espanjassa 5G-taajuusalueen huutokauppoja on lykätty covid-19-pandemian aikana (ks. laatikko 3).

43 Muita syitä 5G-pioneeritaajuusalueiden jakamisen viivästymiseen ovat jäsenvaltioiden erilaiset näkemykset 5G:n turvallisuuskysymyksistä ja viiveet jäsenvaltioiden 5G-turvallisuuslainsäädännön hyväksymisessä, mikä aiheuttaa liiketoiminnan epävarmuutta (ks. kohdat 74 ja 75):

• Espanjassa pioneeritaajuusalueiden huutokauppasäännöt sisälsivät yleisen lausekkeen, jonka mukaan julkisten käyttöoikeussopimusten haltijoiden on noudatettava kaikkia 5G-verkkojen turvallisuutta koskevia velvoitteita, jotka vahvistetaan tulevaisuudessa EU:n tai Espanjan asetuksissa. Tarkastajien haastattelema espanjalainen matkaviestinoperaattori katsoi, että lauseke pakotti sen tekemään päätöksiä strategioista ja hankinnoista epävarmoissa olosuhteissa. Se huomautti myös, että kansalliset viranomaiset eivät halunneet selventää tiettyjä keskeisiä ehtoja, kuten mahdollisuutta korvaukseen, jos tuleva lainsäädäntö, joka on tarkoitus hyväksyä vuoden 2022 loppuun mennessä, edellyttäisi operaattoreiden korvaavan hankkimansa laitteet toisilla laitteilla.
• Puolassa yksi syy 5G-taajuusalueiden myöntämisen lykkäämiseen oli tarve odottaa 5G-verkkojen turvallisuusvaatimuksia selventävää lakia.

5G:n käyttöönottoon liittyvien turvallisuusongelmien ratkaisemiseen tarvitaan lisätoimia

44 5G:n turvallisuusnäkökohtien osalta tilintarkastustuomioistuin tutki,

• oliko komissio toteuttanut tarvittavat toimenpiteet edistääkseen turvallisuuspuitteiden tarkoituksenmukaista suunnittelua ja antanut jäsenvaltioille riittävää tukea
• panevatko jäsenvaltiot yhtenäisesti täytäntöön turvalliset 5G-verkot toteuttaen 5G-kyberturvallisuutta koskevaan EU:n välineistöön sisältyviä lieventäviä toimenpiteitä ja päivittäen asiaa koskevan lainsäädäntönsä.

Komissio reagoi nopeasti, kun 5G-turvallisuudesta tuli merkittävä huolenaihe EU:n tasolla

45 Vuoden 2016 5G-toimintasuunnitelmassa ei käsitelty turvallisuusnäkökohtia. 5G-verkkojen turvallisuus ja liiallinen riippuvuus kolmansien maiden ja erityisesti Kiinan laitetoimittajista todettiin kriittiseksi kysymykseksi maaliskuussa 2019. Euroopan parlamentti ilmaisi 12. maaliskuuta 2019 antamassaan päätöslauselmassa³² huolensa EU:n ulkopuolisista 5G-toimittajista, jotka saattavat aiheuttaa turvallisuusriskin EU:lle alkuperämaansa lainsäädännön vuoksi. Samana päivänä komissio korosti EU:n ja Kiinan suhteita koskevassa strategisessa katsauksessaan, että EU:n yhteinen lähestymistapa 5G-verkkojen turvallisuuteen on tarpeen, jotta voidaan suojautua mahdollisilta vakavilta turvallisuusvaikutuksilta kriittiseen digitaaliseen infrastruktuuriin³³. Eurooppa-neuvosto pyysi 21. ja 22. päivänä maaliskuuta 2019 antamissaan päätelmissä komissiota antamaan suosituksen 5G-verkkojen turvallisuutta koskeviksi yhteisiksi toimintalinjoiksi³⁴.

46 Muutamaa päivää myöhemmin komissio antoi suosituksen, joka sisältää joukon toimenpiteitä sekä kansallisella tasolla (esimerkiksi 5G:tä koskeva riskinarviointi) että EU:n tasolla (esimerkiksi koordinoitu riskinarviointi). Suosituksen tavoitteena on varmistaa 5G-verkkojen kyberturvallisuuden korkea taso kaikkialla EU:ssa³⁵.

47 Lähes kaikki jäsenvaltiot olivat saattaneet kansalliset riskinarviointinsa päätökseen heinäkuun 2019 määräaikaan mennessä³⁶. Lokakuussa 2019 verkko- ja tietoturva-alan yhteistyöryhmä julkaisi raportin 5G-verkkojen kyberturvallisuuden EU‑koordinoidusta riskinarvioinnista sekä 5G-kyberturvallisuutta koskevan EU:n välineistön³⁷ tammikuussa 2020 (ks. liite VII). Komissio ja Eurooppa-neuvosto hyväksyivät välineistön viivyttelemättä³⁸.

5G-kyberturvallisuutta koskevassa EU:n välineistössä (2020) määritettiin ensimmäistä kertaa toimenpiteitä turvallisuusuhkien torjumiseksi EU:n tasolla asettamatta kuitenkaan vaatimuksia

5G-verkkojen turvallisuuden käsittely osana kansallista turvallisuutta rajoittaa komission toimintamahdollisuuksia

48 EU:n perussopimuksissa³⁹ määritellään mahdollisuudet toteuttaa toimia sellaisten haasteiden ratkaisemiseksi, jotka liittyvät turvallisten 5G-verkkojen käyttöönottoon EU:n tasolla. Soveltamisala on laaja ja jättää komissiolle ja jäsenvaltioille tulkinnanvaraa (ks. laatikko 4).

49 5G-verkkojen turvallisuuteen sovelletaan sekä kansallista että EU:n toimivaltaa, ja 5G:n turvallisuus on tärkeää myös kansallisen turvallisuuden kannalta. Komissio lähestyi 5G-verkkojen turvallisuutta kansalliseen turvallisuuteen kohdistuvien uhkien näkökulmasta ja päätyi siksi toimiin, jotka perustuvat ei-sitoviin säädöksiin. Tämä tarkoittaa, että EU ei voi hyväksyä oikeudellisesti sitovia toimenpiteitä, jotka pakottaisivat jäsenvaltiot soveltamaan yhdenmukaisia riskinlieventämistoimenpiteitä, tai soveltaa täytäntöönpanokelpoisia vaatimuksia. Sen sijaan komissio voi antaa ei-sitovia suosituksia ja tiedonantoja, auttaa levittämään parhaita käytäntöjä ja koordinoida jäsenvaltioiden kansallisia toimia. Toisenlainen lähestymistapa on kuitenkin mahdollinen. Esimerkki tästä on verkko- ja tietoturvadirektiivi⁴⁰, joka on verkko- ja tietojärjestelmien turvallisuutta kaikkialla unionissa koskeva EU:n säädös. Komissio ehdotti tätä lakia, ja se hyväksyttiin sisämarkkinoita koskevan oikeusperustan nojalla siitä huolimatta, että kyberturvallisuus kuuluu suureksi osaksi kansalliseen toimivaltaan⁴¹.

5G-kyberturvallisuutta koskeva EU:n välineistö hyväksyttiin varhaisessa vaiheessa 5G:n käyttöönottoa, mutta osa matkaviestinoperaattoreista oli jo valinnut laitetoimittajansa

50 Verkko- ja tietoturva-alan yhteistyöryhmä hyväksyi tammikuussa 2020 5G:n kyberturvallisuutta koskevan EU:n välineistön. Siinä määritellään useita strategisia, teknisiä ja tukitoimenpiteitä 5G-verkkojen turvallisuusuhkien torjumiseksi ja määritetään kunkin toimenpiteen kannalta merkitykselliset toimijat. Tämä komission ja Eurooppa-neuvoston hyväksymä välineistö hyväksyttiin vain yhdeksän kuukautta sen jälkeen, kun Euroopan parlamentti ja neuvosto olivat ensimmäistä kertaa ilmaisseet huolensa 5G:n turvallisuudesta. 5G-kyberturvallisuutta koskeva EU:n välineistö on myöhemmin mainittu EU:n uudessa strategiassa keinona ohjata digitaalisiin infrastruktuureihin tehtäviä investointeja. Strategialla vauhditetaan älykkäitä, puhtaita ja turvallisia yhteyksiä digitaalisissa järjestelmissä kaikkialla maailmassa⁴². Komission käyttöön ottama ei-sitovaan lainsäädäntöön perustuva lähestymistapa auttoi käynnistämään nopeasti toimenpiteitä turvallisuusuhkien torjumiseksi myös EU:n tasolla ja helpottamaan jäsenvaltioiden yhteistyötä tässä rajat ylittävässä asiassa. Vertailun vuoksi voidaan todeta, että verkko- ja tietoturvadirektiivin kohdalla komission ehdotuksesta⁴³ direktiivin hyväksymiseen⁴⁴ kului yli kolme vuotta ja eurooppalaisen sähköisen viestinnän säännöstöä koskevan direktiivin kohdalla tähän tarvittiin yli kaksi vuotta⁴⁵. Vielä enemmän aikaa kului direktiivien saattamiseen osaksi jäsenvaltioiden kansallisia oikeusjärjestelmiä (ks. myös kohdat 36 ja 37).

51 5G-kyberturvallisuutta koskeva EU:n välineistö hyväksyttiin neljä vuotta sen jälkeen, kun 5G-toimintapolitiikka oli esitetty 5G-toimintasuunnitelmassa, ja samana vuonna olisi pitänyt saavuttaa 5G-toimintasuunnitelmassa asetetut käyttöönoton välitavoitteet. Tarkastusta varten haastatellut jäsenvaltioiden ministeriöiden, kansallisten sääntelyviranomaisten ja matkaviestinoperaattoreiden edustajat katsoivat tältä osin, että 5G:n turvallisuusnäkökohtia koskevat toimenpiteet aloitettiin liian myöhään.

52 Toisaalta välineistöä julkaistaessa 5G:n käyttöönotto ja suunnittelu olivat useimmissa jäsenvaltioissa edelleen varhaisessa vaiheessa. Valtaosa laitetoimittajien ja operaattoreiden välisistä 5G-laitteita koskevista sopimuksista tehtiin vuosina 2020 ja 2021. Euroopan kiinteän verkon operaattoreiden järjestö ETNO on kuitenkin todennut, että monet matkaviestinoperaattorit olivat jo valinneet laitetoimittajansa, kun 5G-kyberturvallisuutta koskeva EU:n välineistö tuli saataville.

5G-kyberturvallisuutta koskeva EU:n välineistö tarjosi kehyksen laitetoimittajien riskiprofiilin arviointiin, mutta siinä oli edelleen myös puutteita

Eräät jäsenvaltiot ja kansalliset viranomaiset katsoivat, että osa kriteereistä, joilla laitetoimittajat luokiteltiin korkeariskisiksi, ei ollut riittävän selkeitä

53 5G-kyberturvallisuutta koskevan EU:n välineistön keskeinen piirre on, että jäsenvaltioiden on arvioitava laitetoimittajat ja sovellettava kriittisiksi määriteltyihin keskeisiin osatekijöihin rajoituksia, jotka koskevat suuririskisiksi luokiteltuja toimittajia. Jäsenvaltioiden olisi tehtävä arviointi EU:n koordinoituun riskinarviointiin sisältyvän ei-tyhjentävän kriteeriluettelon perusteella. Tällaisia kriteerejä ovat esimerkiksi seuraavat:

• todennäköisyys siitä, että laitetoimittaja joutuu EU:n ulkopuolisen maan vaikutuksen kohteeksi, esimerkiksi jos laitetoimittajan ja EU:n ulkopuolisen maan hallituksen välillä on vahva yhteys, tai EU:n ulkopuolisen maan lainsäädännön kautta, erityisesti jos lainsäädännöllistä tai demokraattista keskinäistä valvontaa ei ole, tai jos EU:n ja EU:n ulkopuolisen maan välillä ei ole turvallisuus- tai tietosuojasopimuksia
• laitetoimittajan kyky taata toimitukset, ja
• laitetoimittajan tuotteiden ja kyberturvallisuuskäytäntöjen yleinen laatu

54 Välineistö kehitettiin, jotta voitaisiin välttää sisämarkkinoiden sirpaloitumista ja edistää niiden yhdenmukaisuutta. Välineistöön sisältyvät kriteerit tarjoavat hyödyllisen toimintakehyksen, jonka avulla laitetoimittajien riskiprofiileja voidaan arvioida koordinoidusti kaikissa jäsenvaltioissa. Lisäksi se antoi komissiolle mahdollisuuden reagoida yhdessä jäsenvaltioiden kanssa nopeasti uusiin uhkiin, joita kohdistui 5G-verkkojen turvallisuuteen. On kuitenkin edelleen kansallisten viranomaisten vastuulla soveltaa kriteereitä tiettyihin laitetoimittajiin liittyvien riskien arvioinnissa. Lokakuuhun 2021 mennessä 13 jäsenvaltiota oli säätänyt tai tarkistanut 5G-verkkojen turvallisuutta koskevaa lainsäädäntöä ottaen huomioon tämän kehyksen (ks. kohta 75 ja kaavio 6).

55 Tarkastusta varten haastateltiin neljän ministeriön edustajia. Kahdessa ministeriöistä katsottiin kuitenkin, että osa 5G-toimittajien luokitteluun tarkoitetuista kriteereistä on tulkinnanvaraisia ja että niitä olisi vielä selvennettävä. Kyseisissä ministeriöissä toivottiin myös, että komissio antaisi lisää tukea ja ohjeita suuririskisten toimittajien luokitteluun. Haastatellut jäsenvaltioiden edustajat katsoivat lisäksi tilanteen aiheuttavan riskin, että jäsenvaltiot soveltavat erilaisia lähestymistapoja suuririskisiin laitetoimittajiin (ks. myös kohdat 74 ja 75 sekä laatikko 5). Kyselyyn vastanneista kansallisallisista sääntelyviranomaisista 11 toi ilmi samankaltaisia huolenaiheita. Näiden viranomaisten osallisuus 5G-verkkojen turvallisuudesta vaihtelee.

5G-toimittajien alkuperämaa vaikuttaa turvallisuusriskien arviointiin

56 5G-toimittajat ovat yritysominaisuuksiltaan erilaisia, ja ne ovat peräisin maista, joiden siteet EU:hun eroavat toisistaan. Kaaviossa 5 esitetään joitakin tärkeimpien 5G-toimittajien välisiä sekä niiden alkuperämaiden välisiä yhtenevyyksiä ja eroavaisuuksia. Kaaviossa käsitellään erityisesti osa-alueita, joiden katsotaan EU:n välineistön mukaan todennäköisesti vaikuttavan toimittajien riskiprofiilin arviointiin (ks. kohta 53).

57 Yhden riskitekijän muodostaa se, missä määrin laitetoimittajan alkuperämaa noudattaa EU:n poliittisia ja taloudellisia ydinarvoja. Maakohtaisia tekijöitä, kuten oikeusvaltioperiaatetta, oikeuslaitoksen riippumattomuutta, avoimuutta ulkomaisille investoinneille ja tietosuojasopimusten olemassaoloa, voidaan käyttää mittaamaan oikeussuojaa, jota yritys nauttii valtion puuttumista vastaan, sekä oikeussuojaa, jonka se voi tarjota asiakkailleen.

58 EU:n jäsenvaltioihin sijoittautuneet laitetoimittajat ovat velvoitettuja noudattamaan EU:n standardeja ja oikeudellisia vaatimuksia, mutta tämä ei koske kuutta EU:n ulkopuolisissa maissa sijaitsevaa merkittävintä toimittajaa, jotka toimivat kolmansien maiden lainsäädännön puitteissa (ks. kaavio 5). Näiden maiden lainsäädännöt voivat poiketa huomattavasti EU:n normeista esimerkiksi kansalaisten tietosuojan ja tällaisen suojan vaikuttavuuden osalta tai yleisemmin sen mukaan, miten oikeudellinen riippumattomuus varmistetaan lainsäädännöllisellä ja/tai demokraattisella keskinäisellä valvonnalla. Oikeuslaitoksen riippumattomuuden osalta Yhdysvallat ja Japani saivat enemmän pisteitä kuin muut EU:n ulkopuoliset 5G-toimittajien alkuperämaat, kun taas oikeusvaltioperiaatteen mukaisessa luokituksessa Etelä-Korea pärjäsi parhaiten EU:n ulkopuolisten maiden joukossa.

59 5G-verkot ovat pääasiassa ohjelmistokäyttöisiä. Jotkin laitetoimittajat toimivat muun kuin EU:n lainsäädännön mukaisesti, mikä saattaa olla varsin huolestuttavaa, jos lisäksi tällaisten ohjelmistojen valvontakeskukset sijoitetaan EU:n ulkopuolisiin maihin, jolloin käyttäjät EU:ssa joutuvat mahdollisesti muun kuin EU:n lainsäädännön piiriin.

60 Komissio on ryhtynyt käsittelemään näitä huolenaiheita, sillä kaikkien EU:n kansalaisille palveluja tarjoavien yritysten on noudatettava EU:n sääntöjä ja arvoja⁴⁶. Komissio on aloittanut vuoropuhelun useiden maiden kanssa varmistaakseen henkilötietojen vahvan yksityisyyden suojan⁴⁷. Kaaviosta 5 käy ilmi myös, että komissio on jo todennut Japanin (ja aiemmin Yhdysvaltojen) tietosuojajärjestelmät riittäviksi. On kuitenkin syytä panna merkille, että riittävyydestä tehdyt päätökset voidaan kiistää ja että niihin kohdistetaan tarkkaa tuomioistuinvalvontaa. Esimerkkinä voidaan mainita, että vuonna 2015 Euroopan unionin tuomioistuin kumosi Yhdysvaltojen kanssa tehtyyn tietojenvaihtoon sovellettavan oikeudellisen välineen, Safe Harbour ‑järjestelyn⁴⁸. Se päätti myöhemmin, vuonna 2020, että Privacy Shield ‑järjestely, joka oli korvannut Safe Harbour ‑sopimuksen, ei tarjonnut riittävää suojaa EU:n kansalaisille⁴⁹. Yhdysvaltojen osalta ei siis tällä hetkellä ole tietosuojan riittävyyttä koskevaa päätöstä. Yleisemmin, tietosuojajärjestelmän lisäksi, on tärkeää ottaa huomioon laajempi oikeudellinen ja institutionaalinen kehys, kuten oikeusvaltioperiaatteen noudattaminen ja se, kuinka oikeuslaitoksen riippumattomuus on varmistettu.

61 Kaavio 5 osoittaa myös, että 5G-toimittajien välillä on suuria eroja, kun mitataan niiden osuuksia 5G-patenteista, niiden tuloja ja henkilöstömääriä. Tämä vaikuttaa laitetoimittajien käytettävissä oleviin resursseihin, mikä puolestaan voi vaikuttaa niiden häiriönsietokykyyn ja kykyyn varmistaa jatkuva tarjonta. Samsungilla ja Huaweilla on esimerkiksi eniten 5G-patentteja, ne tuottavat suurimmat tulot yrityksinä ja niillä on kokonaisuutena katsoen eniten työntekijöitä.

62 Se, kuinka todennäköisesti jokin laitetoimittaja joutuu EU:n ulkopuolisen maan hallituksen vaikutuksen alaiseksi, on toinen tärkeä tekijä, joka määritelty välineistössä toimittajan riskiprofiilin määrittämistä varten. Tässä yhteydessä omistajuudella on tärkeä rooli, sillä omistajat, joilla on paljon osakkeita, voivat mahdollisesti painostaa laitetoimittajaa tai vaikuttaa johtamispäätöksiin. Lisäksi yksityisten tai valtion omistamien yritysten katsotaan olevan vähemmän avoimia julkisen valvonnan – tarkastuksen ja tilivelvollisuuden – osalta kuin sellaisten julkisten yhtiöiden, joihin sovelletaan ympäri vuoden tiukkoja julkistamisvaatimuksia tavallisten sijoittajien ja sääntelyviranomaisten etujen mukaisesti. Useimmat 5G-toimittajista on noteerattu julkisesti pörssissä joko alkuperämaassaan tai ulkomailla. Sen sijaan kiinalaisia laitetoimittajia on vaikeampi luokitella ja niiden katsotaan yleensä olevan läheisesti yhteydessä Kiinan hallitukseen⁵⁰.

Jäsenvaltiot katsoivat, että komission ja ENISAn tuki oli 5G-kyberturvallisuutta koskevan EU:n välineistön täytäntöönpanon kannalta hyödyllistä

63 Komissio tuki jäsenvaltioita keskustelemalla parhaista käytännöistä, jotka liittyvät eräisiin 5G-kyberturvallisuutta koskevan EU:n välineistön keskeisiin toimenpiteisiin, joita toteutetaan esimerkiksi suuririskisten laitetoimittajien osalta. Tätä tukea annettiin usein verkko- ja tietoturva-alan yhteistyöryhmän puitteissa ja täydennettiin ENISAn erityistoimilla, kuten verkkoseminaareilla tai ohjeilla, jotka liittyivät

• välineistön täytäntöönpanoon ja etenkin teknisiin toimenpiteisiin
• verkon turvallisuutta koskeviin parhaisiin käytäntöihin, joiden aiheina olivat erityisesti

• 5G-uhkaympäristöt⁵¹
• kansallisten 5G-riskinarviointien valmistelu
• eurooppalaisen sähköisen viestinnän säännöstön mukaiset turvatoimet⁵², joihin muun muassa sisältyy nimenomaan 5G:n turvallisuutta koskevaa ohjeistusta⁵³.

64 Komissio antoi myös Euroopan unionin kyberturvallisuusvirastolle tehtäväksi valmistella 5G-verkkoja koskevan EU:n kyberturvallisuuden sertifiointijärjestelmän, jonka avulla voitaisiin lieventää verkkojen teknisiin haavoittuvuuksiin liittyviä riskejä ja parantaa kyberturvallisuutta entisestään⁵⁴. Vaikka tämä sertifiointi voisi parantaa turvallisuutta, sillä ei voida estää uhkien ujuttamista järjestelmiin ohjelmistopäivitysten kautta.

65 Kaikki tätä tarkastusta varten haastatellut jäsenvaltioiden viranomaisten edustajat korostivat komission ja ENISAn tuen hyödyllisyyttä 5G-turvallisuutta koskevan EU:n välineistön täytäntöönpanossa. Lisäksi suurin osa kansallisista televiestintäalan sääntelyviranomaisista (15 viranomaista 21:stä) totesi, että komissio ja/tai ENISA ovat auttaneet kansallisia viranomaisia keskustelemaan keskeisten strategisten toimenpiteiden täytäntöönpanoa koskevista parhaista käytännöistä.

5G:n kyberturvallisuutta koskeva EU:n välineistö hyväksyttiin niin myöhään, ettei sitä voitu ottaa huomioon EU:n yhteisrahoittamissa hankkeissa kaudella 2014–2020

66 Yksi 5G-kyberturvallisuutta koskevaan EU:n välineistöön kuuluvista tavoitteista on varmistaa, että EU:n yhteisrahoittamissa 5G-hankkeissa otetaan huomioon kyberturvallisuuteen liittyvät riskit. Välineistö hyväksyttiin kuitenkin vasta tammikuussa 2020. Kaikki tarkastuksen kattamat hankkeet oli valittu ennen 5G-kyberturvallisuutta koskevan EU:n välineistön hyväksymistä, joten niiden ei voitu olettaa noudattaneen kyberturvallisuutta koskevaa suositeltua lähestymistapaa, myöskään suuririskisten toimittajien osalta. Esimerkkeinä voidaan mainita tarkastusotokseen poimitut hankkeet, joista yksi oli Horisontti 2020 ‑hanke ja kaksi Euroopan aluetukirahaston hankkeita Espanjassa. Niissä käytettiin kiinalaisia 5G-laitteita, jotka on sittemmin kielletty Ruotsissa (ks. kohta 15).

67 Kaudella 2021–2027 komissio aikoo edistää EU:n yhteisrahoittamien hankkeiden 5G-turvallisuutta koskevaa yhdenmukaista lähestymistapaa varmistamalla, että EU:n välineistön soveltaminen on EU:n rahoituksen edellytys. Tämä kuitenkin tapahtuu eri tavoin ohjelmien toteutustavasta riippuen:

• Komission suoraan hallinnoimat ohjelmat (esimerkiksi Horisontti Eurooppa ‑puiteohjelma 2021–2027) mahdollistavat sen, että EU:n ulkopuolisen maan hallituksen vaikutuksille alttiit laitetoimittajat suljetaan rahoituksen ulkopuolelle. Näin pystytään todennäköisesti varmistamaan, että hankkeissa otetaan huomioon kyberturvallisuusriskit, ja estämään tilanteet, joissa EU:n yhteisrahoitusta yhdessä jäsenvaltiossa saavaa laitetoimittajaa pidetään toisessa jäsenvaltiossa suuririskisenä toimittajana, joka suljetaan pois.
• Yhteistyössä hallinnoitavien ohjelmien osalta lainsäädännössä ei ole kyberturvallisuusriskejä koskevia vaatimuksia. Siksi komissio pyrkii siihen, että jäsenvaltiot sisällyttäisivät kumppanuussopimuksiin maininnan välineistöstä, mikä mahdollistaisi sen, että EAKR:n rahoittamissa 5G-hankkeissa otetaan huomioon kyberturvallisuusriskit.
• InvestEU‑ohjelman (joka korvaa ESIR-rahaston)⁵⁵ ja elpymis- ja palautumistukivälineen osalta komissio aikoo kannustaa toimivaltaisia elimiä mainitsemaan EU:n välineistön rahoitussopimuksissa.

Jäsenvaltiot eivät toistaiseksi puutu turvallisuusnäkökohtiin yhtenäisesti 5G-verkkojen käyttöönoton yhteydessä

Tiedot siitä, miten jäsenvaltiot suhtautuvat turvallisuusasioihin, ovat riittämättömiä

68 Komissio seuraa 5G-kyberturvallisuutta koskevan EU:n välineistön täytäntöönpanon edistymistä, ja raportoi siitä, verkko- ja tietoturva-alan yhteistyöryhmän kautta, kahdenvälisissä keskusteluissa jäsenvaltioiden kanssa ja välillisesti tiedotusvälineiden kautta. Seurannan ensimmäiset tulokset julkaistiin heinäkuussa 2020⁵⁶. Lisäksi komissio julkaisi joulukuussa 2020 kertomuksen 5G-verkkojen kyberturvallisuudesta antamansa suosituksen vaikutuksista⁵⁷. Syyskuun 2021 jälkeistä raportointia ei ole suunniteltu.

69 Edellä mainituissa kertomuksissa ei kuitenkaan ole yhteisiä keskeisiä tuloksellisuusindikaattoreita, eikä niissä esitetä vertailukelpoisia yksityiskohtaisia tietoja siitä, miten jäsenvaltiot lähestyvät 5G-turvallisuusongelmia.

70 Lisäksi julkisesti saatavilla on vain vähän tietoa siitä, millaisia lähestymistapoja jäsenvaltiot soveltavat suuririskisten laitetoimittajien osalta (eli näiden tunnistaminen ja mahdollinen sulkeminen 5G-laitetoimitusten ulkopuolelle), ja jopa tämä vähäinen tieto on ristiriitaista ja puutteellista. Tästä ovat esimerkkinä seuraavat seikat:

• Komission heinäkuussa 2020 antamassa kertomuksessa jäsenvaltioiden edistymisestä välineistön täytäntöönpanossa (ks. kohta 68) todettiin, että noin puolet jäsenvaltioista (14 jäsenvaltiota 27:stä) oli arvioinut laitetoimittajien riskiprofiilin ja soveltanut rajoituksia suuririskisinä pitämiinsä toimittajiin.
• BERECin joulukuussa 2020 julkaisemassa kertomuksessa⁵⁸ mainittiin, että vain yhdeksän jäsenvaltiota oli ottanut käyttöön tällaisia rajoituksia ja että lopuista 18 jäsenvaltiosta seitsemän ei aikonut panna rajoituksia täytäntöön tulevaisuudessa.

71 Jäsenvaltiot ovat hyväksyneet lakeja, joissa käsitellään 5G-verkkojen turvallisuutta (ks. myös kohta 75), mutta niissä ei edelleenkään selkeytetä jäsenvaltioiden suhtautumista suuririskisiin toimittajiin. Käytännön päätökset tehdään todennäköisesti ainoastaan täytäntöönpanosäädöksillä tai muilla kuin julkisilla hallinnollisilla tai kaupallisilla päätöksillä.

72 Haastateltujen sidosryhmien ja päätöksentekijöiden (esimerkiksi Euroopan parlamentin) mukaan myös ei-julkista tietoa (esimerkiksi komission tai verkko- ja tietoturva-alan yhteistyöryhmän raporttien kautta) jäsenvaltioiden tavasta suhtautua suuririskisiin toimittajiin on tarjolla niukasti. Sidosryhmien ja päätöksentekijöiden on siis tukeuduttava tiedotusvälineisiin ja epävirallisiin lähteisiin.

73 Vaikka 5G-turvallisuuskysymykset ovat luonteeltaan rajat ylittäviä, saatavilla on yleisesti ottaen vain vähän julkista tietoa siitä, miten jäsenvaltiot suhtautuvat turvallisuusasioihin ja erityisesti suuririskisiin toimittajiin. Tämä vaikeuttaa tietämyksen jakamista jäsenvaltioiden välillä ja rajoittaa mahdollisuutta soveltaa yhtenäisiä toimenpiteitä. Se rajoittaa myös komission mahdollisuutta ehdottaa parannuksia 5G-verkkojen turvallisuuteen.

Jäsenvaltioiden suhtautuminen 5G-toimittajiin näyttää vaihtelevan

74 Kansallisilla viranomaisilla on 5G:n turvallisuuteen liittyvien keskeisten toimenpiteiden toteuttamisessa laaja harkintavalta (ks. kohdat 48 ja 49). Välineistössä on otettu huomioon kansalliset toimivaltuudet ja relevantit maakohtaiset osatekijät (kansallisten turvallisuuspalveluiden uhka-arvio, 5G:n käyttöönoton aikataulu, laitetoimittajien määrä ja kyberturvallisuusvalmiudet). Jäsenvaltiot ovat tähän saakka suhtautuneet epäyhtenäisesti tietyiltä toimittajilta peräisin olevien laitteiden ja suuririskisiä toimittajia koskevien rajoitusten käyttöön (ks. esimerkkejä neljästä jäsenvaltiosta laatikossa 5).

75 Välineistön hyväksymisen jälkeen 5G-verkkojen turvallisuutta on parannettu, sillä suurin osa jäsenvaltioista soveltaa tai aikoo soveltaa rajoituksia suuririskisiin toimittajiin. Vuoden 2021 loppuun mennessä 13 jäsenvaltiota oli hyväksynyt tai tarkistanut 5G:n turvallisuutta koskevaa kansallista lainsäädäntöä. Vaikka sääntelytoimenpiteissä on otettu huomioon välineistöön sisältyvät kriteerit, niissä noudatetaan erilaisia lähestymistapoja (ks. kaavio 6). Muut jäsenvaltiot käsittelevät asiaa koskevaa lainsäädäntöä parhaillaan. Tämä saattaa tulevina vuosina johtaa siihen, että ainakin ne jäsenvaltiot, jotka ovat säätäneet aiheesta lakeja, suhtautuvat suuririskisiin 5G-toittajiin yhdenmukaisemmin.

76 Komissio ei toistaiseksi ole arvioinut, mikä vaikutus erilaisilla lähestymistavoilla olisi silloin, jos yksi jäsenvaltio rakentaa 5G-verkkonsa käyttäen sellaisen toimittajan laiteita, jota pidetään suuririskisenä toisessa jäsenvaltiossa. Vaikutukset saattaisivat kohdistua joko rajatylittäviin turvallisuuskysymyksiin tai EU:n sisämarkkinoilla toimivien matkaviestinoperaattoreiden kilpailuun.

Komissio on hiljattain ryhtynyt käsittelemään sisämarkkinoita vääristäviin ulkomaisiin tukiin liittyviä ongelmia

77 Joulukuussa 2020 tilanne oli se, että yli puolet kaikista 4G- ja 5G-laitteista EU:ssa oli hankittu EU:n ulkopuolisilta toimittajilta (ks. kaavio 7).

78 Tarkemmin sanottuna vuoden 2019 lopussa 286 miljoonaa asiakasta EU:n 27 jäsenvaltiossa (64 prosenttia EU:n kokonaisväestöstä) käytti kiinalaisten laitetoimittajien 4G-laitteisiin perustuvia tietoliikenneverkkoja⁵⁹. Joukko Euroopan parlamentin jäseniä esitti lokakuussa 2020 jäsenvaltioiden televiestintä- ja kauppaministereille ja komissiolle huolensa siitä, että yksi syy kiinalaisten laitetoimittajien suureen markkinaosuuteen oli näiden saama epäoikeudenmukainen taloudellinen etu. Toisin sanoen kiinalaiset laitetoimittajat hyötyvät julkisista tuista, jollaisia ei EU:n valtiontukisääntöjen vuoksi ole saatavilla EU:n laitetoimittajille⁶⁰. Tilintarkastustuomioistuin korosti hiljattain esittämässään katsauksessa tältä osin samankaltaisia riskejä⁶¹. Tällaiset tuet voivat vääristää sisämarkkinoita ja luoda siten epätasaiset toimintaedellytykset 5G-toimittajille, millä voi olla turvallisuusvaikutuksia. Komissio pyrki ratkaisemaan ongelman ehdottamalla toukokuussa 2021 uutta asetusta⁶², jossa vahvistetaan menettelyt näiden tukien tutkimiseksi ja tuista johtuvien markkinavääristymien korjaamiseksi.

Komissiolla ei ole riittävästi tietoja kustannuksista, joita kiinalaisten laitetoimittajien laitteiden vaihtamisesta voisi aiheutua

79 Kesäkuussa 2020 laaditun raportin⁶³ mukaan erästä 5G-infrastruktuurin keskeistä toimittajaa koskeva rajoitus EU:ssa lisäisi investointien kokonaiskustannuksia lähes 2,4 miljardia euroa vuodessa seuraavan vuosikymmenen aikana (eli 24 miljardia euroa). Toisen tutkimuksen⁶⁴ mukaan eurooppalaiset operaattorit joutuvat jo nyt uudistamaan vuosina 2012–2016 rakennettuja 4G-verkkoja, koska yli 3–4-vuotta vanhojen verkkolaitteiden uudistaminen ja nykyaikaistaminen kuuluu liiketoiminnan tavanomaisiin käytäntöihin. Tutkimuksessa arvioidaan, että kiinalaisilta laitetoimittajalta vuoden 2016 jälkeen ostettujen uudistettavien laitteiden poistamisen ja korvaamisen kokonaiskustannukset ovat noin kolme miljardia euroa.

80 Kiinalaisilta laitetoimittajilta hankittujen laitteiden suuri osuus ja niiden mahdollinen luokittelu suuririskisiksi tietyissä jäsenvaltioissa saattaa johtaa miljardien eurojen kustannuksiin, jos matkaviestinoperaattoreiden olisi ilman siirtymäaikaa poistettava kiinalaisten toimittajien laitteet eurooppalaisista verkoista ja korvattava ne toisilla laitteilla (ks. kohdat 77–79). Valtiontukea ei periaatteessa voida myöntää operaattoreille korvaukseksi oikeudellisten velvoitteiden käyttämisestä, paitsi jos jäsenvaltio voi osoittaa komissiolle, että tarvittavat ehdot (kuten kannustava vaikutus) täyttyvät. Tilintarkastustuomioistuimen analyysissä löytyi yksi tapaus, jossa kansalliset säännökset mahdollistaisivat korvauksen saamisen kansallisista julkisista varoista, kun laitteiden korvaamisesta toisilla laitteilla aiheutuu kuluja (ks. Suomessa säädetty laki sähköisen viestinnän palveluista⁶⁵). Jäsenvaltioiden on ilmoitettava komissiolle kaikki tapaukset, joissa matkaviestinoperaattoreille myönnetään valtiontukea tällaisten kustannusten korvaamiseksi. Komission mukaan yksikään jäsenvaltio tai sidosryhmä ei ole ottanut siihen yhteyttä keskustellakseen valtiontuen myöntämisestä laitteiden vaihtamista varten. Tarkastuksen aikana haastateltujen toimialan sidosryhmien mukaan epävarmuus siitä, miten jäsenvaltiot suhtautuvat kyseisiin kustannuksiin, ja mahdolliset erot jäsenvaltioiden välillä heikentävät liiketoiminnan varmuutta ja vaarantavat 5G:n oikea-aikaisen käyttöönoton.

Johtopäätökset ja suositukset

81 Kaiken kaikkiaan tarkastus osoitti, että komission tuesta huolimatta 5G-verkkojen käyttöönotto jäsenvaltioissa on huomattavasti viivästynyt ja turvallisuuskysymysten ratkaiseminen edellyttää lisätoimia.

82 Komissio vaati vuoden 2016 5G-toimintasuunnitelmassaan kaikkien kaupunkialueiden ja keskeisten liikenneväylien 5G-palvelujen toteuttamista vuoteen 2025 mennessä. Lisäksi se edellytti maaliskuussa 2021, että täysi kattavuus saavutetaan vuoteen 2030 mennessä. Vuoden 2020 loppuun mennessä 23 jäsenvaltiota oli käynnistänyt kaupallisia 5G-palveluja ja saavuttanut välitavoitteen, jonka mukaan tällaisia palveluja on saatavilla vähintään yhdessä suurkaupungissa. Tilintarkastustuomioistuin havaitsi kuitenkin, että kaikki jäsenvaltiot eivät viittaa komission tavoitteisiin kansallisissa 5G-strategioissaan tai laajakaistasuunnitelmissaan. Lisäksi useissa maissa eurooppalaista sähköisen viestinnän säännöstöä ei ole vielä saatettu osaksi kansallista lainsäädäntöä ja 5G-taajuusalueiden jakaminen on viivästynyt. Nämä viiveet taajuusalueiden jakamisessa johtuvat useista eri syistä: heikko kysyntä matkaviestinoperaattoreiden taholta, rajat ylittävän koordinoinnin ongelmat EU:n ulkopuolisten maiden kanssa itäisillä rajoilla, covid-19-pandemian vaikutus huutokauppojen aikatauluihin ja epävarmuus siitä, miten turvallisuuskysymyksiä käsitellään. Komission mukaan vain 11 jäsenvaltiota saavuttaa todennäköisesti vuoden 2025 tavoitteen (ks. kohdat 22–43).

83 Komissio on tukenut jäsenvaltioita vuoden 2016 5G-toimintasuunnitelman täytäntöönpanossa aloitteiden, ohjeiden ja 5G-tutkimukseen tarkoitetun rahoituksen avulla. Komissio ei kuitenkaan ole määritellyt 5G-verkoilta odotettua palvelun laatua, kuten suorituskykyä vähimmäisnopeuden ja enimmäisviiveen osalta. Tämä on johtanut siihen, että jäsenvaltiot ymmärtävät käsitteen ”5G-laatu” eri tavoin. Tilintarkastustuomioistuin pani merkille jäsenvaltioiden erilaiset lähestymistavat 5G-palvelujen käyttöönotossa, kuten sen, että vain kaksi jäsenvaltiota on määrittänyt vähimmäisnopeuden ja enimmäisviiveen. Lähestymistapojen erilaisuudesta aiheutuu viime kädessä 5G-palvelujen saatavuuteen ja laatuun liittyvä eriarvoisuuden riski EU:ssa. Tämä pikemminkin lisää kuin vähentää nk. digitaalista kuilua niin jäsenvaltioiden kesken kuin alueiden välillä (ks. kohdat 22–31).

Suositus 1 – Edistetään 5G-verkkojen yhtäläistä ja ripeää käyttöönottoa EU:ssa

Komission olisi

1. kehitettävä yhdessä jäsenvaltioiden kanssa yhteinen määritelmä 5G-verkkojen palveluilta odotetulle laadulle, kuten sen tarjoama suorituskyky vähimmäisnopeuden ja enimmäisviiveen osalta
2. kannustettava jäsenvaltioita sisällyttämään 5G:n käyttöönottoa koskevat vuosien 2025 ja 2030 tavoitteet sekä niiden saavuttamiseksi tarvittavat toimenpiteet 5G-/digitaalistrategioiden tai laajakaistasuunnitelmien seuraavaan päivitykseen
3. tuettava jäsenvaltioita EU:n ulkopuolisten naapurimaiden kanssa koordinoitaviin taajuusalueisiin liittyvien kysymysten käsittelemisessä esimerkiksi pyrkimällä sisällyttämään aiheen kunkin asiaankuuluvan kokouksen esityslistalle.

Tavoiteajankohta: joulukuu 2022

84 5G-verkkojen turvallisuusnäkökohdista tuli vasta hiljattain keskeinen huolenaihe EU:n tasolla. Eurooppa-neuvosto korosti vuonna 2019 EU:n tason toimien tarvetta vaatien yhteisiä toimintalinjoja ja jäsenvaltioiden yhteistyötä tässä rajat ylittävässä asiassa. Komissio ja jäsenvaltiot ovat reagoineet uusiin 5G-turvallisuusongelmiin ripeästi. Verkko- ja tietoturva-alan yhteistyöryhmä hyväksyi vuonna 2020 5G:n kyberturvallisuutta koskevan EU:n välineistön, jossa määritellään useita strategisia, teknisiä ja tukitoimenpiteitä 5G-verkkojen turvallisuusuhkien torjumiseksi ja määritetään kunkin toimenpiteen vastuutahot. Useissa toimenpiteissä käsitellään ongelmaa, joka koskee 5G-laitteiden suuririskisiä toimittajia. Myöhemmin komissio ja Eurooppa-neuvosto hyväksyivät välineistön (ks. kohdat 45–47). Välineistö on nk. pehmeää lainsäädäntöä, joten sen sisältämät toimenpiteet eivät ole jäsenvaltioiden kannalta sitovia. 5G-kyberturvallisuutta koskeva EU:n välineistö on myöhemmin mainittu EU:n uudessa strategiassa keinona ohjata digitaalisiin infrastruktuureihin tehtäviä investointeja. Strategialla vauhditetaan älykkäitä, puhtaita ja turvallisia yhteyksiä digitaalisissa järjestelmissä kaikkialla maailmassa (ks. kohta 50).

85 Välineistöön sisältyvät kriteerit tarjoavat hyödyllisen toimintakehyksen, jonka avulla laitetoimittajien riskiprofiileja voidaan arvioida koordinoidusti kaikissa jäsenvaltioissa. Toisaalta arvioinnin tekeminen kuuluu yhä jäsenvaltion vastuulle (ks. kohta 54).

86 Välineistön hyväksymisen jälkeen 5G-verkkojen turvallisuutta on parannettu, sillä suurin osa jäsenvaltioista soveltaa tai aikoo soveltaa rajoituksia suuririskisiin toimittajiin. Lokakuuhun 2021 mennessä 13 jäsenvaltiota oli antanut tai tarkistanut 5G-verkkojen turvallisuutta koskevaa lainsäädäntöään ottaen huomioon tämän kehyksen. Muut jäsenvaltiot käsittelevät parhaillaan lainsäädäntöä, jossa otetaan huomioon välineistöön kuuluvat kriteerit (ks. kohdat 54 ja 75).

87 Vaikka välineistö hyväksyttiin 5G-verkkojen käyttöönoton alkuvaiheessa, useat matkaviestinoperaattorit olivat jo valinneet 5G-laitteiden toimittajansa (ks. kohta 52). Jos turvallisuuskysymyksiä ei käsitellä toimintapolitiikan suunnitteluvaiheesta lähtien, sen täytäntöönpano voi vaikeutua. Uhkien (esimerkiksi kyberrikollisuudesta johtuvat kustannukset) torjuminen saattaa heikentää odotettuja hyötyjä (esimerkiksi BTK:n kasvu) (ks. kohdat 02–04).

88 Välineistössä on otettu huomioon kansallinen toimivalta ja relevantit maakohtaiset osatekijät. Tilintarkastustuomioistuimen tarkastus osoitti, että jäsenvaltiot ovat soveltaneet erilaisia suhtautumistapoja suuririskisten toimittajien laitteiden käyttöön ja rajoitusten soveltamisalaan (esimerkiksi ainoastaan 5G-verkon keskeiset tai kriittiset osat, tai radioliityntäverkko tai osa siitä) (ks. kohdat 74 ja 75).

89 Suuririskisiä toimittajia koskevia suhtautumistapoja saattaa tulevina vuosina lähentää se, että jäsenvaltiot hyödyntävät välineistöä antaessaan 5G:n turvallisuuteen liittyvää lainsäädäntöä. Mikään välineistön toimenpiteistä ei kuitenkaan ole oikeudellisesti sitova, joten komissiolla ei ole toimivaltaa panna niitä täytäntöön. Siksi on yhä olemassa vaara, ettei pelkällä välineistöllä voida taata, että jäsenvaltiot ratkoisivat turvallisuuskysymyksiä yhtenäisesti (ks. kohdat 49–75).

90 Monet 5G-toimittajat sijaitsevat EU:n ulkopuolella ja toimivat siten kolmansien maiden lainsäädännön puitteissa. Se voi poiketa huomattavasti EU:n normeista esimerkiksi kansalaisten vaikuttavan tietosuojan osalta tai yleisemmin sen mukaan, miten oikeudellinen riippumattomuus varmistetaan lainsäädäntöön tai demokratiaan perustuvalla keskinäisellä valvonnalla. Se, että 5G-verkot ovat pääasiassa ohjelmistokäyttöisiä, voi aiheuttaa erityisen turvallisuusongelman, jos tällaisten ohjelmistojen valvontakeskukset sijoitetaan EU:n ulkopuolisiin maihin, jolloin EU:n kansalaiset joutuvat mahdollisesti kolmansien maiden lainsäädännön piiriin. Komissio on ryhtynyt käsittelemään näitä huolenaiheita, sillä kaikkien EU:n kansalaisille palveluja tarjoavien yritysten on noudatettava EU:n sääntöjä ja arvoja. Lisäksi komissio on aloittanut vuoropuhelun useiden maiden kanssa varmistaakseen henkilötietojen vahvan yksityisyyden suojan (ks. kohdat 56–62).

91 Vaikka 5G-turvallisuuskysymykset ovat luonteeltaan rajat ylittäviä, julkisesti ei ole saatavilla riittävästi tietoa siitä, miten jäsenvaltiot suhtautuvat turvallisuusasioihin ja missä määrin ne ovat riippuvaisia suuririskisistä toimittajista. Komissio seuraa välineistön täytäntöönpanoa ja raportoi siitä. Kertomuksissa ei kuitenkaan esitetä yksityiskohtaisia ja vertailukelpoisia tietoja siitä, miten jäsenvaltiot suhtautuvat 5G-turvallisuusongelmiin. Lisäksi syyskuun 2021 jälkeistä raportointia ei ole suunniteltu. Tiedon puute vaikeuttaa tietämyksen jakamista jäsenvaltioiden välillä ja rajoittaa mahdollisuutta soveltaa yhtenäisiä toimenpiteitä. Se rajoittaa myös komission mahdollisuutta ehdottaa parannuksia 5G-verkkojen turvallisuuteen (ks. kohdat 68–73).

Suositus 2 – Edistetään jäsenvaltioiden yhtenäistä lähestymistapaa 5G-turvallisuuskysymyksissä

Komission olisi

1. annettava lisää ohjeita tai toteutettava lisää tukitoimia 5G-kyberturvallisuutta koskevan EU:n välineistön keskeisten osatekijöiden (esimerkiksi 5G-toimittajiin sovellettavat arviointikriteerit ja laitetoimittajien luokittelu suuririskisiksi) osalta sekä tietosuojaa koskevien näkökohtien osalta.
   Tavoiteajankohta: joulukuu 2022
2. edistettävä jäsenvaltioiden 5G-turvallisuutta koskevien lähestymistapojen läpinäkyvyyttä ja seurattava 5G-kyberturvallisuutta koskevan EU:n välineistön turvallisuustoimenpiteiden täytäntöönpanoa ja raportoitava siitä. Tämä olisi tehtävä käyttäen yhteisiä tuloksellisuusindikaattoreita.
   Tavoiteajankohta: joulukuu 2022
3. arvioitava yhdessä jäsenvaltioiden kanssa, mitä 5G-verkkojen turvallisuuteen liittyviä näkökohtia varten on tarpeen määritellä täytäntöönpanokelpoiset vaatimukset, ja tehtävä tarvittaessa lainsäädäntöaloite.
   Tavoiteajankohta: joulukuu 2022

92 Komissio on ryhtynyt käsittelemään väitteitä, jotka koskevat ulkomaisista tuista johtuvaa epäoikeudenmukaista taloudellista etua. Tällaiset tuet voivat vääristää sisämarkkinoita ja luoda siten eriarvoiset toimintaedellytykset 5G-toimittajille, millä voi olla turvallisuusvaikutuksia (ks. kohta 78).

93 Komissiolla ei ole riittävästi tietoja siitä, miten jäsenvaltioissa käsiteltäisiin kustannuksia, joita voisi aiheutua, jos matkaviestinoperaattorit joutuvat ilman siirtymäkautta korvaamaan eurooppalaisissa verkoissa olevat suuririskisten toimittajien laitteet muilla laitteilla. Käsittelyerot saattavat heikentää liiketoiminnan varmuutta ja vaarantaa 5G:n ripeän käyttöönoton (ks. kohdat 79 ja 80). Toisaalta jäsenvaltioiden tavat suhtautua 5G-turvallisuuteen ja erityisesti koko EU:ssa sovellettavan yhtenäisen lähestymistavan puuttuminen voivat vaikuttaa sisämarkkinoiden tehokkaaseen toimintaan. Komissio ei ole tähän mennessä arvioinut tätä kysymystä (ks. kohdat 74–76).

Suositus 3 – Seurataan jäsenvaltioiden tapoja suhtautua 5G-turvallisuuteen ja arvioidaan, miten suhtautumistapojen kirjavuus vaikuttaa sisämarkkinoiden tehokkaaseen toimintaan

Komission olisi

1. edistettävä jäsenvaltioiden läpinäkyvää ja yhtenäistä lähestymistapaa kustannuksiin, joita matkaviestinoperaattoreille voi aiheutua suuririskisiltä toimittajilta hankittujen 5G-laitteiden korvaamisesta toisilla laitteilla; sen olisi tätä varten seurattava aihetta säännöllisesti 5G-kyberturvallisuutta koskevan EU:n välineistön täytäntöönpanon yhteydessä ja raportoitava siitä.
2. arvioitava, mikä vaikutus sisämarkkinoihin on sillä, jos yksi jäsenvaltio rakentaa 5G-verkkonsa käyttäen sellaisen toimittajan laiteita, jota pidetään suuririskisenä toisessa jäsenvaltiossa.

Tavoiteajankohta: joulukuu 2022

Tilintarkastustuomioistuimen II jaosto on tilintarkastustuomioistuimen jäsenen Iliana Ivanovan johdolla hyväksynyt tämän kertomuksen Luxemburgissa 15. joulukuuta 2021.

Liitteet

Liite I – 5G:n tärkeimmät mahdollisuudet ja riskit

Lähde: Euroopan tilintarkastustuomioistuin, Euroopan parlamentin tutkimuspalvelun – Euroopan tiedemediakeskuksen tietojen perusteella.

Liite II – Esimerkkejä tietoliikenneverkkojen häiriöiden ja kyberturvallisuuden häiriötilanteiden vaikutuksista

Ranskan hätänumeroiden toimintavika^{66, 67}

01 Ranskan suurimman televiestintäyrityksen Orangen verkkokatko 3. kesäkuuta 2021 esti hätäpuhelut useiden tuntien ajan. Tilanne ei selvitysten mukaan johtunut kyberhyökkäyksestä, mutta tapaus osoittaa, millaisia vaikutuksia kriittisen verkkoinfrastruktuurin häiriöllä voi olla.

Irlannin julkiseen terveydenhuoltoon kohdistuneet kiristysohjelmahyökkäykset^{68, 69, 70}

02 Toukokuussa 2021 Irlannin terveyspalvelu (Health Service Executive) sulki kaikki IT-järjestelmänsä kiristysohjelmahyökkäyksen vuoksi. Hyökkäys vaikutti kaikkiin potilashoidon osa-alueisiin, koska se vaikeutti potilastietojen saatavuutta, mikä lisäsi viiveiden ja virheiden riskiä. Irlannin viranomaisilla ei ollut tietoa siitä, että potilastiedot olisivat vaarantuneet. Terveystietojen jakaminen verkossa olisi kuitenkin voinut johtaa monenlaisiin rikoksiin, kuten petoksiin ja kiristykseen. Terveyspalvelun pääjohtajan mukaan arvioidut palautumiskustannukset ovat todennäköisesti yhteensä 500 miljoonaa euroa (600 miljoonaa dollaria).

Solarwinds^{71, 72, 73}

03 Solarwinds on amerikkalainen yritys, joka kehittää ohjelmistoja yrityksille sekä valtiollisille ja liittovaltion virastoille helpottamaan verkkojen, järjestelmien ja tietotekniikkainfrastruktuurin hallintaa. Alkuvuodesta 2020 Solarwinds joutui ohjelmistohyökkäyksen kohteeksi. Hakkerit onnistuivat levittämään hyökkäykset Solarwindsin asiakkaille haittakoodeja sisältävien ohjelmistopäivitysten avulla. Ne avasivat asiakkaiden alustoihin takaportteja, jotka mahdollistivat helpon pääsyn hyökkäyksille ja uusille haitta- ja vakoiluohjelmille.

Liite III – Oikeudellinen ja toimintapoliittinen kehys

Liite IV – Esimerkkejä Euroopan strategisten investointien rahaston yhteisrahoittamista hankkeista

ESIR-rahaston 5G-hankkeet

Tilintarkastustuomioistuimen arvioimat kaksi ESIR-hanketta koskivat tutkimuksen, kehittämisen ja innovoinnin investointeja 5G-verkon tuoteportfolioiden kehittämiseen. Hankkeet käsittivät laitteistojen ja ohjelmistojen kehittämistä radioverkkoja ja ydinverkkoa varten. Molemmilla hankkeilla edistettiin solukkojen tiiviimpää käyttöönottoa, tuettiin standardointia ja helpotettiin keskeisten teknologiakokeilujen tekemistä.

Hankkeet käynnistyivät vuonna 2018 ja päättyivät joulukuussa 2020. Hankkeiden investointikustannukset olivat yhteensä 3,9 miljardia euroa, josta miljardi euroa oli ESIR-rahoitusta.

Liite V – Esimerkkejä Horisontti 2020 -puiteohjelman ja Euroopan aluetukirahaston hankkeista

Horisontti 2020 ‑puiteohjelman 5G-hanke

Tässä hankkeessa, jossa käytetään kaikkien kolmen tärkeimmän 5G-toimittajan (Ericsson, Huawei ja Nokia) laitteita, testataan 5G-teknologiaa rajat ylittävässä käytävässä, joka yhdistää Metzin (Ranska), Merzigin (Saksa) ja Luxemburgin kaupungit. Hanke käynnistettiin marraskuussa 2018 ja sen oli tarkoitus kestää 31 kuukautta. EU myönsi 12,9 miljoonaa euroa kokonaisbudjettiin, joka oli suuruudeltaan 17,1 miljoonaa euroa.

Euroopan aluekehitysrahaston 5G-hanke

Espanjassa toteutettavan hankkeen tavoitteena on tarjota tietoa 5G-verkon käyttöönotosta. Siinä muun muassa kokeillaan 5G-teknologian mahdollistamia verkonhallintatekniikoita, kuten verkon virtualisointia, reunalaskentaa, dynaamista verkkopalvelun jakoa tai verkon viipalointia, ja kehitetään 5G-käyttötapauksia. Hanke käynnistettiin vuonna 2019, ja sen suunniteltiin kestävän 30 kuukautta. EU osuus odotetuista 7,1 miljoonan kokonaiskustannuksista on 2,2 miljoonaa euroa.

Liite VI – 5G-kattavuus valituissa kaupungeissa

Alla olevat luvut perustuvat nPerf-sovelluksen käyttäjien testeistä kerättyihin mobiililaajakaistayhteyksiä koskeviin tietoihin. Alueet, joilla 5G on havaittu, eivät välttämättä ole kaupallisesti käytettävissä. Koska verkkojen suorituskyky riippuu yksittäisistä matkaviestinoperaattoreista, seuraavat 4. lokakuuta 2021 poimitut kartat kuvaavat vain kattavuutta eivätkä suorituskykyä, kuten nopeutta ja viivettä.

Liite VII – 5G-kyberturvallisuutta koskeva EU:n välineistö

Verkko- ja tietoturva-alan yhteistyöryhmän hyväksymä ja komission tukema 5G-kyberturvallisuutta koskeva EU:n välineistö sisältää kolmentyyppisiä ei-sitovia toimenpiteitä (strategiset, tekniset ja tukitoimenpiteet), joita toteuttavat eri toimijat alla esitetyn yhteenvedon mukaisesti.

Toimenpide	Toimijat
	Jäsenvaltioiden viranomaiset	Matkaviestinoperaattorit	Euroopan komissio	ENISA	Sidosryhmät (ml. toimittajat)
Strategiset toimenpiteet
SM01 – Kansallisten viranomaisten aseman vahvistaminen	✓	✓
SM02 – Operaattoreita koskevien tarkastusten suorittaminen ja tietojen vaatiminen	✓	✓
SM03 – Laitetoimittajien riskiprofiilin arviointi ja rajoitusten soveltaminen toimittajiin, joita pidetään suuririskisinä – mukaan lukien tarvittavat poissulkemiset keskeisiin kohteisiin kohdistuvien riskien vähentämiseksi tehokkaasti	✓	✓
SM04 – Järjestelmähallintapalvelujen ja laitetoimittajien kolmannen linjan tuen käytön valvonta	✓	✓
SM05 – Yksittäisten matkaviestinoperaattoreiden käyttämien laitetoimittajien monimuotoisuuden varmistaminen asianmukaisilla toimittajapohjan monipuolistamisstrategioilla	✓	✓
SM06 – Kansallisen häiriönsietokyvyn vahvistaminen	✓	✓
SM07 – Keskeisten voimavarojen tunnistaminen ja monipuolisen ja kestävän 5G-ekosysteemin edistäminen EU:ssa	✓		✓
SM08 – Monimuotoisuuden ja EU:n valmiuksien ylläpitäminen ja kehittäminen tulevissa verkkoteknologioissa	✓		✓		✓
Tekniset toimenpiteet
TM01 – Perustason turvallisuusvaatimusten noudattamisen varmistaminen (suojatun verkon suunnittelu ja arkkitehtuuri)	✓	✓
TM02 – Turvatoimien täytäntöönpanon varmistaminen ja arviointi nykyisillä 5G-standardeilla	✓	✓			✓
TM03 – Tiukan pääsynvalvonnan varmistaminen	✓	✓
TM04 – Virtuaalisten verkkotoimintojen turvallisuuden parantaminen	✓	✓
TM05 – 5G-verkon turvallisen ylläpidon, toiminnan ja seurannan varmistaminen	✓	✓
TM06 – Fyysisen turvallisuuden parantaminen	✓	✓
TM07 – Ohjelmiston eheyden, päivityksen ja paikkauksen hallinnan vahvistaminen	✓	✓
TM08 – Laitetoimittajien prosesseja koskevien turvallisuusstandardien tiukentaminen vankkojen hankintaehtojen avulla	✓	✓			✓
TM09 – EU‑sertifioinnin käyttö 5G-verkon komponenteissa, tilaajan laitteissa ja/tai toimittajien prosesseissa	✓	✓	✓	✓	✓
TM10 – EU:n sertifioinnin käyttö muihin kuin 5G:hen liittyviin TVT-tuotteisiin ja ‑palveluihin (kytketyt laitteet, pilvipalvelut)	✓		✓	✓	✓
TM11 – Häiriönsietokyky- ja jatkuvuussuunnitelmien lujittaminen	✓	✓			✓
Tukitoimenpiteet
SA01 – Verkon turvallisuutta koskevien ohjeiden ja parhaiden käytäntöjen tarkistaminen tai kehittäminen	✓	✓		✓
SA02 – Testaus- ja tarkastusvalmiuksien vahvistaminen kansallisella ja EU:n tasolla	✓		✓	✓
SA03 – 5G-standardoinnin tukeminen ja muotoilu	✓	✓	✓	✓	✓
SA04 – Turvallisuustoimenpiteiden täytäntöönpanoa koskevien ohjeiden kehittäminen nykyisillä 5G-standardeilla	✓			✓
SA05 – Standardien mukaisten teknisten ja organisatoristen turvallisuustoimenpiteiden soveltamisen varmistaminen erityisen EU:n laajuisen sertifiointijärjestelmän avulla	✓			✓	✓
SA06 – Tietojenvaihto strategisten toimenpiteiden täytäntöönpanoa käsittelevistä parhaista käytännöistä, erityisesti toimittajien riskiprofiilin arviointia koskevista kansallisista kehyksistä	✓
SA07 – Häiriöiden torjunnan ja kriisinhallinnan koordinoinnin parantaminen	✓			✓
SA08 – 5G-verkkojen ja muiden kriittisten palvelujen keskinäisten riippuvuussuhteiden tarkastaminen	✓
SA09 – Yhteistyön, koordinoinnin ja tiedonjakomekanismien parantaminen	✓			✓
SA10 – Julkisella rahoituksella tuettujen 5G-hankkeiden kyberturvallisuusriskien huomioon ottamisen varmistaminen	✓		✓

Lähde: 5G-kyberturvallisuutta koskeva EU:n välineistö.

Lyhenteet

BEREC: Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelin

BKT: Bruttokansantuote

EAKR: Euroopan aluekehitysrahasto

EECC: Eurooppalainen sähköisen viestinnän säännöstö

EIP: Euroopan investointipankki

ENISA: Euroopan unionin kyberturvallisuusvirasto

ESIR: Euroopan strategisten investointien rahasto

RAN: Radioliityntäverkko

Sanasto

Eksatavu: Digitaalisen tiedontallennuskapasiteetin mittayksikkö, joka vastaa miljardia gigatavua.

Esineiden internet: Fyysisiin esineisiin upotetut anturit, ohjelmistot ja muut tekniikat, joiden avulla ne voivat muodostaa langattoman yhteyden ja vaihtaa tietoja muiden laitteiden ja järjestelmien kanssa.

Euroopan strategisten investointien rahasto: Investointitukimekanismi, jonka Euroopan investointipankki (EIP) ja komissio ovat perustaneet osaksi Euroopan investointiohjelmaa ja jolla pyritään hankkimaan yksityistä rahoitusta EU:n kannalta strategisesti merkittäville hankkeille.

Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelin: Elin, joka koostuu jäsenvaltioiden kansallisten sääntelyviranomaisten edustajista ja joka avustaa näitä viranomaisia ja komissiota EU:n sääntelykehyksen täytäntöönpanossa sähköisen viestinnän sisämarkkinoiden luomiseksi.

Euroopan unionin kyberturvallisuusvirasto: EU:n virasto, joka on perustettu kehittämään ja ylläpitämään korkeatasoista verkko- ja tietoturvaa kaikilla yksityis- ja julkisen elämän aloilla.

Global System for Mobile Communications Association (GSMA): Toimialaorganisaatio, joka edustaa matkaviestinoperaattoreiden etuja maailmanlaajuisesti sekä valmistus- ja palveluyrityksiä ja ‑organisaatioita, joilla on matkaviestintäinfrastruktuuriin liittyviä etunäkökohtia.

Kansallinen laajakaistasuunnitelma: Jäsenvaltioiden asiakirjoja, joissa esitetään strategiset tavoitteet EU:n laajakaistatavoitteiden saavuttamiseksi.

Kiristyshaittaohjelma: Haittaohjelma, joka estää uhrien pääsyn tietokonejärjestelmään tai tekee tiedostoista lukukelvottomia, pakottaen uhrin maksamaan lunnaat pääsyn palauttamista varten.

Laajakaista: Nopea useiden tietoformaattien (kuten datan, äänen ja videon) samanaikainen lähetys.

Matkaviestinoperaattori: Televiestintäyritys, joka tarjoaa langattomia ääni- ja datayhteyksiä niitä tilanneille matkapuhelinkäyttäjille.

Radioliityntäverkko: Nykyaikaisen tietoliikennetekniikan tärkeä osatekijä, joka yhdistää yksittäisiä laitteita muihin verkon osiin radioyhteyksien kautta.

Radiotaajuudet: Radiotaajuuksia vastaava sähkömagneettisen spektrin osa.

Radiotaajuuspolitiikkaa käsittelevä ryhmä: Jäsenvaltioiden edustajista koostuva korkean tason neuvoa-antava ryhmä, joka avustaa ja neuvoo EU:n toimielimiä langattomien tuotteiden ja palvelujen sisämarkkinoiden kehittämisessä.

Vasteaika: Tietoverkoissa aika, joka tarvitaan tietojoukon liikkumiseen kahden pisteen välillä.

Verkko- ja tietojärjestelmien yhteistyöryhmä: Verkko- ja tietoturvadirektiivillä perustettu elin, jonka tarkoituksena on varmistaa yhteistyö ja tietojenvaihto jäsenvaltioiden kesken ja joka koostuu EU:n jäsenvaltioiden, Euroopan komission ja EU:n kyberturvallisuusviraston edustajista.

Komission vastaukset

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=60614

Tarkastuksen eteneminen

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=60614

Tarkastustiimi

Tilintarkastustuomioistuin esittää erityiskertomuksissaan tulokset tarkastuksista, joita se kohdistaa EU:n toimintapolitiikkoihin ja ohjelmiin tai yksittäisten talousarvioalojen hallinnointiin liittyviin aihealueisiin. Tilintarkastustuomioistuin valitsee ja suunnittelee nämä tarkastustehtävät siten, että niillä saadaan aikaan mahdollisimman suuri vaikutus. Se ottaa valinta- ja suunnitteluvaiheessa huomioon tuloksellisuuteen tai säännönmukaisuuteen kohdistuvat riskit, kyseessä olevien tulojen tai menojen määrän, tulevat kehityssuunnat sekä poliittiset näkökohdat ja yleisen edun.

Tästä tuloksellisuuden tarkastuksesta vastasi tilintarkastustuomioistuimen II tarkastusjaosto, jonka vastuualueeseen kuuluvat yhteenkuuluvuutta, kasvua ja osallisuutta tukevien investointien menoalat. Jaoston puheenjohtaja on Euroopan tilintarkastustuomioistuimen jäsen Iliana Ivanova. Tarkastus toimitettiin tilintarkastustuomioistuimen jäsenen Annemie Turtelboomin johdolla ja siihen osallistuivat kabinettipäällikkö Florence Fornaroli ja kabinettiavustaja Celil Ishik, toimialapäällikkö Niels-Erik Brokopp, tehtävävastaava Paolo Pesce ja tarkastajat Jussi Bright, Rafal Gorajski, Zuzana Gullová, Alexandre Tan, Aleksandar Latinov ja Nils Wesphal.

 

Loppuviitteet

¹ Statista, Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030.

² Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2017-2022, helmikuu 2019.

³ ITU-R, IMT traffic estimates for the years 2020 to 2030.

⁴ Identification and quantification of key socio-economic data to support strategic planning for the introduction of 5G in Europe, helmikuu 2017.

⁵ Accenture Strategy, The Impact of 5G on the European Economy, helmikuu 2021.

⁶ Katsaus nro 02/2019: EU:n kyberturvallisuuspolitiikan vaikuttavuuteen liittyvät haasteet (aihekohtainen katsaus), Kyberturvallisuutta koskeva yhteyskomitean tarkastuskooste 2020 ja Euroopan parlamentin tutkimuspalvelu – Euroopan tiedemediakeskus.

⁷ Verkko- ja tietoturva-alan yhteistyöryhmä, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019, kohta 3.4.

⁸ Maailman talousfoorumi, Wild Wide Web – Consequences of Digital Fragmentation, 2021.

⁹ Verkko- ja tietoturva-alan yhteistyöryhmä, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019.

¹⁰ https://ec.europa.eu/commission/presscorner/detail/fi/IP_15_5715

¹¹ Euroopan parlamentin päätöslauselma, 12. maaliskuuta 2019, ja Kiinan kansantasavallan kansallisesta tiedustelusta annettu laki, 14 artikla. Ks. myös käännös osoitteessa https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/

¹² https://ec.europa.eu/commission/presscorner/detail/fi/IP_20_12

¹³ Komission arvio, joka perustuu EIB:n, Analysys-yrityksen ja GSMA:n tietoihin ja yritysten ilmoituksiin sekä Euroopan kiinteän verkon operaattoreiden järjestön (ETNO) asiakirja Connectivity & Beyond: How Telcos Can Accelerate a Digital Future for All, maaliskuu 2021.

¹⁴ EIP-hankkeiden luettelo.

¹⁵ Katsaus nro 03/2020: EU:n vastaus Kiinan valtiovetoiseen investointistrategiaan.

¹⁶ Erityiskertomus nro 12/2018: Laajakaista EU:n jäsenvaltioissa: edistymistä tapahtunut, mutta kaikkia Eurooppa 2020 ‑strategian laajakaistatavoitteita ei saavuteta.

¹⁷ Erityiskertomus nro 19/2020: Euroopan teollisuuden digitalisointi: kunnianhimoinen aloite, jonka onnistuminen riippuu EU:n, valtioiden ja yritysten sitoutumisen kestävyydestä.

¹⁸ Katsaus nro 02/2019: EU:n kyberturvallisuuspolitiikan vaikuttavuuteen liittyvät haasteet (aihekohtainen katsaus).

¹⁹ Euroopan komissio, 2030 digitaalinen kompassi: eurooppalainen lähestymistapa digitaalista vuosikymmentä varten, COM(2021) 118 final.

²⁰ Study on National Broadband Plans in the EU‑27.

²¹ 5G Observatory Quarterly Report 12, Up to June 2021.

²² Euroopan komissio, Ehdotus – Euroopan parlamentin ja neuvoston asetus verkkovierailuista yleisissä matkaviestinverkoissa unionin alueella (uudelleenlaadittu), COM(2021) 85 final, 24.2.2021

²³ Komissio, Study on National Broadband Plans in the EU‑27.

²⁴ Direktiivi (EU) 2018/1972 eurooppalaisesta sähköisen viestinnän säännöstöstä.

²⁵ Euroopan komission tiedonanto, 5G:n turvallinen käyttöönotto EU:ssa – EU:n välineistön täytäntöönpano, COM(2020) 50 final.

²⁶ Study on National Broadband Plans in the EU‑27.

²⁷ Komission lehdistötiedote IP/21/206, 4.2.2021.

²⁸ Komission lehdistötiedote IP/21/4612, 23.9.2021.

²⁹ Päätös (EU) 2017/899 470–790 MHz:n taajuusalueen käytöstä unionissa.

³⁰ Direktiivi (EU) 2018/1972 eurooppalaisesta sähköisen viestinnän säännöstöstä.

³¹ 5G Observatory ja radiotaajuuspolitiikkaa käsittelevä ryhmä.

³² Euroopan parlamentin päätöslauselma, 12. maaliskuuta 2019 (2019/2575 (RSP)).

³³ JOIN(2019) 5 final, 12.3.2019. Strateginen katsaus EU:n ja Kiinan suhteisiin.

³⁴ Eurooppa-neuvoston päätelmät 21. ja 22. päivänä maaliskuuta 2019.

³⁵ Komission suositus (EU) 2019/534, annettu 26 päivänä maaliskuuta 2019, 5G-verkkojen kyberturvallisuudesta.

³⁶ Lehdistötiedote 19. heinäkuuta 2019.

³⁷ Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures. Verkko- ja tietoturva-alan yhteistyöryhmä, 01/2020.

³⁸ Euroopan komission tiedonanto, 5G:n turvallinen käyttöönotto EU:ssa – EU:n välineistön täytäntöönpano, COM(2020) 50 final; Eurooppa-neuvoston päätelmät 1. ja 2. lokakuuta 2020 (EUCO 13/20).

³⁹ Euroopan unionin toiminnasta tehty sopimus.

⁴⁰ Direktiivi (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa.

⁴¹ Katsaus nro 02/2019: EU:n kyberturvallisuuspolitiikan vaikuttavuuteen liittyvät haasteet (aihekohtainen katsaus), kohta 36.

⁴² Joint Communication to the European Parliament, the Council, the European Economic and Social Committee, the Committee of the Regions and the European Investment Bank – The Global Gateway. JOIN(2021) 30 final, 1.12.2021.

⁴³ COM(2013) 48 final, 7.2.2013.

⁴⁴ Direktiivi (EU) 2016/1148.

⁴⁵ COM(2016) 590 final/2, 12.10.2016, ja direktiivi (EU) 2018/1972 eurooppalaisesta sähköisen viestinnän säännöstöstä.

⁴⁶ Euroopan komission tiedonanto, Euroopan digitaalista tulevaisuutta rakentamassa, COM(2020) 67 final.

⁴⁷ Strateginen katsaus EU:n ja Kiinan suhteisiin.

⁴⁸ Unionin tuomioistuimen tuomio C-362/14 ja https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fi.pdf

⁴⁹ Unionin tuomioistuimen tuomio C-311/18 ja https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fi.pdf

⁵⁰ https://www.europarl.europa.eu/doceo/document/E-9-2020-004305_EN.html ja https://www.europarl.europa.eu/RegData/etudes/ATAG/2019/637912/EPRS_ATA(2019)637912_EN.pdf

⁵¹ ENISA, Threat Landscape for 5G Networks, 14.12.2020.

⁵² ENISA, Guideline on Security Measures under the EECC, 10.12.2020.

⁵³ ENISA, 5G supplement to the Guidelines on Security Measures under the EECC, 7.7.2021.

⁵⁴ Lehdistötiedote, 3. helmikuuta 2021.

⁵⁵ Asetus (EU) 2021/523 InvestEU‑ohjelman perustamisesta.

⁵⁶ Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity, heinäkuu 2020.

⁵⁷ Report on the impacts of the Commission Recommendation of 26 March 2019 on the Cybersecurity of 5G networks, SWD(2020) 357 final, 16.12.2020.

⁵⁸ BEREC, Internal Report concerning the EU 5G Cybersecurity Toolbox Strategic Measures 5 and 6 (Diversification of suppliers and strengthening national resilience), BoR 20 (227), 10.12.2020.

⁵⁹ StrandConsult, Understanding the Market for 4G RAN in Europe: Share of Chinese and Non-Chinese Vendors in 102 Mobile Networks.

⁶⁰ Euroopan parlamentin jäsenten kirje EU:n jäsenvaltioiden televiestintä- ja kauppaministereille ja Euroopan komission jäsenille Thierry Breton, Margrethe Vestager ja Valdis Dombrovskis, 14.10.2020.

⁶¹ Euroopan tilintarkastustuomioistuimen katsaus nro 03/2020: EU:n vastaus Kiinan valtiovetoiseen investointistrategiaan.

⁶² Ehdotus sisämarkkinoita vääristävistä ulkomaisista tuista, COM(2021) 223 final, 5.5.2021.

⁶³ Oxford Economics, Restricting competition in 5G network equipment throughout Europe, kesäkuu 2020. (Huawein sponsoroima).

⁶⁴ StrandConsult, The real cost to ’rip and replace’ Chinese equipment from telecom networks.

⁶⁵ Laki sähköisen viestinnän palveluista annetun lain muuttamisesta 1207/2020, 30 päivänä joulukuuta 2020, 301 pykälä.

⁶⁶ https://www.euronews.com/2021/06/03/french-telecom-operator-orange-apologises-after-emergency-numbers-crash-nationwide

⁶⁷ https://www.reuters.com/business/media-telecom/orange-blames-network-outage-software-failure-audit-2021-06-11/

⁶⁸ https://www.wsj.com/articles/irish-healthcare-service-shuts-down-it-systems-after-ransomware-attack-11620998875

⁶⁹ https://www.reuters.com/technology/irish-health-service-hit-by-ransomware-attack-vaccine-rollout-unaffected-2021-05-14/

⁷⁰ https://www.cert.europa.eu/cert/moreclusteredition/en/blog_DataBreachTodayinRSS Syndication-in-299786a86ffeab5aec16d55392d94819.20210624.en.html

⁷¹ https://www.solarwinds.com/

⁷² https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AF03R

⁷³ https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12?international=true&r=US&IR=T

Yhteystiedot

EUROOPAN TILINTARKASTUSTUOMIOISTUIN
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Puh. +352 4398-1
Tiedustelut: eca.europa.eu/fi/Pages/ContactForm.aspx
Verkkosivut: eca.europa.eu
Twitter: @EUAuditors

Suuri määrä muuta tietoa Euroopan unionista on käytettävissä internetissä Europa-palvelimen kautta (https://europa.eu).

Luxemburg: Euroopan unionin julkaisutoimisto, 2022

PDF	ISBN 978-92-847-7400-5	ISSN 1977-5792	doi:10.2865/492397	QJ-AB-21-029-FI-N
HTML	ISBN 978-92-847-7397-8	ISSN 1977-5792	doi:10.2865/401570	QJ-AB-21-029-FI-Q

TEKIJÄNOIKEUDET

© Euroopan unioni, 2022.

Datan ja asiakirjojen uudelleenkäyttöä koskevat Euroopan tilintarkastustuomioistuimen periaatteet pannaan täytäntöön avoimen datan politiikkaa ja asiakirjojen uudelleen käyttämistä koskevalla Euroopan tilintarkastustuomioistuimen päätöksellä 6-2019.

Ellei toisin ilmoiteta (esimerkiksi yksittäisissä tekijänoikeusilmoituksissa), Euroopan tilintarkastustuomioistuimen sisältöihin, jotka EU omistaa, myönnetään käyttöoikeudet Creative Commons Attribution 4.0 International (CC BY 4.0) licence ‑käyttöoikeuden nojalla. Tämä merkitsee, että uudelleenkäyttö on sallittua, jos sisällön tuottaja mainitaan asianmukaisesti ja sisältöön tehdyistä muutoksista ilmoitetaan. Uudelleenkäyttäjä ei saa vääristää asiakirjojen alkuperäistä merkitystä tai sanomaa. Euroopan tilintarkastustuomioistuin ei vastaa mistään seurauksista, jotka johtuvat uudelleenkäytöstä.

Uudelleenkäyttäjän on hankittava tarvittavat lisäoikeudet, jos tietyssä sisällössä (esimerkiksi Euroopan tilintarkastustuomioistuimen henkilöstöstä otetuissa valokuvissa) esitetään tunnistettavissa olevia henkilöitä tai jos sisällössä on mukana kolmansien tahojen töitä. Jos tällainen lisäoikeus saadaan, yllä mainittu yleinen käyttöoikeus peruuntuu ja lisäoikeus korvaa sen. Lisäoikeutta koskevassa luvassa on selvästi ilmoitettava käyttöoikeuden rajoitukset.

Jos sisällöt eivät ole EU:n omaisuutta, voi olla, että lupa niiden käyttöön tai jäljentämiseen on pyydettävä suoraan asianomaisilta tekijänoikeuksien haltijoilta:

• Kuvat liitteessä VI: © nPerf. nPerf SAS company.

Tietokoneohjelmistot tai asiakirjat, joihin kohdistuu teollisoikeuksia, kuten patentteja, tavaramerkkejä, rekisteröityjä malleja, logoja ja nimiä, eivät kuulu Euroopan tilintarkastustuomioistuimen uudelleenkäyttöperiaatteiden piiriin, eikä niiden käyttöön anneta lupaa.

EU:n toimielinten verkkosivuilla (joiden verkkotunnuksen loppuosa on europa.eu) on linkkejä ulkopuolisille verkkosivuille. Koska Euroopan tilintarkastustuomioistuin ei vastaa näistä sivustoista, on suositeltavaa, että tutustutte niiden tietosuoja- ja tekijänoikeusperiaatteisiin.

Euroopan tilintarkastustuomioistuimen logon käyttäminen

Euroopan tilintarkastustuomioistuimen logoa ei saa käyttää ilman tilintarkastustuomioistuimen ennakkosuostumusta.

Yhteydenotot EU:hun

Käynti tiedotuspisteessä
Euroopan unionin alueella toimii yhteensä satoja Europe Direct -tiedotuspisteitä. Lähimmän tiedotuspisteen osoite löytyy verkosta: https://europa.eu/european-union/contact_fi

Yhteydenotot puhelimitse tai sähköpostitse
Europe Direct -palvelu vastaa Euroopan unionia koskeviin kysymyksiin. Palveluun voi ottaa yhteyttä

• soittamalla maksuttomaan palvelunumeroon 00 800 6 7 8 9 10 11 (jotkin operaattorit voivat periä puhelumaksun),
• soittamalla puhelinnumeroon +32 22999696 tai
• sähköpostitse: https://europa.eu/european-union/contact_fi

Tietoa EU:sta

Verkkosivut
Tietoa Euroopan unionista on saatavilla kaikilla EU:n virallisilla kielillä Europa-sivustolla, https://europa.eu/european-union/index_fi

EU:n julkaisut
EU:n ilmaisia ja maksullisia julkaisuja voi ladata tai tilata osoitteesta https://op.europa.eu/fi/publications. Ilmaisia julkaisuja on mahdollista saada usean kappaleen erinä ottamalla yhteyttä Europe Direct -palveluun tai paikalliseen tiedotuspisteeseen (ks. https://europa.eu/european-union/contact_fi).

EU:n lainsäädäntö ja siihen liittyvät asiakirjat
EU:n koko lainsäädäntö vuodesta 1951 ja muuta tietoa EU:n oikeudesta on saatavilla kaikilla virallisilla kielillä EUR-Lex-tietokannassa osoitteessa https://eur-lex.europa.eu

EU:n avoin data
EU:n avoimen datan portaalin (https://data.europa.eu/fi) kautta on saatavilla EU:n data-aineistoja. Data on ilmaiseksi ladattavissa ja uudelleenkäytettävissä sekä kaupallista että ei-kaupallista käyttöä varten.