Lançamento da tecnologia 5G na UE: atrasos na implantação das redes e questões de segurança ainda por resolver

Síntese

I A «quinta geração» de sistemas de telecomunicações, ou 5G, é uma nova norma mundial de redes sem fios que oferece uma capacidade e velocidade de transmissão de dados muito superiores. Os serviços 5G são essenciais para uma vasta gama de aplicações inovadoras que têm o potencial de transformar muitos setores das nossas economias e melhorar a vida quotidiana dos cidadãos. A tecnologia 5G reveste‑se, portanto, de importância estratégica para todo o mercado único.

II No seu Plano de Ação para a tecnologia 5G, de 2016, a Comissão propôs o objetivo de assegurar uma cobertura 5G ininterrupta nas zonas urbanas e ao longo das principais vias de transporte até 2025. Em março de 2021, alargou o objetivo para incluir a cobertura 5G em todas as zonas povoadas até 2030.

III Embora a tecnologia 5G tenha o potencial de criar muitas oportunidades de crescimento, acarreta certos riscos. Na sua recomendação de 2019 sobre a cibersegurança das redes 5G, a Comissão avisou que a dependência de muitos serviços de importância crítica em relação às redes 5G faria com que as consequências de perturbações generalizadas fossem particularmente graves. Além disso, devido à natureza transfronteiriça das ameaças em causa, eventuais vulnerabilidades significativas ou incidentes de cibersegurança verificados num Estado‑Membro afetariam a União no seu conjunto. Um dos resultados da recomendação da Comissão foi o conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, que foi aprovado em janeiro de 2020.

IV O custo total da implantação das redes 5G no conjunto da UE poderá atingir 400 mil milhões de euros. No período de 2014‑2020, a UE disponibilizou mais de 4 mil milhões de euros para o financiamento de projetos no âmbito da tecnologia 5G.

V O Tribunal analisou a eficácia do apoio da Comissão aos Estados‑Membros na realização das metas da UE relativas à implantação das suas redes 5G, bem como na resposta às questões de segurança das redes 5G de forma concertada. Examinou aspetos relacionados quer com a implantação destas redes, para as quais 2020 foi um ano‑chave, quer com a sua segurança. O presente relatório visa apresentar informações e formular recomendações tendo em vista a implantação atempada de redes 5G seguras em todos os países da UE. A auditoria incidiu sobre a Comissão, mas o Tribunal também examinou o papel das administrações nacionais e de outros intervenientes.

VI A auditoria mostrou que existem atrasos na implantação das redes 5G pelos Estados‑Membros. Até ao final de 2020, 23 Estados‑Membros tinham lançado serviços comerciais 5G e atingido o objetivo intermédio de ter pelo menos uma grande cidade com acesso a serviços 5G. Não obstante, nem todos os Estados‑Membros remetem para os objetivos da UE relativos a 2025 e 2030 nas suas estratégias nacionais para a tecnologia 5G ou nos seus planos de banda larga. Além disso, em vários países, o Código Europeu das Comunicações Eletrónicas não foi ainda transposto para o direito nacional e a atribuição do espetro de 5G foi adiada. Estes atrasos na atribuição do espetro podem dever‑se a diferentes motivos: escassa procura por parte dos operadores de redes móveis, questões de coordenação transfronteiras com países terceiros na fronteira oriental da UE, impacto da COVID-19 no calendário dos leilões e incerteza quanto à forma de dar resposta às questões de segurança. A dimensão do atraso dos Estados‑Membros na implantação das redes 5G põe em risco a realização dos objetivos da UE. A Comissão apoiou os Estados‑Membros na execução do Plano de Ação para a tecnologia 5G, de 2016, através de iniciativas vinculativas e não vinculativas, de orientações e do financiamento da investigação neste domínio. Todavia, a Comissão não definiu claramente a qualidade esperada dos serviços 5G.

VII O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G especifica várias medidas estratégicas, técnicas e de apoio para fazer face às ameaças à segurança das redes 5G e identifica os intervenientes pertinentes para cada uma das medidas. Várias destas dão resposta à questão dos fornecedores de risco elevado de equipamento 5G. Este conjunto de instrumentos foi subscrito pela Comissão e pelo Conselho Europeu. Os seus critérios proporcionam um quadro operacional útil para avaliar o perfil de risco dos fornecedores de forma coordenada em todos os Estados‑Membros, mas a realização desta avaliação continua a ser uma competência nacional. Estes instrumentos foram adotados numa fase inicial da implantação da tecnologia 5G, mas alguns operadores de redes móveis já tinham selecionado os seus fornecedores. Desde a adoção do conjunto de instrumentos, foram realizados progressos no reforço da segurança das redes 5G, estando a maioria dos Estados‑Membros a aplicar ou prestes a aplicar restrições aos fornecedores de risco elevado. Nos próximos anos, a legislação em matéria de segurança das redes 5G a aprovar pelos Estados‑Membros com base no conjunto de instrumentos poderá conduzir a estratégias mais convergentes no que respeita aos fornecedores de tecnologia 5G de risco elevado. Porém, dado que nenhuma das medidas apresentadas é juridicamente vinculativa, a Comissão não tem competência para obrigar ao seu cumprimento. Por conseguinte, continua a existir o risco de que, por si só, estes instrumentos não possam garantir que os Estados‑Membros tratam os aspetos de segurança das redes de forma concertada.

VIII A Comissão começou a dar resposta à questão das subvenções estrangeiras concedidas a fornecedores de equipamento 5G, as quais podem ter implicações em termos de segurança. A Comissão não dispõe de informações suficientes sobre o tratamento, por parte dos Estados‑Membros, dos potenciais custos de substituição que podem surgir se os operadores de redes móveis tiverem de retirar os equipamentos dos fornecedores de risco elevado das redes da UE sem um período transitório.

IX O Tribunal recomenda que a Comissão deve:

• promover a implantação uniforme e atempada das redes 5G na UE;
• propiciar uma estratégia concertada entre os Estados‑Membros em relação à segurança das redes 5G;
• acompanhar as estratégias dos Estados‑Membros em relação à segurança das redes 5G e avaliar o impacto das divergências no funcionamento eficaz do mercado único.

Introdução

Natureza e importância da tecnologia 5G

01 A «quinta geração» de sistemas de telecomunicações, ou 5G, é uma nova norma mundial de redes sem fios. Em comparação com as redes 3G e 4G, oferece capacidade e velocidades de transmissão de dados muito superiores. A tecnologia 5G inclui alguns elementos de rede baseados em gerações de tecnologias de comunicações móveis e sem fios anteriores, mas não é apenas um desenvolvimento destas redes. Proporciona uma conectividade universal de banda larga ultrarrápida e de baixa latência a cada utilizador e a dispositivos conectados.

02 A tecnologia 5G ligará mais dispositivos do que nunca à «Internet das coisas». No final de 2018, estimava‑se em 22 mil milhões o número de dispositivos conectados em utilização em todo o mundo. Prevê‑se que este número aumente para cerca de 50 mil milhões até 2030¹, criando uma enorme teia de dispositivos interligados abrangendo tudo, desde telemóveis inteligentes a eletrodomésticos de cozinha. O consumo mundial de dados deverá passar de 12 exabytes de tráfego de dados móveis por mês em 2017² para mais de 5 000 exabytes até 2030³.

03 Os serviços 5G são essenciais para uma vasta gama de aplicações inovadoras que têm o potencial de transformar muitos setores da economia da UE e melhorar a vida quotidiana dos cidadãos (ver figura 1). Um estudo de 2017 realizado por iniciativa da Comissão indicou que os benefícios da introdução da tecnologia 5G em quatro setores industriais estratégicos fundamentais (automóvel, saúde, transportes e energia) podem atingir 113 mil milhões de euros por ano⁴. Previu igualmente que a implantação das redes 5G poderá criar 2,3 milhões de empregos nos Estados‑Membros. Um estudo de 2021 estimou que, entre 2021 e 2025, a tecnologia 5G acrescentará um máximo de 1 bilião de euros ao Produto Interno Bruto (PIB) europeu, com potencial para criar ou transformar até 20 milhões de empregos em todos os setores da economia⁵.

Questões de segurança

04 Embora a tecnologia 5G tenha o potencial de criar muitas oportunidades de crescimento, acarreta certos riscos (ver o anexo I, que esboça as principais oportunidades e riscos da tecnologia 5G). Um deles é constituído pelas ameaças à segurança. Os sistemas de telecomunicações sempre estiveram em risco de sofrer ciberataques (ver anexo I)⁶. A tecnologia 5G suscita especial preocupação no que respeita a segurança porque oferece uma superfície de ataque maior do que os sistemas de telecomunicações 3G ou 4G, devido à natureza da sua tecnologia e, em particular, à sua dependência do software⁷.

05 Com a expectativa de que as redes 5G se tornarão a espinha dorsal de uma vasta gama de serviços e aplicações, a disponibilidade dessas redes tornar‑se-á um grande desafio de segurança nacional e da UE. Um ataque por parte de piratas informáticos a uma rede 5G poderia afetar as suas funções essenciais, perturbando serviços ou pondo em causa o controlo de infraestruturas de importância crítica (por exemplo, redes elétricas), que na UE têm frequentemente uma dimensão transfronteiriça. Segundo alguns estudos, o impacto económico da cibercriminalidade pode chegar a 5 biliões de euros por ano no mundo, ou seja, mais de 6 % do PIB mundial em 2020⁸.

06 Outro desafio em matéria de segurança das redes 5G é o papel fundamental de um pequeno número de fornecedores na sua construção e operação. A dependência de um único fornecedor aumenta a exposição a uma eventual perturbação da prestação do serviço, especialmente se este fornecedor apresentar um elevado grau de risco, como, por exemplo, estar sujeito a interferências de um país não pertencente à UE. Em 2019, o Grupo de Cooperação para a segurança das redes e dos sistemas de informação (SRI), constituído por representantes dos Estados‑Membros e de organismos da UE, alertou para o risco de intervenientes estatais hostis obterem um ponto de entrada fácil numa rede 5G, quer através de acesso privilegiado, quer exercendo pressão sobre um fornecedor ou invocando requisitos jurídicos nacionais⁹ (ver caixa 1). Foi neste contexto que a UE começou a desenvolver iniciativas no domínio da segurança das redes 5G.

07 A confidencialidade e a privacidade podem também estar ameaçadas, uma vez que os operadores de telecomunicações externalizam com frequência os seus dados para centros de dados. Existe o risco de que estes dados sejam armazenados em equipamentos de fornecedores de tecnologia 5G localizados em países fora da UE com diferentes níveis de proteção jurídica e dos dados que na União.

Iniciativas 5G a nível da UE

08 O quadro estratégico relativo às redes 5G e à sua segurança é composto por direito vinculativo, que tem força executiva (por exemplo, regulamentos), e direito não vinculativo (por exemplo, comunicações da Comissão). O anexo III apresenta o quadro jurídico e estratégico. A figura 2 identifica os principais documentos estratégicos, juntamente com as metas mais importantes.

Funções e responsabilidades

09 Embora os operadores de redes móveis sejam responsáveis pela segurança da implantação das redes 5G, utilizando equipamentos provenientes de fornecedores de tecnologia, e os Estados‑Membros sejam responsáveis pela segurança nacional, a segurança destas redes é uma questão de importância estratégica para todo o mercado único e para a soberania tecnológica da UE¹². Consequentemente, a Comissão e as agências da União apoiam e coordenam as ações dos Estados‑Membros no que diz respeito aos aspetos técnicos e de segurança das redes 5G.

10 No quadro 1, explicam‑se melhor as principais funções e responsabilidades relativamente às redes 5G.

Custo da implantação das redes 5G e apoio financeiro da UE conexo

A implantação das redes 5G em todos os Estados‑Membros poderá ter um custo total de 400 mil milhões de euros

11 Em 2021, estimou‑se que o custo total da implantação de redes 5G em todos os Estados‑Membros da UE até 2025 poderá variar entre 281 mil milhões de euros e 391 mil milhões de euros, divididos igualmente entre a construção de novas infraestruturas 5G e a modernização de infraestruturas fixas para velocidades da ordem dos gigabits¹³. O grosso destes investimentos deve ser financiado pelos operadores de redes móveis.

Entre 2014 e 2020, a UE apoiou o desenvolvimento de redes 5G com mais de 4 mil milhões de euros

12 Entre 2014 e 2020, a UE apoiou o desenvolvimento de redes 5G com mais de 4 mil milhões de euros, tanto diretamente através do orçamento da União como através do financiamento do Banco Europeu de Investimento (BEI). O orçamento da UE financiou projetos relacionados exclusivamente com investigação, enquanto o BEI apoiou tanto a investigação como a implantação.

13 O BEI tem sido a principal fonte de financiamento da UE no que respeita a projetos relacionados com a tecnologia 5G. À data de agosto de 2021, tinha concedido um total de 2,5 mil milhões de euros em empréstimos a nove projetos neste domínio em cinco Estados‑Membros¹⁴. Além disso, no mesmo período de 2014‑2020, foram disponibilizados cerca de 1,9 mil milhões de euros através do orçamento da UE. O quadro 2 resume as principais fontes de apoio financeiro da União para projetos no domínio da tecnologia 5G.

14 O Fundo Europeu para Investimentos Estratégicos (FEIE, gerido pelo BEI) apoiou dois projetos destinados a alcançar uma implantação mais densa de células e a apoiar a normalização. O custo total do investimento destes projetos foi de 3,9 mil milhões de euros, incluindo um financiamento de mil milhões de euros do FEIE (ver anexo IV).

15 Desde 2014, a Comissão também cofinanciou diretamente mais de 100 projetos no domínio da tecnologia 5G através do financiamento do Horizonte 2020 e, em menor medida, do FEDER. O anexo V apresenta exemplos de tais projetos.

O Mecanismo de Recuperação e Resiliência proporcionará financiamento adicional da UE para a implantação das redes 5G nos próximos anos

16 O Mecanismo de Recuperação e Resiliência (MRR) proporcionará uma fonte adicional de financiamento para a implantação das redes 5G nos próximos anos. À data de setembro de 2021, 16 Estados‑Membros estavam a prever financiar a implantação das redes 5G através do MRR e 10 tinham decidido não o fazer. Essa informação ainda não se encontrava disponível relativamente ao Estado‑Membro remanescente.

Âmbito e método da auditoria

17 Através da presente auditoria, o Tribunal avaliou a eficácia do apoio da Comissão aos Estados‑Membros:

• na realização das metas da UE para 2025 e 2030 relativas à implantação e ao lançamento das suas redes 5G;
• na resposta às questões de segurança das redes 5G de uma forma concertada.

Relativamente a ambas as áreas, o Tribunal examinou igualmente as medidas e atividades dos Estados‑Membros.

18 O conceito de «segurança das redes 5G» refere‑se à cibersegurança e à segurança do hardware/software. O Tribunal analisou tanto a segurança como a implantação das redes 5G, para as quais 2020 foi um ano‑chave (ver figura 2). Com o presente relatório, o Tribunal pretende apresentar informações e formular recomendações tendo em vista a implantação atempada de redes 5G seguras na UE.

19 A auditoria abrange o período compreendido entre 2016 e maio de 2021, Na medida do possível, foram incluídas informações mais atualizadas. No âmbito do trabalho de auditoria, o Tribunal:

• analisou a legislação da UE, as iniciativas da Comissão e outra documentação pertinente;
• entrevistou representantes da Comissão, do BEI, do Organismo de Reguladores Europeus das Comunicações Eletrónicas (ORECE), da Agência da União Europeia para a Cibersegurança (ENISA), de associações de telecomunicações, de operadores de redes móveis, de fornecedores de tecnologia 5G e de organizações internacionais, bem como peritos na matéria e autoridades da Alemanha, de Espanha, da Polónia e da Finlândia. A seleção dos Estados‑Membros baseou‑se em critérios como o montante de fundos da UE consagrados a projetos no domínio da tecnologia 5G, o estado de implantação e o equilíbrio geográfico;
• realizou um inquérito às 27 autoridades reguladoras nacionais de telecomunicações da UE a fim de obter uma perspetiva mais alargada sobre os desafios da tecnologia 5G nos Estados‑Membros;
• analisou dez projetos cofinanciados pela UE (FEIE, FEDER e Horizonte 2020) relacionados com a tecnologia 5G, selecionados para fins ilustrativos.

20 O Tribunal também se baseou no seu recente documento de análise sobre a resposta da UE à estratégia de investimento estatal da China¹⁵ e noutros relatórios, por exemplo sobre a banda larga¹⁶, a iniciativa Digitalização da Indústria Europeia¹⁷ e a política de cibersegurança da UE¹⁸.

Observações

Os atrasos na implantação das redes 5G estão a pôr em risco a realização dos objetivos da UE para 2025 e 2030

21 No que diz respeito à implantação atempada das redes 5G, o Tribunal averiguou se:

• os Estados‑Membros registam progressos suficientes na implantação das redes 5G;
• a Comissão prestou apoio adequado aos Estados‑Membros;
• os Estados‑Membros eliminaram os principais obstáculos à implantação rápida das redes 5G.

Os Estados‑Membros estão atrasados na implantação das redes 5G

No seu Plano de Ação para a tecnologia 5G, de 2016, a Comissão estabeleceu prazos para a implantação das redes 5G

22 No seu Plano de Ação para a tecnologia 5G, de 2016, a Comissão propôs prazos relativamente à implantação das redes 5G na UE. Os Estados‑Membros deveriam ter introduzido as primeiras redes 5G até ao final de 2018, lançado serviços comerciais 5G em larga escala em pelo menos uma grande cidade até ao final de 2020 e assegurar uma cobertura 5G ininterrupta nas zonas urbanas e ao longo das principais vias de transporte até 2025.

23 Em março de 2021, a Comissão estabeleceu outro prazo, visando a cobertura 5G em todas as zonas povoadas até 2030¹⁹.

23 Estados‑Membros lançaram serviços comerciais 5G antes do final de 2020

24 Até ao final de 2020, 23 Estados‑Membros alcançaram a meta de ter pelo menos uma grande cidade com acesso a serviços 5G. Apenas o Chipre, a Lituânia, Malta e Portugal não a atingiram. No final de outubro de 2021, apenas a Lituânia e Portugal continuavam a não dispor de serviços 5G em nenhuma das suas cidades.

Existe o risco de a maioria dos Estados‑Membros falhar os prazos de 2025 e 2030

25 De acordo com um estudo recente da Comissão, apenas 11 Estados‑Membros irão provavelmente atingir uma cobertura 5G ininterrupta em todas as suas zonas urbanas e principais vias de transporte terrestre até 2025²⁰. Em relação aos restantes 16 Estados‑Membros, a Comissão considera que a probabilidade de atingir esta meta é média (República Checa, Alemanha, Estónia, Irlanda, Lituânia, Áustria, Polónia e Eslovénia) ou baixa (Bélgica, Bulgária, Grécia, Croácia e Chipre).

26 Em 2021, a organização setorial Global System for Mobile Communications Association (GSMA) observou que a implantação das redes 5G está a avançar a ritmos diferentes na UE em comparação com outras partes do mundo. Por exemplo, estima‑se que, até 2025, 51 % de todas as ligações móveis na América do Norte se basearão em redes 5G, ao passo que na Europa (que também inclui países não pertencentes à UE) esta percentagem deverá ser de apenas de 35 % (ver figura 3).

27 Se se mantiver o atual ritmo de implantação, existe um elevado risco de o prazo de 2025 (e, por conseguinte, o de 2030 para a cobertura de todas as zonas povoadas) não ser cumprido pela maioria dos Estados‑Membros. Neste contexto, o Tribunal analisou a eficácia do apoio da Comissão aos Estados‑Membros na realização das metas da UE para 2025 e 2030 relativas à implantação e ao lançamento das suas redes 5G.

O apoio da Comissão aos Estados‑Membros foi condicionado por algumas lacunas

A Comissão não definiu a qualidade de serviço esperada das redes 5G

28 Até à data, a Comissão não definiu a qualidade de serviço esperada das redes 5G, por exemplo em termos de velocidade mínima e de latência máxima. Além disso, o Plano de Ação de 2016 instava os Estados‑Membros ao «lançamento em larga escala de serviços comerciais 5G» até ao final de 2020, sem no entanto definir estes conceitos relacionados com a qualidade.

29 A falta de clareza sobre a qualidade de serviço esperada pode dar azo a que estes termos sejam interpretados de forma diferente pelos Estados‑Membros. O Tribunal observou exemplos de estratégias divergentes entre os Estados‑Membros na implantação das redes 5G (ver caixa 2).

30 Se esta situação se mantiver, poderá levar a desigualdades no acesso e na qualidade dos serviços 5G na UE («fosso digital»): as pessoas em certas partes da União teriam melhor acesso e qualidade de serviço 5G do que noutras. Este fosso digital poderia igualmente afetar o potencial de desenvolvimento económico, uma vez que a tecnologia 5G só pode revolucionar setores como o da saúde e o da educação, bem como o mercado de trabalho, se for acompanhada por um desempenho satisfatório.

31 É também necessária clareza sobre o desempenho esperado das redes 5G, tendo em conta a iniciativa da Comissão de impor maior transparência relativamente à qualidade do serviço prestado pelos operadores de redes móveis em matéria de itinerância (roaming), sobre a qual a Comissão apresentou recentemente uma proposta legislativa²².

Relatórios trimestrais da Comissão sobre a implantação das redes 5G nem sempre fiáveis

32 A Comissão acompanha o nível de implantação das redes 5G nos Estados‑Membros através do 5G Observatory. Este observatório fornece trimestralmente informações sobre a implantação das redes 5G e sobre as estratégias dos Estados‑Membros neste domínio. Não obstante, o Tribunal constatou que, em relação a dois dos quatro países analisados, a informação contida nestes relatórios nem sempre era fiável. Por exemplo, o relatório trimestral n.º 10, que incluía dados relativos ao período até ao final de dezembro de 2020, apresentava um número de municípios com 5G na Finlândia muito inferior ao real (40 em vez de 70) e não continha informações sobre o facto de os leilões do espetro de 5G terem sido adiados na Polónia (ver ponto 42).

A Comissão só recentemente recorreu ao processo do Semestre Europeu para acompanhar os progressos dos Estados‑Membros na implantação das redes 5G

33 O Tribunal concluiu que, nos últimos dois anos, a Comissão recorreu mais ao processo do Semestre Europeu para incentivar os progressos dos Estados‑Membros na implantação das redes 5G. Foram dirigidas recomendações específicas por país diretamente relevantes para a tecnologia 5G a dois Estados‑Membros em 2019, um número que aumentou para sete Estados‑Membros em 2020 (ver figura 4).

Os Estados‑Membros ainda têm de eliminar os principais obstáculos à implantação rápida das redes 5G

34 Para atingirem as metas da UE para 2025 e 2030 relativas à implantação das redes 5G, os Estados‑Membros devem reunir três elementos fundamentais: um estratégico, assegurando que as suas estratégias nacionais para a tecnologia 5G ou os seus planos nacionais de banda larga reflitam estas metas²³; um legislativo, transpondo o Código Europeu das Comunicações Eletrónicas (CECE)²⁴ de 2018; e um orientado para as empresas, mediante a atribuição do espetro²⁵. O quadro 3 apresenta uma visão geral dos progressos dos Estados‑Membros em relação a estes três elementos.

Poucos Estados‑Membros incluíram as metas de implantação para 2025 e 2030 nas suas estratégias nacionais para a tecnologia 5G

35 Os Estados‑Membros estabelecem a sua política no domínio da tecnologia 5G através de estratégias nacionais específicas ou atualizando os seus planos nacionais de banda larga já existentes. A Comissão observou, no seu estudo de 2021 sobre os planos nacionais de banda larga²⁶, que apenas 14 Estados‑Membros incluíram o objetivo da UE de ter uma cobertura 5G ininterrupta em todas as suas zonas urbanas e principais vias de transporte terrestre até 2025 na estratégia nacional para a tecnologia 5G ou na atualização do plano nacional de banda larga (ver quadro 3). Esta inclusão é fundamental para apoiar a aplicação bem‑sucedida da política.

A maioria dos Estados‑Membros não transpôs a Diretiva CECE até ao final de 2020

36 O CECE, que tem a forma de uma diretiva que estabelece as funções das autoridades reguladoras nacionais e outras autoridades competentes e determina os prazos para a atribuição das faixas pioneiras na tecnologia 5G, deveria ter sido transposto pelos Estados‑Membros até 21 de dezembro de 2020. Até ao final de fevereiro de 2021, apenas três Estados‑Membros (Grécia, Hungria e Finlândia) tinham declarado ter adotado todas as medidas necessárias para esta transposição. Consequentemente, a Comissão abriu procedimentos de infração contra os restantes 24 Estados‑Membros²⁷.

37 No final de novembro de 2021, estavam ainda em curso 23 procedimentos de infração. Embora, em relação a seis Estados‑Membros, a Comissão preveja encerrar o procedimento em breve (Bulgária, República Checa, Alemanha, França, Malta e Áustria), no caso dos outros 17 poderá ter de seguir para o Tribunal de Justiça²⁸ (ver quadro 3).

A atribuição de faixas pioneiras na tecnologia 5G regista atrasos

38 Em 2016, a Comissão e os Estados‑Membros identificaram três faixas pioneiras a serem utilizadas para serviços 5G:

• a faixa de baixas frequências, de 700 MHz, que facilita a penetração de sinais sem fios nos edifícios e permite aos operadores oferecer uma cobertura mais ampla (centenas de quilómetros quadrados). Todavia, a velocidade e a latência da rede 5G estão apenas um grau acima em relação à rede 4G (entre 150 e 250 megabits por segundo);
• a faixa de frequências médias, de 3,6 GHz, que pode transmitir quantidades significativas de dados (até 900 megabits por segundo) a distâncias também significativas (vários quilómetros de raio);
• a faixa de altas frequências, de 26 GHz, que oferece velocidades rápidas de entre 1 a 3 gigabits por segundo a distâncias curtas (menos de 2 km), mas é mais sensível a interferências.

39 Os Estados‑Membros deveriam ter disponibilizado a faixa de baixas frequências até 30 de junho de 2020²⁹ e as faixas de frequências médias e altas até 31 de dezembro de 2020³⁰. No entanto, até ao final de 2020, os Estados‑Membros tinham atribuído menos de 40 % do total das faixas pioneiras disponíveis (ver quadro 4):

• a faixa de 700 MHz foi atribuída em 13 Estados‑Membros;
• a faixa de 3,6 GHz foi atribuída em 17 Estados‑Membros (incluindo dois que autorizaram uma utilização provisória);
• a faixa de 26 GHz foi atribuída em 4 Estados‑Membros.

No final de outubro de 2021, a taxa de atribuição tinha aumentado para 53 %³¹.

Os atrasos na atribuição das faixas pioneiras podem ser atribuídos a diferentes razões

40 O Tribunal concluiu que os atrasos na atribuição da faixa de 26 GHz se devem principalmente a uma escassa procura por parte dos operadores de redes móveis. Em Espanha, por exemplo, estão disponíveis para utilização pela tecnologia 5G um total de 1,5 GHz da faixa de 26 GHz. Porém, estes ainda não foram atribuídos aos operadores devido à falta de procura, segundo uma consulta pública concluída em julho de 2019. Está prevista uma nova consulta pública até ao final de 2021, com vista a leiloar a faixa no segundo trimestre de 2022. Também os operadores de redes móveis na Finlândia observaram que ainda não há muito interesse ou argumentos económicos a favor da faixa de 26 GHz.

41 As questões de coordenação transfronteiras com países terceiros na fronteira oriental da UE (Bielorrússia, Rússia e Ucrânia) também contribuíram para os atrasos na atribuição do espetro de 5G. Ao abrigo dos acordos internacionais em vigor, estes países estão a utilizar a faixa de 700 MHz para a radiodifusão televisiva e a faixa de 3,6 GHz para serviços de satélites militares. Esta questão diz principalmente respeito aos países bálticos (Estónia, Letónia, e Lituânia) e à Polónia. De acordo com a Comissão, registaram‑se alguns progressos em relação à Ucrânia e à Bielorrússia, que deverão libertar a faixa de 700 MHz até ao final de 2022. As conversações bilaterais com a Rússia ainda não registaram avanços. Face a esta situação, a Estónia e a Polónia solicitaram uma derrogação dos prazos para a atribuição da faixa de 700 MHz até meados de 2022.

42 Além disso, na Polónia e em Espanha, os leilões do espetro de 5G foram adiados durante a pandemia de COVID-19 (ver caixa 3).

43 Outra razão para o atraso na atribuição das faixas pioneiras na tecnologia 5G prende‑se com as diferentes estratégias dos Estados‑Membros relativamente à segurança das redes 5G e com os atrasos na aprovação da legislação nesta matéria, o que gera insegurança no clima empresarial (ver pontos 74 e 75).

• Em Espanha, as regras do leilão das faixas pioneiras incluíram uma cláusula geral que vinculava os concessionários públicos ao cumprimento de todas as obrigações em termos de segurança das redes 5G estabelecidas em qualquer momento no futuro pela regulamentação da UE ou espanhola. O operador de rede móvel espanhol entrevistado pelo Tribunal considerou que esta cláusula o obrigava a tomar decisões sobre estratégias e aquisições em condições de incerteza. Salientou também que as autoridades nacionais não se mostraram dispostas a esclarecer determinadas condições essenciais, como a possibilidade de compensação no caso de a futura legislação, prevista para o final de 2022, o obrigar a substituir o seu equipamento.
• Na Polónia, um dos motivos invocados para o adiamento da atribuição do espetro de 5G foi a necessidade de esperar pela aprovação de uma lei que clarificasse os requisitos de segurança das redes 5G.

São necessários mais esforços para resolver as questões de segurança na implantação das redes 5G

44 No que diz respeito aos aspetos de segurança das redes 5G, o Tribunal averiguou se:

• a Comissão tomou as medidas necessárias para promover uma boa conceção do quadro de segurança e prestou o apoio adequado aos Estados‑Membros;
• os Estados‑Membros estão a implantar redes 5G seguras de forma concertada, adotando as medidas de atenuação incluídas no conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G e atualizando a sua legislação.

A Comissão reagiu rapidamente quando a segurança das redes 5G se tornou uma grande preocupação a nível da UE

45 O Plano de Ação para a tecnologia 5G, de 2016, não contém quaisquer considerações em matéria de segurança. A segurança das redes 5G e a dependência excessiva de fornecedores de países terceiros, em particular da China, foi apontada como uma questão fundamental em março de 2019. O Parlamento Europeu, na sua resolução de 12 de março de 2019³², manifestou a sua preocupação com os fornecedores de equipamentos 5G de países terceiros, na medida em que podem representar um risco de segurança para a UE devido à legislação do seu país de origem. No mesmo dia, a Comissão, na sua perspetiva estratégica sobre a relação UE‑China, salientou que é necessária uma abordagem comum da UE no tocante à segurança das redes 5G como salvaguarda contra potenciais implicações sérias de segurança em matéria de infraestruturas digitais críticas³³. Nas suas conclusões de 21 e 22 de março de 2019, o Conselho Europeu solicitou à Comissão que emitisse uma recomendação sobre uma abordagem concertada em matéria de segurança das redes 5G³⁴.

46 Alguns dias mais tarde, a Comissão emitiu uma recomendação nesse sentido, com um conjunto de medidas tanto a nível nacional (por exemplo, avaliação dos riscos relativos às redes 5G) como da UE (por exemplo, avaliação coordenada dos riscos), com o objetivo de garantir um elevado nível de cibersegurança das redes 5G em toda a União³⁵.

47 Quase todos os Estados‑Membros concluíram as suas avaliações nacionais dos riscos até à data‑limite de julho de 2019³⁶. Em outubro de 2019, o Grupo de Cooperação SRI publicou um relatório sobre a avaliação coordenada dos riscos ao nível da UE no que respeita à cibersegurança das redes 5G e, em janeiro de 2020, o «conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G»³⁷ (ver anexo VII). Este conjunto de instrumentos foi prontamente subscrito pela Comissão e pelo Conselho Europeu³⁸.

O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, de 2020, estabeleceu pela primeira vez medidas para fazer face às ameaças à segurança a nível da UE, sem que fossem normativas

Tratar a segurança das redes 5G como uma competência de segurança nacional limita o âmbito da ação da Comissão

48 Os tratados da UE³⁹ determinam o âmbito de ação para enfrentar desafios como os relacionados com a implantação de redes 5G seguras a nível da UE. Este âmbito é amplo e deixa uma margem de interpretação à Comissão e aos Estados‑Membros (ver caixa 4).

49 A segurança das redes 5G é transversal às competências nacionais e da UE e diz respeito à segurança nacional. A Comissão interpretou-a no sentido de se tratar de ameaças à segurança nacional e, por conseguinte, optou por medidas não vinculativas. Este entendimento implica que a UE não pode adotar medidas juridicamente vinculativas que obriguem os Estados‑Membros a aplicar medidas uniformes de atenuação dos riscos nem requisitos com força executória. Em vez disso, a Comissão pode emitir recomendações não vinculativas e comunicações, ajudar a divulgar as boas práticas e coordenar as ações nacionais dos Estados‑Membros. Não obstante, é possível uma estratégia diferente. Um exemplo é a Diretiva SRI⁴⁰, que é uma lei da UE que incide na segurança das redes e sistemas de informação em toda a União. Esta lei foi proposta pela Comissão e aprovada ao abrigo da base jurídica do «mercado único», embora, em grande medida, a cibersegurança seja uma prerrogativa nacional⁴¹.

O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G foi aprovado numa fase inicial de implantação, mas alguns operadores de redes móveis já tinham selecionado os seus fornecedores

50 Em janeiro de 2020, o Grupo de Cooperação SRI aprovou um conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, que especifica várias medidas estratégicas, técnicas e de apoio para fazer face às ameaças à segurança das redes 5G e identifica os intervenientes pertinentes para cada uma destas medidas. Este conjunto de instrumentos, subscrito pela Comissão e pelo Conselho Europeu, foi adotado apenas nove meses depois de o Parlamento Europeu e o Conselho terem manifestado pela primeira vez as suas preocupações relativamente à segurança das redes 5G. Mais recentemente, foi mencionado na nova estratégia europeia para impulsionar ligações inteligentes, limpas e seguras nos sistemas digitais em todo o mundo, como ferramenta para orientar os investimentos em infraestruturas digitais⁴². A estratégia baseada em instrumentos não vinculativos posta em prática pela Comissão contribuiu para pôr rapidamente em marcha medidas para fazer face às ameaças à segurança também a nível da UE, bem como facilitar a cooperação dos Estados‑Membros neste assunto de natureza transfronteiriça. Para efeitos de comparação, a Diretiva SRI precisou mais de três anos desde a proposta da Comissão⁴³ até à sua aprovação⁴⁴ e a Diretiva CECE mais de dois anos⁴⁵. Foi necessário ainda mais tempo para que as diretivas fossem transpostas para os sistemas jurídicos nacionais dos Estados‑Membros (ver também pontos 36 e 37).

51 O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G foi aprovado quatro anos após o Plano de Ação para a tecnologia 5G ter apresentado a política neste domínio e no mesmo ano em que deveriam ter sido alcançadas as etapas intermédias de implantação estabelecidas ao abrigo deste Plano. Neste contexto, os representantes dos ministérios dos Estados‑Membros, das autoridades reguladoras nacionais e dos operadores de redes móveis entrevistados para a presente auditoria consideraram que as medidas relativas aos aspetos de segurança das redes 5G foram introduzidas demasiado tarde.

52 Ao mesmo tempo, o conjunto de instrumentos foi publicado quando a implantação da tecnologia 5G e os planos correspondentes se encontravam ainda numa fase inicial na maioria dos Estados‑Membros. A maior parte dos contratos entre fornecedores e operadores relativos a equipamento 5G foram celebrados em 2020 e 2021. No entanto, de acordo com a Associação dos Operadores Europeus de Redes de Telecomunicações (ETNO), vários operadores de redes móveis já tinham selecionado os seus fornecedores na altura em que foi disponibilizado o conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G.

O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G proporcionou um quadro para avaliar o perfil de risco dos fornecedores, mas subsistem lacunas

Alguns Estados‑Membros e autoridades nacionais consideram que parte dos critérios utilizados para classificar os fornecedores como sendo de risco elevado não são suficientemente claros

53 Uma característica fundamental do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G é a necessidade de os Estados‑Membros avaliarem os fornecedores e, para ativos‑chave definidos como de importância crítica, aplicarem restrições aos fornecedores classificados como sendo de risco elevado. Os Estados‑Membros devem fazer esta avaliação com base numa lista não exaustiva de critérios retirados da avaliação coordenada dos riscos ao nível da UE. Estes critérios incluem, designadamente:

• a probabilidade de um fornecedor estar sujeito à interferência de um país terceiro, por exemplo, através da existência de uma forte ligação ao governo desse país, através da legislação deste, especialmente quando não existe controlo legislativo ou democrático, ou na ausência de acordos de segurança ou proteção de dados entre a UE e o país terceiro;
• a capacidade do fornecedor para assegurar o aprovisionamento;
• a qualidade global dos produtos e as práticas de cibersegurança do fornecedor.

54 O conjunto de instrumentos foi desenvolvido para evitar a fragmentação e promover a coerência no mercado interno. Os seus critérios proporcionam um quadro operacional útil para avaliar o perfil de risco dos fornecedores de forma coordenada em todos os Estados‑Membros. Permitiu igualmente que a Comissão, juntamente com estes, reagisse rapidamente às preocupações emergentes em matéria de segurança das redes 5G. Ao mesmo tempo, a aplicação destes critérios quando da avaliação dos riscos relacionados com fornecedores específicos continua a ser da competência das autoridades nacionais. Até outubro de 2021, tendo em conta este quadro, 13 Estados‑Membros adotaram ou alteraram legislação em matéria de segurança das redes 5G (ver ponto 75 e figura 6).

55 Porém, os representantes de dois dos quatro ministérios dos Estados‑Membros entrevistados pelo Tribunal para esta auditoria consideraram que alguns dos critérios para a classificação dos fornecedores de tecnologia 5G permitem várias interpretações e carecem de clarificação. Apelaram igualmente à Comissão para que forneça apoio e orientações adicionais no que diz respeito à classificação dos fornecedores de risco elevado. Os representantes dos Estados‑Membros entrevistados indicaram igualmente que esta situação criou o risco de os Estados‑Membros aplicarem estratégias divergentes em relação aos fornecedores de risco elevado (ver também os pontos 74 e 75, bem como a caixa 5). Onze das autoridades reguladoras nacionais inquiridas, que têm diferentes graus de envolvimento na segurança das redes 5G, manifestaram preocupações semelhantes.

O país de origem dos fornecedores de tecnologia 5G afeta a avaliação dos riscos de segurança

56 Os fornecedores de tecnologia 5G apresentam características empresariais variáveis e são de países com laços diferentes com a UE. A figura 5 apresenta algumas semelhanças e diferenças entre os principais fornecedores de tecnologia 5G e entre os seus países de origem, particularmente em domínios referidos no conjunto de instrumentos como tendo grande probabilidade de influenciar a avaliação do seu perfil de risco (ver ponto 53).

57 Um fator de risco é a medida em que o país de origem dos fornecedores cumpre os valores políticos e económicos fundamentais da União Europeia. Fatores relacionados especificamente com o país, como o Estado de direito, a independência do poder judicial, a abertura ao investimento estrangeiro e a existência de acordos de proteção de dados, podem ser tomados como uma medida da proteção jurídica de uma empresa contra a interferência governamental, bem como da proteção que pode proporcionar aos seus clientes.

58 Embora os fornecedores estabelecidos nos Estados‑Membros da UE sejam obrigados a cumprir as normas e requisitos jurídicos da União, tal não é o caso de seis dos principais fornecedores estabelecidos em países terceiros, que operam no âmbito de legislações que não a da UE (ver figura 5). Estas legislações podem diferir consideravelmente das normas da União, por exemplo no que respeita à proteção de dados conferida aos cidadãos, à eficácia desta proteção ou, de forma mais geral, à forma como a independência judicial é garantida pelo controlo legislativo e/ou democrático. No que diz respeito à independência do poder judicial, os Estados Unidos e o Japão encontram‑se mais bem colocados do que outros países de origem dos fornecedores de tecnologia 5G, enquanto, no que se refere ao Estado de direito, é a Coreia do Sul que apresenta melhor desempenho entre os países terceiros.

59 As redes 5G são predominantemente geridas por software. O facto de alguns fornecedores operarem no quadro da legislação de países terceiros pode ser de particular preocupação quando os centros de controlo deste software também se encontram fora da UE, o que pode sujeitar os cidadãos da União à legislação de países terceiros.

60 A Comissão começou a dar resposta a estas preocupações, considerando que qualquer empresa que preste serviços a cidadãos da UE deve respeitar as regras e os valores da União⁴⁶ e encetando diálogos com vários países no sentido de assegurar uma forte proteção da privacidade dos dados pessoais⁴⁷. A figura 5 mostra também que a Comissão já reconheceu a adequação dos regimes de proteção de dados do Japão (e, anteriormente, dos Estados Unidos). Note‑se, contudo, que as decisões de adequação podem ser impugnadas e estão sujeitas a um controlo judicial rigoroso. A título de exemplo, em 2015, o Tribunal de Justiça Europeu anulou o instrumento jurídico então aplicável ao intercâmbio de dados com os Estados Unidos, o acordo «Porto Seguro»⁴⁸, e, mais tarde, em 2020, deliberou que o «Escudo de Proteção da Privacidade», que tinha substituído o acordo anterior, não proporcionava um nível de proteção adequado aos cidadãos da UE⁴⁹. Por conseguinte, não existe atualmente uma decisão de adequação aplicável aos Estados Unidos. De um modo mais geral, e para além da existência de um regime de proteção de dados, é importante ter em conta o quadro jurídico e institucional mais amplo, incluindo, por exemplo, o respeito pelo Estado de direito e a forma como é assegurada a independência judicial.

61 A figura 5 também mostra que os fornecedores de tecnologia 5G variam significativamente em termos de quota de patentes neste domínio, receitas e número de trabalhadores. Esta variabilidade afeta os recursos à sua disposição, o que, por sua vez, pode afetar a sua resiliência e capacidade de assegurar a continuidade do aprovisionamento. Por exemplo, a Samsung e a Huawei são os fornecedores com a maior quota de patentes de tecnologia 5G e que geram as maiores receitas como empresas e têm o maior número global de trabalhadores.

62 A probabilidade de um fornecedor estar sujeito à interferência do governo de um país terceiro é outro fator importante definido no conjunto de instrumentos para a determinação do seu perfil de risco. Neste contexto, a propriedade desempenha um papel importante, uma vez que os proprietários com um grande número de ações poderão ter capacidade para exercer pressão ou influenciar as decisões de gestão. Além disso, as empresas não cotadas ou sob propriedade estatal são consideradas menos abertas ao escrutínio público em termos de auditorias e prestação de contas do que as empresas cotadas em bolsa, que estão sujeitas a rigorosos requisitos de divulgação ao longo do ano, em benefício dos investidores em geral e dos reguladores. A maioria dos fornecedores de tecnologia 5G estão cotados numa bolsa de valores, quer no seu país de origem quer no estrangeiro, enquanto os fornecedores chineses são mais difíceis de classificar e são geralmente considerados como estando estreitamente ligados ao Governo chinês⁵⁰.

Os Estados‑Membros consideraram útil o apoio da Comissão e da ENISA na aplicação do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G

63 A Comissão apoiou os Estados‑Membros procedendo ao intercâmbio de boas práticas sobre algumas medidas‑chave do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, incluindo no que respeita aos fornecedores de risco elevado. Este apoio, frequentemente prestado no contexto do Grupo de Cooperação SRI, foi complementado por atividades específicas da ENISA, como a organização de webinários ou a emissão de orientações sobre:

• a aplicação do conjunto de instrumentos, com destaque para as medidas técnicas;
• as boas práticas em matéria de segurança das redes, em particular no que respeita:

• ao cenário de ameaças às redes 5G⁵¹;
• à elaboração de avaliações nacionais dos riscos das redes 5G;
• às medidas de segurança no âmbito do CECE⁵², designadamente orientações específicas em matéria de segurança das redes 5G⁵³.

64 A Comissão também encarregou a ENISA de preparar o sistema de certificação de cibersegurança da UE para as redes 5G, que deverá ajudar a enfrentar os riscos relacionados com as vulnerabilidades técnicas das redes e reforçar a cibersegurança⁵⁴. Embora esta certificação possa contribuir para melhorar a segurança, não pode impedir a incorporação de ameaças nos sistemas através de atualizações de software.

65 Todos os representantes das autoridades dos Estados‑Membros entrevistados para a presente auditoria sublinharam a utilidade do apoio da Comissão e da ENISA na aplicação do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G. Além disso, a maioria das autoridades reguladoras nacionais de telecomunicações (15 em 21) declararam que a Comissão e/ou a ENISA apoiaram as autoridades nacionais no intercâmbio de boas práticas para a aplicação das principais medidas estratégicas.

O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G foi aprovado demasiado tarde para que pudesse ser tido em conta nos projetos cofinanciados pela UE durante o período de 2014‑2020

66 Um dos objetivos do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G consiste em assegurar que os projetos cofinanciados pela UE no âmbito da tecnologia 5G tenham em conta os riscos de cibersegurança. No entanto, o conjunto de instrumentos só foi aprovado em janeiro de 2020. Nessa data, todos os projetos analisados na presente auditoria já tinham sido selecionados, pelo que não se podia esperar que tivessem seguido a estratégia recomendada em matéria de cibersegurança, nomeadamente em relação aos fornecedores de risco elevado. A título ilustrativo, na amostra de auditoria, o Tribunal observou um projeto do Horizonte 2020 e dois projetos do FEDER em Espanha que utilizavam equipamento 5G chinês, o qual foi subsequentemente proibido na Suécia (ver ponto 15).

67 No período de 2021‑2027, a Comissão pretende promover uma estratégia coerente para a segurança da tecnologia 5G nos projetos cofinanciados pela UE, estabelecendo o respeito pelo conjunto de instrumentos como condição para o financiamento da União. Esta condição irá, porém, variar em função do modo de aplicação, como se descreve em seguida.

• Os programas geridos diretamente pela Comissão (por exemplo o Horizonte Europa 2021‑2027) permitirão a exclusão de fornecedores sujeitos à interferência do governo de um país terceiro. É provável que tal assegure que os projetos financiados pela UE tenham em conta os riscos de cibersegurança e previna situações em que um fornecedor que recebe cofinanciamento da União num Estado‑Membro seja considerado de risco elevado e excluído noutro.
• Para programas executados sob gestão partilhada, a legislação não contém requisitos em matéria de riscos de cibersegurança. Por conseguinte, a Comissão prevê promover a inclusão de uma referência ao conjunto de instrumentos nos acordos de parceria com os Estados‑Membros, como forma de permitir que o financiamento do FEDER para projetos relacionados com a tecnologia 5G tenha em conta os riscos de cibersegurança.
• Relativamente ao InvestEU (programa que substitui os FEIE)⁵⁵ e ao MRR, a Comissão planeia incentivar os organismos competentes a remeter para o conjunto de instrumentos da UE nos acordos de financiamento.

Os Estados‑Membros ainda não estão a tratar os aspetos de segurança de forma concertada quando da implantação das redes 5G

Informações insuficientes sobre a forma como os Estados‑Membros dão resposta às questões de segurança

68 A Comissão acompanha e informa sobre os progressos na aplicação do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G através do Grupo de Cooperação SRI, de diálogos bilaterais com os Estados‑Membros e, indiretamente, através dos meios de comunicação social. Os primeiros resultados deste acompanhamento foram publicados em julho de 2020⁵⁶. Em dezembro do mesmo ano, a Comissão publicou também um relatório sobre o impacto da sua Recomendação sobre a cibersegurança das redes 5G⁵⁷. À data de setembro de 2021, não estava previsto qualquer outro relatório.

69 Contudo, os relatórios supramencionados carecem de um conjunto comum de indicadores‑chave de desempenho e não apresentam um conjunto comparável de informações pormenorizadas sobre a forma como os Estados‑Membros estão a dar resposta às questões de segurança das redes 5G.

70 Além disso, há pouca informação disponível ao público sobre a estratégia dos Estados‑Membros em relação aos fornecedores de risco elevado, ou seja, a sua identificação e se estão a ser impedidos de fornecer o seu equipamento 5G. Acresce que a pouca informação que existe é contraditória e incompleta. A título exemplificativo:

• no seu relatório de julho de 2020 sobre os progressos dos Estados‑Membros na aplicação do conjunto de instrumentos da UE (ver ponto 68), a Comissão indicou que cerca de metade dos Estados‑Membros (14 dos 27) tinham avaliado o perfil de risco dos fornecedores e aplicado restrições aos fornecedores considerados de risco elevado;
• num relatório de dezembro de 2020⁵⁸, o ORECE declarou que apenas nove Estados‑Membros tinham aplicado tais restrições e que sete dos restantes 18 não tencionavam aplicá‑las no futuro.

71 Mesmo nos casos em que os Estados‑Membros aprovaram legislação relativa à segurança das redes 5G (ver também ponto 75), esta também não esclarece a sua estratégia em relação aos fornecedores de risco elevado. É provável que só possam ser tomadas decisões concretas através de atos de execução ou de decisões administrativas ou comerciais não públicas.

72 De acordo com as partes interessadas e os decisores entrevistados (por exemplo, do Parlamento Europeu), também são escassas as informações não públicas (obtidas, por exemplo, através de relatórios da Comissão ou do Grupo de Cooperação SRI) sobre a estratégia dos Estados‑Membros em relação aos fornecedores de risco elevado, pelo que estas entidades têm de se apoiar nos meios de comunicação social e em fontes não oficiais.

73 Apesar da natureza transfronteiriça das questões de segurança das redes 5G, de forma geral há pouca informação disponível ao público sobre a forma como os Estados‑Membros lhes dão resposta, em particular no respeitante aos fornecedores de risco elevado. Esta situação dificulta a partilha de conhecimentos entre os Estados‑Membros e a possibilidade de aplicar medidas concertadas. Além disso, limita a capacidade de a Comissão propor melhorias relativamente à segurança das redes 5G.

Há indícios de que alguns Estados‑Membros seguem estratégias divergentes em relação aos fornecedores de tecnologia 5G

74 As autoridades nacionais têm uma ampla margem de apreciação para aplicar medidas fundamentais relativas à segurança das redes 5G (ver pontos 48 e 49). O conjunto de instrumentos tem em conta as competências nacionais e os fatores pertinentes específicos de cada país (avaliação das ameaças pelos serviços de segurança nacionais, calendário para a implantação da tecnologia 5G, presença de fornecedores, capacidades de cibersegurança). Até à data, os Estados‑Membros aplicaram estratégias divergentes no que diz respeito à utilização de equipamentos de fornecedores específicos ou ao âmbito das restrições a fornecedores de risco elevado (ver exemplos de quatro Estados‑Membros na caixa 5).

75 Desde a adoção do conjunto de instrumentos, foram realizados progressos no reforço da segurança das redes 5G, estando a maioria dos Estados‑Membros a aplicar ou prestes a aplicar restrições aos fornecedores de risco elevado. Até ao final de 2021, 13 Estados‑Membros tinham adotado ou alterado a legislação nacional nesta matéria. Estas medidas regulamentares têm em conta os critérios estabelecidos no conjunto de instrumentos, mas seguem estratégias diferentes (ver figura 6). Outros Estados‑Membros estão em vias de apresentar legislação no mesmo sentido. Nos próximos anos, este processo poderá conduzir a uma maior convergência das estratégias no que respeita aos fornecedores de tecnologia 5G de risco elevado, pelo menos entre os Estados‑Membros que adotaram tal legislação.

76 Até à data, a Comissão não avaliou o impacto destas estratégias divergentes no caso de um Estado‑Membro construir as suas redes 5G utilizando equipamento de um fornecedor considerado de risco elevado noutro Estado‑Membro. Este impacto poderá ocorrer tanto em termos de segurança transfronteiriça, como de concorrência entre os operadores de redes móveis presentes no mercado único da UE.

A Comissão começou recentemente a dar resposta à questão das subvenções estrangeiras que distorcem o mercado interno

77 Em dezembro de 2020, mais de metade de todo o equipamento 4G e 5G na UE tinha origem em fornecedores de países terceiros (ver figura 7).

78 Em particular, no final de 2019, 286 milhões de clientes na UE‑27 (64 % da população total) utilizavam redes de telecomunicações baseadas no equipamento 4G de fornecedores chineses⁵⁹. Em outubro de 2020, um grupo de deputados ao Parlamento Europeu dirigiu‑se aos ministros das Telecomunicações e do Comércio dos Estados‑Membros e à Comissão para manifestar a sua preocupação de que uma das razões para a elevada quota de mercado dos fornecedores chineses era o facto de estes beneficiarem de uma vantagem económica desleal, ou seja, receberem subvenções públicas que não estão disponíveis aos fornecedores da UE ao abrigo das regras da União em matéria de auxílios estatais⁶⁰. Num documento de análise recente, o Tribunal apontou para riscos semelhantes a este respeito⁶¹. As referidas subvenções podem distorcer o mercado interno, criando assim uma situação de desigualdade entre os fornecedores de tecnologia 5G, com possíveis implicações de segurança. Em maio de 2021, para resolver este problema, a Comissão propôs um novo regulamento⁶², que estabelece procedimentos para investigar tais subvenções e corrigir as distorções de mercado associadas.

A Comissão não dispõe de informações suficientes sobre os eventuais custos de substituição dos equipamentos dos fornecedores chineses

79 Segundo um relatório de junho de 2020⁶³, restringir um dos principais fornecedores de infraestruturas 5G na UE aumentaria os custos totais de investimento em quase 2,4 mil milhões de euros por ano durante a próxima década (ou seja, 24 mil milhões de euros). De acordo com outro estudo⁶⁴, os operadores europeus já se veem confrontados com o facto de terem de atualizar as redes 4G construídas entre 2012 e 2016, uma vez que é prática corrente das empresas reformar e modernizar equipamentos de rede com mais de três a quatro anos de idade. Este estudo estima que o custo total de retirar e repor o equipamento atualizável comprado a fornecedores chineses desde 2016 será de cerca de 3 mil milhões de euros.

80 A elevada percentagem de equipamento de fornecedores chineses, combinada com a sua possível classificação como sendo de risco elevado em determinados Estados‑Membros, pode conduzir a custos de substituição da ordem dos milhares de milhões de euros se os operadores de redes móveis tiverem de retirar e substituir os equipamentos dos fornecedores chineses das redes da UE sem um período transitório (ver pontos 77 a 79). Em princípio, não podem ser concedidos auxílios estatais para compensar os operadores pelo cumprimento de obrigações legais, a menos que os Estados‑Membros possam demonstrar à Comissão que estão preenchidos os requisitos necessários (por exemplo, um efeito de incentivo). Na sua análise, o Tribunal constatou um caso em que a legislação nacional abre a possibilidade a que os custos de substituição sejam suportados por financiamento público nacional (ver a lei finlandesa sobre os serviços de comunicações eletrónicas⁶⁵). Os Estados‑Membros são obrigados a notificar a Comissão de qualquer caso de auxílio estatal destinado a compensar os operadores de redes móveis por esses custos. Segundo a Comissão, até à data, nenhum Estado‑Membro ou parte interessada a contactou no sentido de discutir auxílios estatais para os custos de substituição de equipamento. De acordo com as partes interessadas do setor entrevistadas durante a auditoria, a incerteza quanto ao tratamento destes custos pelos Estados‑Membros e as eventuais diferenças entre Estados‑Membros prejudicam a segurança empresarial e podem afetar o calendário de implantação da tecnologia 5G.

Conclusões e recomendações

81 De um modo geral, a auditoria do Tribunal mostrou que, apesar do apoio da Comissão, existem atrasos consideráveis na implantação das redes 5G pelos Estados‑Membros e que são necessários mais esforços para resolver as questões de segurança nesta matéria.

82 No seu Plano de Ação para a tecnologia 5G, de 2016, a Comissão apelou a uma cobertura 5G de todas as zonas urbanas e ao longo das principais vias de transporte até 2025 e, em março de 2021, apelou a uma cobertura total até 2030. No final de 2020, 23 Estados‑Membros tinham lançado serviços comerciais 5G e atingido o objetivo intermédio de ter pelo menos uma grande cidade com acesso a esses serviços. Não obstante, o Tribunal constatou que nem todos os Estados‑Membros remetem para os objetivos da Comissão nas suas estratégias nacionais para a tecnologia 5G ou nos seus planos de banda larga. Além disso, em vários países, o Código Europeu das Comunicações Eletrónicas não foi ainda transposto para o direito nacional e a atribuição do espetro de 5G foi adiada. Estes atrasos na atribuição do espetro podem dever‑se a diferentes motivos: escassa procura por parte dos operadores de redes móveis, questões de coordenação transfronteiras com países terceiros na fronteira oriental da UE, impacto da COVID-19 no calendário dos leilões e incerteza quanto à forma de dar resposta às questões de segurança. Segundo a Comissão, apenas 11 Estados‑Membros irão provavelmente atingir a meta para 2025 (ver pontos 22 a 43).

83 A Comissão apoiou os Estados‑Membros na execução do Plano de Ação para a tecnologia 5G, de 2016, através de iniciativas, de orientações e do financiamento da investigação neste domínio. Contudo, não definiu a qualidade de serviço esperada das redes 5G, designadamente o desempenho que deveria oferecer em termos de velocidade mínima e de latência máxima. Esta lacuna fez com que os Estados‑Membros entendessem o termo «qualidade das redes 5G» de forma diferente. O Tribunal observou estratégias divergentes por parte dos Estados‑Membros na implantação de serviços 5G, como o facto de apenas dois deles terem definido a velocidade mínima e a latência máxima. Em última análise, esta situação implica o risco de desigualdades no acesso e na qualidade dos serviços 5G na UE, aumentando assim, em vez de reduzir, o «fosso digital» entre Estados‑Membros e regiões (ver pontos 22 a 31).

Recomendação 1 — Promover a implantação uniforme e atempada das redes 5G na UE

A Comissão deve:

1. em conjunto com os Estados‑Membros, desenvolver uma definição comum da qualidade de serviço esperada das redes 5G, designadamente os requisitos de desempenho que estas devem oferecer em termos de velocidade mínima e latência máxima;
2. incentivar os Estados‑Membros a incluir as metas da UE para 2025 e 2030 relativas à implantação das redes 5G, bem como as medidas necessárias para a sua realização, nas próximas revisões das suas estratégias para a tecnologia 5G/digital ou dos seus planos de banda larga;
3. apoiar os Estados‑Membros na resposta às questões de coordenação do espetro com países terceiros vizinhos, por exemplo defendendo que o tema esteja na ordem de trabalhos de cada reunião relevante.

Prazo: dezembro de 2022

84 Os aspetos de segurança das redes 5G só recentemente se tornaram uma grande preocupação a nível da UE. A necessidade conexa de ação a nível da União foi salientada pelo Conselho Europeu em 2019, quando apelou a uma abordagem concertada e à cooperação entre Estados‑Membros relativamente a este assunto transfronteiras. A Comissão, juntamente com os Estados‑Membros, reagiu rapidamente às preocupações emergentes em matéria de segurança das redes 5G. Em 2020, o Grupo de Cooperação SRI aprovou um conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, que especifica várias medidas estratégicas, técnicas e de apoio para fazer face às ameaças à segurança das redes 5G e identifica os intervenientes responsáveis por cada uma das medidas. Várias destas dão resposta à questão dos fornecedores de risco elevado de equipamento 5G. Este conjunto de instrumentos foi posteriormente subscrito pela Comissão e pelo Conselho Europeu (ver pontos 45 a 47). Como o conjunto de instrumentos se insere no direito não vinculativo, não tem efeitos obrigatórios nos Estados‑Membros. Mais recentemente, foi mencionado na nova estratégia europeia para impulsionar ligações inteligentes, limpas e seguras nos sistemas digitais em todo o mundo, como ferramenta para orientar os investimentos em infraestruturas digitais (ver ponto 50).

85 Os seus critérios proporcionam um quadro operacional útil para avaliar o perfil de risco dos fornecedores de forma coordenada em todos os Estados‑Membros, mas a realização desta avaliação continua a ser uma competência nacional (ver ponto 54).

86 Desde a adoção do conjunto de instrumentos, foram realizados progressos no reforço da segurança das redes 5G, estando a maioria dos Estados‑Membros a aplicar ou prestes a aplicar restrições aos fornecedores de risco elevado. Até outubro de 2021, tendo em conta este quadro, 13 Estados‑Membros adotaram ou alteraram legislação em matéria de segurança das redes 5G. Outros estão em vias de apresentar legislação que tenha em conta os critérios do conjunto de instrumentos (ver pontos 54 e 75).

87 Os referidos instrumentos foram adotados numa fase inicial da implantação da tecnologia 5G, mas alguns operadores de redes móveis já tinham selecionado os seus fornecedores de equipamento 5G (ver ponto 52). A ausência de resposta às questões de segurança decorrentes da conceção de uma política pode ter um impacto negativo na sua aplicação, por exemplo, os benefícios esperados (tais como o crescimento do PIB) podem ser corroídos pelos custos da resposta a ameaças (tais como os custos causados pela cibercriminalidade) (ver pontos 02 e 04).

88 O conjunto de instrumentos tem em conta as competências nacionais e os fatores pertinentes específicos de cada país. A auditoria do Tribunal mostrou que, até à data, os Estados‑Membros aplicaram estratégias divergentes no que diz respeito à utilização de equipamento de fornecedores de risco elevado ou ao âmbito das restrições (por exemplo, abranger apenas componentes da rede de base 5G e de importância crítica ou também a rede de acesso rádio ou parte da mesma) (ver pontos 74 e 75).

89 Nos próximos anos, a legislação em matéria de segurança das redes 5G a aprovar pelos Estados‑Membros com base no conjunto de instrumentos poderá conduzir a estratégias mais convergentes no que respeita aos fornecedores de tecnologia 5G de risco elevado. Porém, dado que nenhuma das medidas estabelecidas neste conjunto de instrumentos é juridicamente vinculativa, a Comissão não tem competência para obrigar ao seu cumprimento. Por conseguinte, continua a existir o risco de que, por si só, estes instrumentos não possam garantir que os Estados‑Membros tratam os aspetos de segurança de forma concertada (ver pontos 49 a 75).

90 Muitos fornecedores de tecnologia 5G estão estabelecidos fora da UE e, portanto, operam no quadro de legislações que não a da União. Estas legislações podem diferir consideravelmente das normas da UE, por exemplo no que respeita à proteção de dados efetiva conferida aos cidadãos e, de forma mais geral, à forma como a independência judicial é garantida pelo controlo legislativo ou democrático. O facto de as redes 5G serem predominantemente geridas por software pode também ser de particular preocupação em termos de segurança se os centros de controlo deste software forem colocados em países não pertencentes à UE, o que pode sujeitar os cidadãos da União à legislação de países terceiros. A Comissão começou a dar resposta a estas questões, considerando que qualquer empresa que preste serviços a cidadãos da UE deve respeitar as regras e os valores da União e encetando diálogos com vários países no sentido de assegurar uma forte proteção da privacidade dos dados pessoais (ver pontos 56 a 62).

91 Apesar da natureza transfronteiriça das questões de segurança das redes 5G, há pouca informação disponível ao público sobre a forma como os Estados‑Membros lhes dão resposta e sobre a sua dependência de fornecedores de risco elevado. A Comissão acompanha e informa sobre a aplicação do conjunto de instrumentos. No entanto, os relatórios não apresentam informações pormenorizadas e comparáveis sobre a forma como os Estados‑Membros dão resposta às questões de segurança das redes 5G. Acresce que, à data de setembro de 2021, não está previsto qualquer outro relatório. Esta ausência de informação dificulta a partilha de conhecimentos entre os Estados‑Membros e a possibilidade de aplicar medidas concertadas. Além disso, limita a capacidade de a Comissão propor melhorias relativamente à segurança das redes 5G (ver pontos 68 a 73).

Recomendação 2 — Propiciar uma estratégia concertada entre os Estados‑Membros em relação à segurança das redes 5G

A Comissão deve:

1. disponibilizar mais orientações ou medidas de apoio sobre elementos‑chave do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, nomeadamente sobre os critérios para a avaliação dos fornecedores de tecnologia 5G, a sua classificação como sendo de risco elevado e considerações relativas à proteção de dados;
   Prazo: dezembro de 2022
2. promover a transparência das estratégias dos Estados‑Membros em relação à segurança das redes 5G, através do acompanhamento e da comunicação de informações acerca da aplicação das medidas de segurança constantes do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G. Para o efeito, deve utilizar um conjunto comum de indicadores‑chave de desempenho;
   Prazo: dezembro de 2022
3. juntamente com os Estados‑Membros, avaliar quais os aspetos de segurança das redes 5G em que há necessidade de especificar requisitos com força executória e, se for caso disso, iniciar processos legislativos.
   Prazo: dezembro de 2022

92 A Comissão começou a dar resposta às alegações de vantagem económica desleal associadas a subvenções estrangeiras. Estas subvenções podem distorcer o mercado interno, criando assim uma situação de desigualdade entre os fornecedores de tecnologia 5G, com possíveis implicações de segurança (ver ponto 78).

93 A Comissão não dispõe de informações suficientes sobre o tratamento, por parte dos Estados‑Membros, dos potenciais custos de substituição que podem surgir se os operadores de redes móveis tiverem de retirar os equipamentos dos fornecedores de risco elevado das redes da UE sem um período transitório. As diferenças de tratamento podem prejudicar a segurança empresarial e afetar o calendário de implantação da tecnologia 5G (ver pontos 79 e 80). Ao mesmo tempo, as estratégias dos Estados‑Membros em relação à segurança das redes 5G e, em particular, a ausência de uma estratégia concertada em toda a UE podem afetar o funcionamento eficaz do mercado único. Até agora, a Comissão não avaliou esta questão (ver pontos 74 a 76).

Recomendação 3 — Acompanhar as estratégias dos Estados‑Membros em relação à segurança das redes 5G e avaliar o impacto das divergências no funcionamento eficaz do mercado único

A Comissão deve:

1. promover uma estratégia transparente e coerente no que diz respeito ao tratamento, pelos Estados‑Membros, dos custos dos operadores de redes móveis com a substituição de equipamentos 5G adquiridos a fornecedores de risco elevado. Para o efeito, deve proceder a um acompanhamento regular e comunicar informações sobre esta questão no âmbito da aplicação do conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G;
2. avaliar qual seria o impacto no mercado único caso um Estado‑Membro construísse as suas redes 5G utilizando equipamento de um fornecedor considerado de risco elevado noutro Estado‑Membro.

Prazo: dezembro de 2022

O presente relatório foi adotado pela Câmara II, presidida por Iliana Ivanova, Membro do Tribunal de Contas, no Luxemburgo, em 15 de dezembro de 2021.

Anexos

Anexo I — Principais oportunidades e riscos associados à tecnologia 5G

Fonte: TCE, com base em «European Science‑Media hub», Serviço de Estudos do Parlamento Europeu.

Anexo II — Exemplos do impacto de perturbações nas redes de telecomunicações e de incidentes de cibersegurança

Falha nos números de emergência de França ^{66, 67}

01 Em 3 de junho de 2021, uma quebra de rede na Orange, a maior empresa de telecomunicações de França, impediu a realização de chamadas de emergência durante várias horas. Embora tenha sido descartada a possibilidade de a causa ter sido um ciberataque, este incidente mostra o impacto potencial de uma perturbação numa infraestrutura de rede de importância crítica.

Ataques de ransomware ao serviço de saúde pública irlandês^{68, 69, 70}

02 Em maio de 2021, o serviço de saúde da Irlanda (Health Service Executive) desligou todos os seus sistemas informáticos devido a um ataque de ransomware. Este ataque afetou todos os aspetos da prestação de cuidados a doentes ao criar dificuldades no acesso aos seus registos, aumentando o risco de atrasos e erros. Embora as autoridades irlandesas não tenham conhecimento de que tenham sido postos em causa quaisquer dados de doentes, a partilha dos registos de saúde poderia ter conduzido a todo o tipo de crimes contingentes, como fraude e chantagem. De acordo com o diretor‑geral do Health Service Executive, os custos de recuperação deverão ascender a 500 milhões de euros (600 milhões de dólares dos Estados Unidos).

Solarwinds^{71, 72, 73}

03 A Solarwinds é uma empresa dos Estados Unidos que desenvolve software para empresas e agências estatais e federais, visando ajudar a gerir os seus sistemas, redes e infraestruturas informáticas. No início de 2020, a Solarwinds foi alvo de um ataque de software, em que os piratas informáticos conseguiram atacar também os clientes da empresa através de atualizações de software que continham códigos maliciosos. Estes códigos abriam «alçapões» (backdoors) nas plataformas dos clientes, oferecendo uma entrada fácil para ataques e a instalação de mais malware e spyware (software espião).

Anexo III — Quadro jurídico e estratégico

Anexo IV — Exemplos de projetos cofinanciados pelo FEIE

Projetos do FEIE relacionados com a tecnologia 5G

Os dois projetos do FEIE analisados pelo Tribunal diziam respeito a investimentos em investigação, desenvolvimento e inovação para o desenvolvimento de carteiras de produtos das redes 5G. Abrangiam o desenvolvimento de hardware e software para a rede de acesso rádio e para a rede de base e contribuíram para a implantação de células mais densas, apoiaram a normalização e facilitaram experiências tecnológicas fundamentais.

Os projetos tiveram início em 2018 e terminaram em dezembro de 2020. O custo total combinado dos investimentos foi de 3,9 mil milhões de euros, incluindo mil milhões de euros em financiamento do FEIE.

Anexo V — Exemplos de projetos do Horizonte 2020 e do FEDER

Projeto do Horizonte 2020 relacionado com a tecnologia 5G

Este projeto utiliza equipamento dos três principais fornecedores de tecnologia 5G (Ericsson, Huawei e Nokia) para testar tecnologias 5G no corredor transfronteiras que liga as cidades de Metz (França), Merzig (Alemanha) e Luxemburgo. Teve início em novembro de 2018 e tinha uma duração prevista de 31 meses. A UE concedeu uma subvenção de 12,9 milhões de euros, para um total global orçamentado de 17,1 milhões de euros.

Projeto do FEDER relacionado com a tecnologia 5G

Este projeto em Espanha visa apresentar ideias sobre a implantação de redes 5G, abrangendo experiências com técnicas de gestão de redes possibilitadas pela tecnologia 5G (como a virtualização de redes, a computação periférica, a alocação dinâmica de serviços de rede e a divisão de redes) e o desenvolvimento de casos de utilização da tecnologia 5G. O projeto teve início em 2019 e tinha uma duração prevista de 30 meses. A UE contribuiu com 2,2 milhões de euros do custo total previsto de 7,1 milhões de euros.

Anexo VI — Cobertura de redes 5G em cidades selecionadas

As figuras abaixo baseiam‑se em dados sobre conectividade de banda larga móvel recolhidos a partir de testes realizados por utilizadores da aplicação nPerf. A tecnologia 5G detetada em certas zonas não está necessariamente aberta em termos comerciais. Uma vez que o desempenho das redes depende de cada operador de rede móvel, os mapas seguintes, extraídos em 4 de outubro de 2021, retratam apenas a cobertura e não o desempenho, como a velocidade e a latência.

Anexo VII — Conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G

O conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, aprovado pelo Grupo de Cooperação SRI e subscrito pela Comissão, contém três tipos de medidas não vinculativas (estratégicas, técnicas e de apoio) a serem executadas por vários intervenientes, como sintetizado em seguida.

Medidas	Intervenientes pertinentes
	Autoridades dos Estados-Membros	Operadores de redes móveis	Comissão Europeia	ENISA	Partes interessadas (incluindo fornecedores)
Medidas estratégicas (ME)
ME01 — Reforçar o papel das autoridades nacionais	✓	✓
ME02 — Realizar auditorias aos operadores e exigir informações	✓	✓
ME03 — Avaliar o perfil de risco dos fornecedores e aplicar restrições aos fornecedores considerados de risco elevado (incluindo as exclusões necessárias para atenuar eficazmente os riscos) no que respeita a ativos essenciais	✓	✓
ME04 — Controlar a utilização de prestadores de serviços geridos e do apoio de terceira linha dos fornecedores de equipamento	✓	✓
ME05 — Garantir a diversidade de fornecedores de cada operador de rede móvel através de estratégias de múltiplos fornecedores adequadas	✓	✓
ME06 — Reforçar a resiliência a nível nacional	✓	✓
ME07 — Identificar os ativos essenciais e promover um ecossistema 5G diversificado e sustentável na UE	✓		✓
ME08 — Manter e desenvolver a diversidade e as capacidades da UE nas futuras tecnologias de rede	✓		✓		✓
Medidas técnicas (MT)
MT01 — Garantir a aplicação dos requisitos de base em matéria de segurança (conceção e arquitetura de redes seguras)	✓	✓
MT02 — Garantir e avaliar a aplicação de medidas de segurança nas normas 5G existentes	✓	✓			✓
MT03 — Assegurar controlos de acesso rigorosos	✓	✓
MT04 — Aumentar a segurança das funções de rede virtualizadas	✓	✓
MT05 — Garantir a segurança da gestão, do funcionamento e do controlo das redes 5G	✓	✓
MT06 — Aumentar a segurança física	✓	✓
MT07 — Reforçar a integridade, a atualização e a gestão de correções do software	✓	✓
MT08 — Reforçar as normas de segurança nos processos dos fornecedores através de condições robustas de aquisição	✓	✓			✓
MT09 — Utilizar a certificação da UE em componentes das redes 5G, equipamentos dos clientes e/ou processos dos fornecedores	✓	✓	✓	✓	✓
MT10 — Utilizar a certificação da UE noutros produtos e serviços informáticos não específicos da tecnologia 5G (dispositivos conectados, serviços de computação em nuvem)	✓		✓	✓	✓
MT11 — Reforçar a resiliência e os planos de continuidade	✓	✓			✓
Medidas de apoio (MA)
MA01 — Rever ou desenvolver orientações e boas práticas sobre segurança de redes	✓	✓		✓
MA02 — Aumentar as capacidades de ensaio e auditoria a nível nacional e da UE	✓		✓	✓
MA03 — Apoiar e definir a normalização no domínio da tecnologia 5G	✓	✓	✓	✓	✓
MA04 — Desenvolver orientações sobre a aplicação de medidas de segurança nas normas 5G existentes	✓			✓
MA05 — Garantir a aplicação de medidas normalizadas de segurança técnica e organizacional através de um sistema de certificação específico a nível da UE	✓			✓	✓
MA06 — Intercâmbio de boas práticas sobre a aplicação de medidas estratégicas, em particular dos quadros nacionais para a avaliação do perfil de risco dos fornecedores	✓
MA07 — Melhoria da coordenação na resposta a incidentes e gestão de crises	✓			✓
MA08 — Realizar auditorias às interdependências entre as redes 5G e outros serviços de importância crítica	✓
MA09 — Reforçar os mecanismos de cooperação, coordenação e partilha de informações	✓			✓
MA10 — Garantir que os projetos no âmbito da tecnologia 5G apoiados com financiamento público têm em conta os riscos de cibersegurança	✓		✓

Fonte: conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G.

Siglas e acrónimos

BEI: Banco Europeu de Investimento

CECE: Código Europeu das Comunicações Eletrónicas

ENISA: Agência da União Europeia para a Cibersegurança

FEDER: Fundo Europeu de Desenvolvimento Regional

FEIE: Fundo Europeu para Investimentos Estratégicos

MRR: Mecanismo de Recuperação e Resiliência

ORECE: Organismo de Reguladores Europeus das Comunicações Eletrónicas

PIB: Produto Interno Bruto

SRI: segurança das redes e dos sistemas de informação

Glossário

Agência da União Europeia para a Cibersegurança: agência da UE criada para desenvolver e manter um elevado nível de segurança das redes e da informação em todos os setores da vida privada e pública.

Banda larga: transmissão simultânea e de alta velocidade de múltiplos formatos de informação (tais como dados, voz e vídeo).

Espetro radioelétrico: parte do espetro eletromagnético correspondente às radiofrequências.

Exabyte: medida de capacidade de armazenamento de informação digital, equivalente a mil milhões de gigabytes.

Fundo Europeu para Investimentos Estratégicos: mecanismo de apoio ao investimento lançado pelo Banco Europeu de Investimento (BEI) e pela Comissão, como parte do Plano de Investimento para a Europa, para angariar investimento privado para projetos de importância estratégica para a UE.

Global System for Mobile Communications Association (GSMA): organização setorial que representa os interesses dos operadores de redes móveis de todo o mundo, bem como de empresas transformadoras e de serviços e organizações com interesse em infraestruturas de comunicações móveis.

Grupo de cooperação para a segurança das redes e dos sistemas de informação: organismo criado pela Diretiva SRI para assegurar a cooperação e o intercâmbio de informações entre os Estados‑Membros. É constituído por representantes dos Estados‑Membros da UE, da Comissão Europeia e da Agência da União Europeia para a Cibersegurança.

Grupo de Política do Espetro Radioelétrico: grupo consultivo de alto nível constituído por representantes dos Estados‑Membros, que apoia e aconselha as instituições da UE no desenvolvimento do mercado único de produtos e serviços sem fios.

Internet das coisas: objetos físicos com sensores, software e outras tecnologias que lhes permitem ligar‑se sem fios e trocar dados com outros dispositivos e sistemas.

Latência: em redes informáticas, tempo necessário para que um conjunto de dados seja transmitido entre dois pontos.

Operador de rede móvel: empresa de telecomunicações que oferece serviços de comunicação de voz e dados sem fios aos utilizadores de telemóveis seus subscritores.

Organismo de Reguladores Europeus das Comunicações Eletrónicas: organismo constituído por representantes das autoridades reguladoras nacionais dos Estados‑Membros e que assiste essas autoridades e a Comissão na aplicação do quadro regulamentar da UE, visando a criação de um mercado único para as comunicações eletrónicas.

Planos nacionais de banda larga: documentos dos Estados‑Membros que contêm objetivos estratégicos para a concretização dos objetivos da UE em matéria de banda larga.

Ransomware (software de sequestro): software malicioso (malware) que nega à vítima o acesso a um sistema informático ou torna os ficheiros ilegíveis, forçando-a a pagar um resgate para recuperar o acesso.

Rede de acesso rádio: parte importante da tecnologia moderna de telecomunicações, que liga um dispositivo a outras partes de uma rede através de uma ligação rádio.

Respostas da Comissão

https://www.eca.europa.eu/pt/Pages/DocItem.aspx?did=60614

Cronologia

https://www.eca.europa.eu/pt/Pages/DocItem.aspx?did=60614

Equipa de auditoria

Os relatórios especiais do TCE apresentam os resultados das suas auditorias às políticas e programas da UE ou a temas relacionados com a gestão de domínios orçamentais específicos. O TCE seleciona e concebe estas tarefas de auditoria de forma a obter o máximo impacto, tendo em consideração os riscos relativos ao desempenho ou à conformidade, o nível de receita ou de despesa envolvido, a evolução futura e o interesse político e público.

A presente auditoria de resultados foi realizada pela Câmara de Auditoria II — Investimento para a coesão, o crescimento e a inclusão, presidida pelo Membro do TCE Iliana Ivanova. A auditoria foi efetuada sob a responsabilidade de Annemie Turtelboom, Membro do TCE, com a colaboração de Florence Fornaroli, chefe de gabinete; Celil Ishik, assessor de gabinete; Niels‑Erik Brokopp, responsável principal; Paolo Pesce, responsável de tarefa; Jussi Bright, Rafał Gorajski, Zuzana Gullová, Alexandre Tan, Aleksandar Latinov e Nils Westphal, auditores.

 

Notas

¹ Statista, «Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030».

² Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2017‑2022, fevereiro de 2019.

³ ITU-R, IMT traffic estimates for the years 2020 to 2030.

⁴ Identification and quantification of key socio‑economic data to support strategic planning for the introduction of 5G in Europe, fevereiro de 2017.

⁵ Accenture Strategy, The Impact of 5G on the European Economy, fevereiro de 2021.

⁶ TCE, Documento de análise n.º 02/2019,Desafios à eficácia da política de cibersegurança da UE (Documento informativo); Comité de Contacto, Compêndio de auditoria — A cibersegurança na UE e nos seus Estados‑Membros, 2020; e Serviço de Estudos do Parlamento Europeu, «European Science‑Media hub».

⁷ Grupo de Cooperação SRI, EU coordinated risk assessment of the cybersecurity of 5G networks, 9 de outubro de 2019, ponto 3.4.

⁸ Fórum Económico Mundial, «Wild Wide Web — Consequences of Digital Fragmentation», 2021.

⁹ Grupo de Cooperação SRI, EU coordinated risk assessment of the cybersecurity of 5G networks, 9 de outubro de 2019.

¹⁰ https://ec.europa.eu/commission/presscorner/detail/en/IP_15_5715

¹¹ Resolução do Parlamento Europeu, de 12 de março de 2019; Lei nacional de recolha de informações da República Popular da China, artigo 14.º. Ver também a sua tradução para inglês em https://www.chinalawtranslate.com/en/national‑intelligence‑law‑of‑the-p-r-c-2017/

¹² https://ec.europa.eu/commission/presscorner/detail/pt/IP_20_12

¹³ Estimativa da Comissão com base em dados do BEI, da Analysys, da GSMA e de anúncios das empresas e ETNO — Associação dos Operadores Europeus de Redes de Telecomunicações, Connectivity & Beyond: How Telcos Can Accelerate a Digital Future for All, março de 2021.

¹⁴ Lista de projetos do BEI (em inglês).

¹⁵ Documento de análise n.º 03/2020, Resposta da UE à estratégia de investimento estatal da China.

¹⁶ Relatório Especial 12/2018,A banda larga nos Estados‑Membros da UE: apesar dos progressos, nem todos os objetivos da Estratégia Europa 2020 serão alcançados.

¹⁷ Relatório Especial 19/2020,Digitalização da Indústria Europeia: uma iniciativa ambiciosa cujo êxito depende do empenho constante da UE, dos governos e das empresas.

¹⁸ Documento de análise n.º 02/2019, Desafios à eficácia da política de cibersegurança da UE (Documento informativo).

¹⁹ Comissão Europeia, Orientações para a Digitalização até 2030: a via europeia para a Década Digital, COM(2021) 118 final.

²⁰ Study on National Broadband Plans in the EU-27.

²¹ 5G Observatory Quarterly Report 12, Up to June 2021.

²² Comissão Europeia, Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à itinerância nas redes de comunicações móveis públicas da União (reformulação), COM(2021) 85 final, 24.2.2021.

²³ Comissão, Study on National Broadband Plans in the EU-27.

²⁴ Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho que estabelece o Código Europeu das Comunicações Eletrónicas.

²⁵ Comunicação da Comissão Europeia, Implantação segura de redes 5G na UE — Aplicação do conjunto de instrumentos da UE, COM(2020) 50 final.

²⁶ Study on National Broadband Plans in the EU-27.

²⁷ Comissão, comunicado de imprensa IP/21/206, de 4.2.2021.

²⁸ Comissão, comunicado de imprensa IP/21/4612, de 23.9.2021.

²⁹ Decisão (UE) 2017/899 do Parlamento Europeu e do Conselho relativa à utilização da faixa de frequências de 470‑790 MHz na União.

³⁰ Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho que estabelece o Código Europeu das Comunicações Eletrónicas.

³¹ 5G Observatory e Grupo de Política do Espetro Radioelétrico.

³² Resolução do Parlamento Europeu, de 12 de março de 2019, 2019/2575(RSP).

³³ JOIN(2019) 5 final de 12.3.2019, UE‑China — Uma perspetiva estratégica.

³⁴ Conclusões do Conselho Europeu de 21 e 22 de março de 2019.

³⁵ Recomendação (EU) 2019/534 da Comissão, de 26 de março de 2019, sobre a cibersegurança das redes 5G.

³⁶ Comunicado de imprensa de 19 de julho de 2019.

³⁷ Cybersecurity of 5G networks — EU Toolbox of risk mitigating measures, Grupo de Cooperação SRI, janeiro de 2020.

³⁸ Comunicação da Comissão Europeia, Implantação segura de redes 5G na UE — Aplicação do conjunto de instrumentos da UE, COM(2020) 50 final e Conclusões do Conselho Europeu de 1 e 2 de outubro de 2020 (EUCO 13/20).

³⁹ Tratado sobre o Funcionamento da União Europeia.

⁴⁰ Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

⁴¹ Documento de análise n.º 02/2019, Desafios à eficácia da política de cibersegurança da UE (Documento informativo), ponto 36.

⁴² Comunicação Conjunta ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu, ao Comité das Regiões e ao Banco Europeu de Investimento — A Estratégia Global Gateway, JOIN(2021) 30 final, de 1.12.2021.

⁴³ COM(2013) 48 final de 7.2.2013.

⁴⁴ Diretiva (UE) 2016/1148.

⁴⁵ COM(2016) 590 final/2 de 12.10.2016 e Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho que estabelece o Código Europeu das Comunicações Eletrónicas.

⁴⁶ Comunicação da Comissão Europeia, Construir o futuro digital da Europa, COM(2020) 67 final.

⁴⁷ UE‑China — Uma perspetiva estratégica.

⁴⁸ Acórdão no Processo C-362/14 e https://curia.europa.eu/jcms/upload/docs/application/pdf/2015‑10/cp150117pt.pdf.

⁴⁹ Acórdão no Processo C-311/18 e https://curia.europa.eu/jcms/upload/docs/application/pdf/2020‑07/cp200091pt.pdf.

⁵⁰ https://www.europarl.europa.eu/doceo/document/E-9‑2020‑004305_EN.html e https://www.europarl.europa.eu/RegData/etudes/ATAG/2019/637912/EPRS_ATA(2019)637912_EN.pdf

⁵¹ ENISA, Threat Landscape for 5G Networks, 14.12.2020.

⁵² ENISA, Guideline on Security Measures under the EECC, 10.12.2020.

⁵³ ENISA, 5G supplement to the Guidelines on Security Measures under the EECC, 7.7.2021.

⁵⁴ Comunicado de imprensa de 3 de fevereiro de 2021 (em inglês).

⁵⁵ Regulamento (UE) 2021/523 do Parlamento Europeu e do Conselho, de 24 de março de 2021, que cria o Programa InvestEU.

⁵⁶ Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity, julho de 2020.

⁵⁷ Report on the impacts of the Commission Recommendation of 26 March 2019 on the Cybersecurity of 5G networks, SWD(2020) 357 final de 16.12.2020.

⁵⁸ ORECE, Internal Report concerning the EU 5G Cybersecurity Toolbox Strategic Measures 5 and 6 (Diversification of suppliers and strengthening national resilience), BoR 20 (227), 10.12.2020.

⁵⁹ StrandConsult, Understanding the Market for 4G RAN in Europe: Share of Chinese and Non‑Chinese Vendors in 102 Mobile Networks.

⁶⁰ Carta de deputados ao Parlamento Europeu aos ministros das Telecomunicações e do Comércio da UE e aos Comissários Thierry Breton, Margrethe Vestager e Valdis Dombrovskis, 14.10.2020.

⁶¹ Documento de análise n.º 03/2020,Resposta da UE à estratégia de investimento estatal da China.

⁶² Proposta de Regulamento relativo a subvenções estrangeiras que distorcem o mercado interno, COM(2021) 223 final de 5.5.2021.

⁶³ Oxford Economics, Restricting competition in 5G network equipment throughout Europe, junho de 2020 (patrocinado pela Huawei).

⁶⁴ StrandConsult, The real cost to rip and replace Chinese equipment from telecom networks.

⁶⁵ Lei sobre os serviços de comunicações eletrónicas 1207/2020, de 30.12.2020, artigo 301.º.

⁶⁶ https://www.euronews.com/2021/06/03/french‑telecom‑operator‑orange‑apologises‑ after‑emergency‑numbers‑crash‑nationwide

⁶⁷ https://www.reuters.com/business/media‑telecom/orange‑blames‑network‑outage‑ software‑failure‑audit-2021‑06-11/

⁶⁸ https://www.wsj.com/articles/irish‑healthcare‑service‑shuts‑down‑it‑systems‑after‑ ransomware‑attack-11620998875

⁶⁹ https://www.reuters.com/technology/irish‑health‑service‑hit‑by‑ransomware‑attack‑ vaccine‑rollout‑unaffected-2021‑05-14/

⁷⁰ https://www.cert.europa.eu/cert/moreclusteredition/en/blog_DataBreachTodayinRSS Syndication‑in-299786a86ffeab5aec16d55392d94819.20210624.en.html

⁷¹ https://www.solarwinds.com/

⁷² https://www.reuters.com/article/us‑cyber‑solarwinds‑microsoft‑idUSKBN2AF03R

⁷³ https://www.businessinsider.com/solarwinds‑hack‑explained‑government‑agencies‑ cyber‑security-2020‑12?international=true&r=US&IR=T

Contacto

TRIBUNAL DE CONTAS EUROPEU
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tel. +352 4398-1
Informações: eca.europa.eu/pt/Pages/ContactForm.aspx
Sítio Internet: eca.europa.eu
Twitter: @EUAuditors

Encontram-se mais informações sobre a União Europeia na rede Internet, via servidor Europa (https://europa.eu)

Luxemburgo: Serviço das Publicações da União Europeia, 2022.

PDF	ISBN 978-92-847-7404-3	ISSN 1977-5822	doi:10.2865/349971	QJ-AB-21-029-PT-N
HTML	ISBN 978-92-847-7394-7	ISSN 1977-5822	doi:10.2865/704990	QJ-AB-21-029-PT-Q

DIREITOS DE AUTOR

© União Europeia, 2022.

A política de reutilização do Tribunal de Contas Europeu (TCE) é aplicada pela Decisão n.º 6‑2019 do Tribunal de Contas Europeu relativa à política de dados abertos e à reutilização de documentos.

Salvo indicação em contrário (por exemplo, em declarações de direitos de autor individuais), o conteúdo do TCE que é propriedade da UE está coberto pela licença Creative Commons Attribution 4.0 International (CC BY 4.0). Nos termos da mesma, é permitida a reutilização desde que sejam indicados os créditos adequados e as alterações. Esta reutilização não pode distorcer o significado original ou a mensagem dos documentos. O TCE não é responsável por quaisquer consequências da reutilização.

É necessário salvaguardar o respeito por direitos adicionais se um conteúdo específico representar pessoas singulares identificáveis, por exemplo, imagens do pessoal do TCE, ou incluir obras de terceiros. Se for obtida uma autorização, esta anula e substitui a autorização geral acima referida e deve indicar claramente quaisquer restrições aplicáveis à sua utilização.

Para utilizar ou reproduzir conteúdos que não sejam propriedade da UE, pode ser necessário pedir autorização diretamente aos titulares dos direitos de autor.

• Imagens do anexo VI: © nPerf. nPerf SAS company.

O software ou os documentos abrangidos por direitos de propriedade industrial, nomeadamente patentes, marcas, desenhos e modelos registados, logótipos e nomes, estão excluídos da política de reutilização do TCE, não sendo permitido reutilizá‑los.

O conjunto de sítios Web institucionais da União Europeia, no domínio europa.eu, disponibiliza ligações a sítios de terceiros. Uma vez que o TCE não controla esses sítios, recomenda que se consultem as respetivas políticas em matéria de proteção da privacidade e direitos de autor.

Utilização do logótipo do Tribunal de Contas Europeu

O logótipo do Tribunal de Contas Europeu não pode ser utilizado sem o seu consentimento prévio.

CONTACTAR A UE

Pessoalmente

Em toda a União Europeia há centenas de centros de informação Europe Direct. Pode encontrar o endereço do centro mais próximo em: https://europa.eu/european-union/contact_pt

Telefone ou correio eletrónico

Europe Direct é um serviço que responde a perguntas sobre a União Europeia. Pode contactar este serviço:

• pelo telefone gratuito: 00 800 6 7 8 9 10 11 (alguns operadores podem cobrar estas chamadas),
• pelo telefone fixo: +32 22999696, ou
• por correio eletrónico, na página: https://europa.eu/european-union/contact_pt

ENCONTRAR INFORMAÇÕES SOBRE A UE

Em linha
Estão disponíveis informações sobre a União Europeia em todas as línguas oficiais no sítio Europa: https://europa.eu/european-union/index_pt

Publicações da UE
As publicações da UE, quer gratuitas quer pagas, podem ser descarregadas ou encomendadas no seguinte endereço: https://op.europa.eu/pt/publications. Pode obter exemplares múltiplos de publicações gratuitas contactando o serviço Europe Direct ou um centro de informação local (ver https://europa.eu/european-union/contact_pt).

Legislação da UE e documentos conexos
Para ter acesso à informação jurídica da UE, incluindo toda a legislação da UE desde 1951 em todas as versões linguísticas oficiais, visite o sítio EUR-Lex em: https://eur-lex.europa.eu

Dados abertos da UE
O Portal de Dados Abertos da União Europeia (https://data.europa.eu/pt) disponibiliza o acesso a conjuntos de dados da UE. Os dados podem ser utilizados e reutilizados gratuitamente para fins comerciais e não comerciais.