Utbyggnaden av 5G i EU: förseningar i nätutbyggnaden och säkerhetsproblem som fortfarande är olösta

Sammanfattning

I Den ”femte generationens” telekommunikationssystem, eller 5G, är en ny global trådlös standard som erbjuder en mycket högre datakapacitet och överföringshastighet. 5G-tjänster är nödvändiga för en lång rad innovativa tillämpningar som har potential att förändra många sektorer i våra ekonomier och förbättra medborgarnas dagliga liv. 5G är därför av strategisk betydelse för hela den inre marknaden.

II I sin handlingsplan för 5G från 2016 lade kommissionen fram målet att säkerställa oavbruten 5G-täckning i stadsområden och längs de viktigaste transportlederna senast 2025. I mars 2021 utvidgade den målet till att omfatta 5G-täckning av alla befolkade områden senast 2030.

III 5G har potential att skapa många tillväxtmöjligheter men medför även vissa risker. I sin rekommendation från 2019 om it-säkerheten i 5G-nät varnade kommissionen för att följderna av utbredda störningar kan bli särskilt allvarliga då många kritiska tjänster är beroende av 5G-näten. Dessutom gör hotens gränsöverskridande karaktär att alla betydande sårbarheter eller it-säkerhetsincidenter i en medlemsstat får följder för EU som helhet. Ett av utfallen av kommissionens rekommendation var EU:s verktygslåda för 5G-säkerhet som antogs i januari 2020.

IV Den totala kostnaden för 5G-utbyggnaden i hela EU kan komma att uppgå till 400 miljarder euro. Under perioden 2014–2020 har EU tillhandahållit finansiering på drygt 4 miljarder euro till 5G-projekt.

V Vi undersökte om kommissionen stödde medlemsstaterna på ett ändamålsenligt sätt i att uppnå EU:s mål i fråga om utbyggnaden av deras 5G-nät och att ta itu med säkerhetsbetänkligheter kring 5G på ett samordnat sätt. Vi undersökte aspekter som rörde både genomförandet av 5G-näten, där 2020 var ett viktigt år, och deras säkerhet. Målsättningen med denna rapport är att tillhandahålla insikter och rekommendationer för en snabb utbyggnad av säkra 5G-nät i alla EU-länder. Vår revision var inriktad på kommissionen, men vi undersökte även de nationella förvaltningarnas och andra aktörers roll.

VI Revisionen visade att medlemsstaternas utbyggnad av 5G-näten har försenats. Vid utgången av 2020 hade 23 medlemsstater lanserat kommersiella 5G-tjänster och uppnått det mellanliggande målet om minst en större stad med tillgång till 5G. Men alla medlemsstater hänvisar inte till EU:s mål för 2025 och 2030 i sina nationella 5G-strategier eller bredbandsplaner. I flera länder har dessutom den europeiska kodexen för elektronisk kommunikation ännu inte införlivats i den nationella lagstiftningen, och tilldelningen av 5G-spektrum har försenats. Förseningarna i tilldelningen av spektrum kan tillskrivas olika orsaker: svag efterfrågan från mobilnätsoperatörerna, problem när det gäller gränsöverskridande samordning med länder utanför EU:s östra gränser, inverkan av covid-19 på planeringen av auktioner samt osäkerhet kring hanteringen av säkerhetsfrågor. Medlemsstaterna släpar efter med genomförandet av 5G i sådan grad att EU:s mål riskerar att inte uppnås. Kommissionen har gett medlemsstater stöd för genomförandet av handlingsplanen för 5G från 2016 genom initiativ till såväl bindande som icke-bindande lagstiftning, vägledning och finansiering av 5G-relaterad forskning. Men kommissionen har inte tydligt definierat den förväntade kvaliteten på 5G-tjänsterna.

VII I EU:s verktygslåda för 5G-säkerhet specificeras ett antal strategiska, tekniska och stödjande åtgärder för att hantera säkerhetshot mot 5G-näten, och de relevanta aktörerna för var och en av åtgärderna identifieras. Flera åtgärder är inriktade på problemet med högriskleverantörer av 5G-utrustning. Verktygslådan har godkänts av kommissionen och Europeiska rådet. Verktygslådans kriterier bildar en operativ ram som kan användas för att bedöma leverantörers riskprofil på ett samordnat sätt i alla medlemsstater. Samtidigt är det fortfarande ett nationellt ansvar att göra den bedömningen. Verktygslådan antogs i ett tidigt skede av 5G-utbyggnaden, men ett antal mobilnätsoperatörer hade redan valt leverantörer. Sedan verktygslådan antogs har framsteg gjorts för att öka säkerheten i 5G-näten genom att en majoritet av medlemsstaterna tillämpar eller håller på att införa begränsningar för högriskleverantörer. Under de kommande åren kan lagstiftning om 5G-säkerhet som antas av medlemsstaterna baserat på verktygslådan leda till mer samstämmiga strategier gentemot 5G-leverantörer med hög risk. Men eftersom ingen av de åtgärder som lagts fram är rättsligt bindande har kommissionen ingen befogenhet att verkställa dem. Därför finns det fortfarande risk att verktygslådan i sig inte kan garantera att medlemsstaterna hanterar nätens säkerhetsaspekter på ett samordnat sätt.

VIII Kommissionen har börjat ta upp frågan om utländska subventioner till 5G-leverantörer, vilka kan ha vissa konsekvenser för säkerheten. Kommissionen har inte tillräcklig information om medlemsstaternas hantering av eventuella kostnader som kan uppstå om mobilnätsoperatörer tvingas byta ut utrustning från högriskleverantörer i EU:s nät utan någon övergångsperiod.

IX Vi rekommenderar kommissionen att

• främja en jämn och snabb utbyggnad av 5G-näten inom EU,
• främja en samordnad strategi för 5G-säkerhet bland medlemsstaterna,
• övervaka medlemsstaternas strategier för 5G-säkerhet och bedöma hur olikheterna påverkar den inre marknadens funktion.

Inledning

5G – dess natur och betydelse

01 Den ”femte generationens” telekommunikationssystem, eller 5G, är en ny global trådlös standard. Jämfört med 3G- och 4G-näten erbjuder 5G en mycket högre datakapacitet och överföringshastighet. 5G omfattar vissa nätelement som bygger på tidigare generationer av mobil och trådlös kommunikationsteknik, men det handlar inte bara om en vidareutveckling av dessa nät. 5G ger universell ultrahög bandbredd och låglatent anslutning för enskilda användare och anslutna enheter.

02 Fler enheter än någonsin tidigare kommer att anslutas till ”sakernas internet”. I slutet av 2018 användes uppskattningsvis 22 miljarder anslutna enheter världen över. Denna siffra förväntas öka till omkring 50 miljarder fram till 2030¹ och skapa ett massivt nät av sammankopplade enheter med allt från smarttelefoner till köksapparater. Den globala dataförbrukningen förväntas öka från tolv exabyte mobil datatrafik per månad 2017² till över 5 000 exabyte 2030³.

03 5G-tjänster är nödvändiga för en lång rad innovativa tillämpningar som har potential att förändra många sektorer i EU:s ekonomi och förbättra medborgarnas dagliga liv (se figur 1). En studie som genomfördes för kommissionens räkning 2017 visade att införandet av 5G i fyra viktiga strategiska industrisektorer (fordon, hälsa, transport och energi) kan ge en vinst på upp till 113 miljarder euro per år⁴. Studien antydde också att genomförandet av 5G skulle kunna skapa 2,3 miljoner arbetstillfällen i medlemsstaterna. I en studie från 2021 uppskattade man att 5G mellan 2021 och 2025 skulle öka EU:s BNP för perioden med upp till 1 biljon euro, med potential att skapa eller förändra upp till 20 miljoner arbetstillfällen inom alla sektorer av ekonomin⁵.

Säkerhetsbetänkligheter

04 5G har potential att skapa många tillväxtmöjligheter men medför även vissa risker (se bilaga I för en översikt över de viktigaste möjligheterna och riskerna med 5G). En sådan risk är säkerhetshot. För telekommunikationssystem har det alltid funnits risk för it-angrepp (se bilaga I)⁶. Säkerhetsfrågorna är ett särskilt bekymmer när det gäller 5G eftersom 5G har en större attackyta än 3G- eller 4G-telekommunikationssystem på grund av teknikens karaktär och i synnerhet dess beroende av programvara⁷.

05 Eftersom 5G-näten förväntas bli ryggraden i många olika tjänster och tillämpningar kommer tillgången till dessa nät att bli en stor nationell och europeisk utmaning ur säkerhetssynpunkt. Om hackare lyckas tränga in i ett 5G-nät kan de kompromettera dess centrala funktioner för att störa tjänster eller ta kontroll över kritisk infrastruktur (till exempel elnät), som i EU ofta har en gränsöverskridande dimension. Studier har uppskattat att den ekonomiska effekten av it-brottslighet kan uppgå till så mycket som 5 000 miljarder euro per år i hela världen, vilket är mer än 6 % av den globala BNP:n 2020⁸.

06 En annan säkerhetsutmaning i samband med 5G är den avgörande roll som ett begränsat antal leverantörer har när det gäller att bygga och driva 5G-nät. Det ökar exponeringen för eventuella leveransavbrott när det finns ett beroende av en enskild leverantör – särskilt om denna är förknippad med hög risk – till exempel om leverantören utsätts för inblandning från ett land utanför EU. Under 2019 pekade samarbetsgruppen för nätverks- och informationssäkerhet (som består av företrädare för medlemsstaterna och EU-organ) på risken för att ”aktörer från fientliga stater” kan skaffa sig en enkel åtkomstpunkt till ett 5G-nät genom att ha privilegierad åtkomst, utöva påtryckningar på en leverantör eller åberopa nationella rättsliga krav⁹ (se ruta 1). Det är mot denna bakgrund som EU börjat utveckla initiativ när det gäller 5G-säkerhet.

07 Konfidentialiteten och integriteten kan också hotas eftersom teleoperatörer ofta kontrakterar ut sina data till datacentraler. Det finns risk att data lagras på 5G-leverantörers utrustning i länder utanför EU med andra nivåer av rättsligt skydd och dataskydd än inom EU.

5G-initiativ på EU-nivå

08 Den politiska ramen för 5G och 5G-säkerhet består av både bindande lagstiftning, som är rättsligt bindande och verkställbar (till exempel förordningar), och icke-bindande lagstiftning (till exempel kommissionens meddelanden). I bilaga III presenteras den rättsliga och politiska ramen. Figur 2 visar de viktigaste policydokumenten tillsammans med de viktigaste målen.

Roller och ansvarsområden

09 Mobilnätsoperatörerna ansvarar för en säker utbyggnad av 5G med hjälp av utrustning från teknikleverantörerna, och medlemsstaterna ansvarar för den nationella säkerheten, men säkerheten i 5G-näten är en fråga av strategisk betydelse för hela den inre marknaden och EU:s tekniska suveränitet¹². Kommissionen och EU-byråerna stöder och samordnar följaktligen medlemsstaternas åtgärder när det gäller 5G-nätens tekniska och säkerhetsrelaterade aspekter.

10 I tabell 1 ges ytterligare förklaringar av de viktigaste rollerna och ansvarsområdena för 5G-nät.

Kostnad för 5G-utbyggnaden och EU:s ekonomiska stöd till detta

Den totala kostnaden för utbyggnaden av 5G i alla medlemsstaterna kan komma att uppgå till 400 miljarder euro

11 År 2021 uppskattades den totala kostnaden för utbyggnaden av 5G i alla EU-medlemsstater fram till 2025 till mellan 281 miljarder euro och 391 miljarder euro, jämnt fördelat mellan byggande av ny 5G-infrastruktur och uppgradering av fast infrastruktur till gigabithastigheter¹³. Huvuddelen av dessa investeringar måste finansieras av mobilnätsoperatörerna.

Under perioden 2014–2020 stödde EU utvecklingen av 5G med drygt 4 miljarder euro

12 Under perioden 2014–2020 stödde EU utvecklingen av 5G med drygt 4 miljarder euro, både direkt via EU-budgeten och genom finansiering från Europeiska investeringsbanken (EIB). De projekt som finansierades genom EU-budgeten gällde uteslutande forskning, medan stödet via EIB gick till både forskning och utbyggnad.

13 EIB har varit den största tillhandahållaren av EU-finansiering för 5G-relaterade projekt. Fram till augusti 2021 hade EIB tillhandahållit lån på totalt 2,5 miljarder euro till nio 5G-projekt i fem medlemsstater¹⁴. Dessutom ställdes 1,9 miljarder euro till förfogande från EU:s budget under perioden 2014–2020. I tabell 2 sammanfattas de viktigaste källorna till EU:s ekonomiska stöd för 5G.

14 Efsi (som förvaltas av EIB) stödde två projekt som syftade till att förtäta nätet av basstationer, eller ”celler”, och främja standardisering. Den totala investeringskostnaden för projekten uppgick till 3,9 miljarder euro, inklusive en finansiering på 1 miljard euro från Efsi (se bilaga IV).

15 Sedan 2014 har kommissionen även direkt medfinansierat mer än 100 5G-projekt, genom Horisont 2020-finansiering och i mindre utsträckning Eruf. I bilaga V ges exempel på sådana projekt.

Faciliteten för återhämtning och resiliens kommer att tillhandahålla ytterligare EU-finansiering för utbyggnad av 5G under de kommande åren

16 Faciliteten för återhämtning och resiliens kommer att utgöra en kompletterande finansieringskälla för utbyggnaden av 5G under de kommande åren. I september 2021 planerade 16 medlemsstater att finansiera utbyggnad av 5G genom faciliteten, och tio hade beslutat att inte göra det. Från den sista medlemsstaten fanns ännu ingen tillgänglig information.

Revisionens inriktning och omfattning samt revisionsmetod

17 I denna revision bedömde vi om kommissionen stöder medlemsstaterna på ett ändamålsenligt sätt i att

• uppnå EU:s mål för 2025 och 2030 i fråga om utbyggnaden av deras 5G-nät,
• ta itu med säkerhetsbetänkligheter kring 5G på ett samordnat sätt.

På båda dessa områden undersökte vi också medlemsstaternas åtgärder och verksamheter.

18 Med ”5G-säkerhet” avser vi it-säkerhet och säkerhet för maskinvara och programvara. Vi undersökte både säkerheten i och genomförandet av 5G-näten, där 2020 var ett viktigt år (se figur 2). Målsättningen med vår rapport är att tillhandahålla insikter och rekommendationer för en snabb utbyggnad av säkra 5G-nät i EU.

19 Vår revision omfattar perioden mellan 2016 och maj 2021. Så långt det var möjligt inkluderade vi ytterligare aktuell information. I vårt revisionsarbete

• granskade vi EU:s lagstiftning, kommissionens initiativ och annan relevant dokumentation,
• intervjuade vi företrädare för kommissionen, EIB, Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec), Europeiska unionens cybersäkerhetsbyrå (Enisa), telekommunikationsföreningar, mobilnätsoperatörer, 5G-leverantörer, internationella organisationer samt experter inom området, för att samla in insikter, liksom myndigheter i Finland, Tyskland, Polen och Spanien; medlemsstaterna valdes ut baserat på kriterier såsom mängden EU-medel som avsatts för 5G-projekt och utbyggnadens status samt med beaktande av en geografisk balans,
• bad vi EU:s alla 27 nationella tillsynsmyndigheter för telekommunikation att svara på en enkät för att skaffa oss ett bredare perspektiv på 5G-utmaningarna i medlemsstaterna,
• granskade vi tio EU-medfinansierade projekt (Efsi, Eruf och Horisont 2020) med anknytning till 5G, vilka valdes ut för illustrativa ändamål.

20 Vi utgick även från vår nyligen utkomna översikt om EU:s svar på Kinas statligt styrda investeringsstrategi¹⁵ samt från andra rapporter om exempelvis bredband¹⁶, initiativet för digitalisering av den europeiska industrin¹⁷ och EU:s cybersäkerhetspolitik¹⁸.

Iakttagelser

Förseningar i utbyggnaden av 5G-näten äventyrar uppnåendet av EU:s mål för 2025 och 2030

21 När det gäller en snabb utbyggnad av 5G-näten undersökte vi om

• medlemsstaterna är på rätt spår i utbyggnaden av 5G,
• kommissionen har gett medlemsstaterna lämpligt stöd,
• medlemsstaterna har undanröjt de viktigaste hindren för en snabb utbyggnad av 5G-näten.

Medlemsstaterna släpar efter med genomförandet av 5G

Kommissionen fastställde tidsfrister för utbyggnaden av 5G-nät i sin handlingsplan för 5G från 2016

22 I sin handlingsplan för 5G från 2016 föreslog kommissionen tidsfrister för utbyggnaden av 5G-näten i EU: medlemsstaterna skulle ha lanserat tidiga 5G-nät före utgången av 2018, infört fullständiga kommersiella 5G-tjänster i minst en större stad före utgången av 2020 och säkerställt oavbruten 5G-täckning i stadsområden och längs de viktigaste transportlederna senast 2025.

23 I mars 2021 lade kommissionen till ytterligare en tidsfrist för 5G-täckning av alla befolkade områden senast 2030¹⁹.

23 medlemsstater lanserade kommersiella 5G-tjänster före slutet av 2020

24 Fram till utgången av 2020 hade 23 medlemsstater uppnått målet om minst en större stad med tillgång till 5G-tjänster. Det var bara Cypern, Litauen, Malta och Portugal som inte uppfyllde detta mål. I slutet av oktober 2021 var det endast Litauen och Portugal som fortfarande inte hade några 5G-tjänster i någon av sina städer.

Det finns risk för att de flesta medlemsstaterna kommer att missa tidsfristerna för 2025 och 2030

25 Enligt en färsk studie från kommissionen kommer sannolikt endast elva medlemsstater att uppnå en oavbruten 5G-täckning i alla sina stadsområden och längs större marktransportleder senast 2025²⁰. För de återstående 16 medlemsstaterna anser kommissionen att sannolikheten att detta mål uppnås är antingen medelhög (Österrike, Tjeckien, Estland, Tyskland, Irland, Polen, Litauen och Slovenien) eller låg (Belgien, Bulgarien, Kroatien, Cypern och Grekland).

26 År 2021 noterade branschorganisationen Global System for Mobile Communications Association (GSMA) att utbyggnaden av 5G inte håller samma takt i EU som i andra delar av världen. Organisationen uppskattade till exempel att 51 % av all mobil anslutning i Nordamerika kommer att vara baserad på 5G år 2025, men i Europa (vilket även inkluderar länder utanför EU) förväntas motsvarande andel uppgå till endast 35 % (se figur 3).

27 Med den nuvarande utbyggnadstakten är risken stor att de flesta medlemsstaterna kommer att missa tidsfristen 2025 och således även tidsfristen 2030 för täckning av alla befolkade områden. Mot denna bakgrund undersökte vi om kommissionen har stött medlemsstaterna på ett ändamålsenligt sätt för att uppnå EU:s 5G-mål fram till 2025 och 2030 när det gäller utbyggnaden av deras 5G-nät.

Vissa brister i kommissionens stöd till medlemsstaterna

Kommissionen har inte fastställt den förväntade tjänstekvaliteten för 5G-näten

28 Hittills har kommissionen inte fastställt den förväntade tjänstekvaliteten för 5G-näten, såsom lägsta hastighet och maximal latens. Vidare uppmanades medlemsstaterna i handlingsplanen från 2016 att lansera ”fullständiga kommersiella” 5G-tjänster i Europa före utgången av 2020, dock utan att dessa kvalitetsrelaterade begrepp definierades.

29 Bristen på tydlighet i fråga om förväntad tjänstekvalitet skapar en risk för att medlemsstaterna tolkar dessa begrepp olika. Vi har noterat exempel på olika strategier för utbyggnad av 5G mellan medlemsstaterna (se ruta 2).

30 Om denna situation kvarstår kan den leda till ojämlikheter i tillgången till och kvaliteten på 5G-tjänsterna i EU (en ”digital klyfta”) där människor i vissa delar av EU har bättre tillgång till och bättre tjänstekvalitet på 5G än andra. Denna digitala klyfta skulle även kunna påverka potentialen för ekonomisk utveckling, eftersom tillräcklig 5G-prestanda är en förutsättning för att 5G ska kunna revolutionera sektorer som hälso- och sjukvård, utbildning och arbetskraften.

31 Klarhet om 5G-nätens förväntade prestanda behövs också mot bakgrund av kommissionens initiativ att kräva ökad öppenhet om den tjänstekvalitet som mobilnätsoperatörerna tillhandahåller för roaming, där kommissionen nyligen har lagt fram ett lagstiftningsförslag²².

Kommissionens kvartalsvisa rapportering om utbyggnaden av 5G inte alltid tillförlitlig

32 Kommissionen övervakar nivån av 5G-utbyggnad i medlemsstaterna genom 5G Observatory. Detta observationsorgan ger kvartalsvis information om utbyggnaden av 5G och om medlemsstaternas 5G-strategier. Vi fann dock att uppgifterna i dessa rapporter inte alltid var tillförlitliga för två av de fyra länder vi granskade. I kvartalsrapport 10, som innehåller information om perioden fram till slutet av december 2020, angavs till exempel ett mycket lägre antal kommuner med 5G i Finland än den faktiska siffran (40 i stället för 70), och den innehöll ingen information om att spektrumauktioner för 5G hade skjutits upp i Polen (se punkt 42).

Kommissionen utnyttjade först nyligen processen för den europeiska planeringsterminen för att övervaka medlemsstaternas framsteg i utbyggnaden av 5G-näten

33 Vi fann att kommissionen under de senaste två åren har utnyttjat den europeiska planeringsterminen i större utsträckning för att uppmuntra medlemsstaterna till att göra framsteg i utbyggnaden av 5G-näten. De landsspecifika rekommendationerna med direkt relevans för 5G ökade från att vara riktade till två medlemsstater 2019 till sju medlemsstater 2020 (se figur 4).

Medlemsstaterna måste fortfarande undanröja viktiga hinder för en snabb utbyggnad av 5G-näten

34 För att uppnå EU:s mål för 2025 och 2030 när det gäller utbyggnaden av 5G måste medlemsstaterna bli klara med tre viktiga byggstenar: en strategisk, genom att säkerställa att deras nationella 5G-strategier eller bredbandsplaner återspeglar dessa mål²³, en legislativ, genom att införliva 2018 års europeiska kodex för elektronisk kommunikation²⁴, och en företagsinriktad, genom att tilldela spektrumet²⁵. I tabell 3 ges en översikt över medlemsstaternas framsteg mot dessa tre delmål.

Få medlemsstater har inkluderat utbyggnadsmålen för 2025 och 2030 i sina nationella 5G-strategier

35 Medlemsstaterna fastställer sin 5G-politik genom särskilda nationella 5G-strategier eller genom att uppdatera sina befintliga nationella bredbandsplaner. I kommissionens studie från 2021 om nationella bredbandsplaner²⁶ konstaterar man att endast 14 medlemsstater har inkluderat EU:s mål att ha en oavbruten 5G-täckning för alla stadsområden och större marktransportleder senast 2025 i sina nationella 5G-strategier eller uppdaterade nationella bredbandsplaner (se tabell 3). En sådan inkludering är avgörande för att stödja ett framgångsrikt genomförande av politiken.

De flesta medlemsstaterna hade inte införlivat direktivet om en europeisk kodex för elektronisk kommunikation före utgången av 2020

36 Den europeiska kodexen för elektronisk kommunikation – ett direktiv som fastställer de nationella tillsynsmyndigheternas och andra behöriga myndigheters uppgifter samt tidsfrister för tilldelningen av pionjärband för 5G – skulle ha införlivats av medlemsstaterna senast den 21 december 2020. I slutet av februari 2021 hade endast tre medlemsstater (Finland, Grekland och Ungern) förklarat att de hade vidtagit alla nödvändiga åtgärder för att införliva direktivet. Kommissionen inledde följaktligen överträdelseförfaranden mot de återstående 24 medlemsstaterna²⁷.

37 I slutet av november 2021 pågick 23 överträdelseförfaranden fortfarande. För sex medlemsstater förväntas kommissionen avsluta överträdelseförfarandena inom kort (Österrike, Bulgarien, Tjeckien, Frankrike, Tyskland och Malta), men när det gäller de övriga 17 medlemsstaterna kan kommissionen bli tvungen att väcka talan mot dem i EU-domstolen²⁸ (se tabell 3).

Tilldelningen av pionjärband för 5G släpar efter

38 År 2016 identifierade kommissionen och medlemsstaterna tre pionjärband som skulle användas för 5G-tjänster:

• 700 MHz-bandspektrumet som gör det lättare för trådlösa signaler att tränga igenom byggnader och gör att operatörerna kan tillhandahålla en bredare täckning (hundratals kvadratkilometer). När det gäller hastighet och latens innebär 5G-nätet dock bara en liten förbättring jämfört med 4G (från 150 till 250 megabit per sekund).
• Mellanbandsspektrumet vid 3,6 GHz som kan bära betydande mängder data (upp till 900 megabit per sekund) över betydande avstånd (flera kilometers radie).
• Högbandsspektrumet vid 26 GHz som kan ge snabba hastigheter på mellan 1 och 3 gigabit per sekund över korta avstånd (dvs. mindre än 2 km) men är känsligare för störningar.

39 Medlemsstaterna skulle frigöra lågbandsspektrumet för användning senast den 30 juni 2020²⁹ och sedan mellan- och högbandsspektrumen senast den 31 december 2020³⁰. I slutet av 2020 hade medlemsstaterna dock tilldelat mindre än 40 % av de totala tillgängliga pionjärbanden (se tabell 4):

• 700 MHz-bandet var tilldelat i 13 medlemsstater.
• 3,6 GHz-bandet var tilldelat i 17 medlemsstater (inklusive två medlemsstater som hade beviljat preliminär användning).
• 26 GHz-bandet var tilldelat i fyra medlemsstater.

I slutet av oktober 2021 hade tilldelningsgraden ökat till 53 %³¹.

Förseningar i tilldelningen av pionjärband av en rad olika skäl

40 Vi fann att förseningarna i tilldelningen av 26 GHz-bandet främst beror på en svag efterfrågan från mobilnätsoperatörer. I Spanien är till exempel totalt 1,5 GHz av 26 GHz-bandet tillgängligt för 5G-användning. Det har dock ännu inte tilldelats till operatörerna eftersom det inte finns någon efterfrågan på det, enligt ett offentligt samråd som avslutades i juli 2019. Ett nytt offentligt samråd planeras i slutet av 2021 med utsikten att auktionera ut bandet under andra kvartalet 2022. Även mobilnätsoperatörer i Finland noterade att det ännu inte finns särskilt mycket intresse eller affärsnytta för 26 GHz-bandet.

41 Problem när det gäller gränsöverskridande samordning med länder utanför EU längs de östra gränserna (Vitryssland, Ryssland och Ukraina) har också bidragit till förseningar i tilldelningen av 5G-spektrum. Dessa länder utanför EU använder enligt gällande internationella avtal 700 MHz-bandet för tv-sändningar och 3,6 GHz-bandet för militära satellittjänster. Problemet berör främst de baltiska länderna (Estland, Lettland och Litauen) och Polen. Enligt kommissionen har vissa framsteg gjorts med Ukraina och Vitryssland, som beräknas frigöra 700 MHz-bandet i slutet av 2022. Bilaterala samtal med Ryssland har ännu inte lett till några framsteg. Mot bakgrund av denna situation har Estland och Polen begärt ett undantag från tidsfristerna för tilldelningen av 700 MHz-bandet fram till mitten av 2022.

42 I Polen och Spanien har dessutom 5G-spektrumauktionerna skjutits upp under covid-19-pandemin (se ruta 3).

43 Ytterligare en orsak till den försenade tilldelningen av pionjärbanden för 5G är att medlemsstaterna har olika strategier för 5G-säkerhet och är sena med att anta sina lagar för 5G-säkerhet, vilket skapar osäkerhet för företagen (se punkterna 74 och 75):

• I Spanien innehöll reglerna för pionjärbandsauktionen en allmän klausul om att innehavare av offentliga koncessioner måste uppfylla alla säkerhetskrav för 5G-nät som fastställs när som helst i framtiden enligt de europeiska eller spanska bestämmelserna. Den spanska mobilnätsoperatören som vi intervjuade ansåg att denna klausul innebar att man blev tvungen att fatta beslut om strategier och köp under osäkra förhållanden. Operatören påpekade även att de nationella myndigheterna inte ville klargöra vissa avgörande förhållanden, såsom möjligheten till ersättning om den framtida lagstiftning som enligt plan ska antas i slutet av 2022 kräver att de byter ut sin utrustning.
• I Polen var ett av de skäl som angavs för att skjuta upp tilldelningen av 5G-spektrumen att man behövde vänta på en lag som klargör säkerhetskraven för 5G-nät.

Ytterligare ansträngningar krävs för att lösa säkerhetsfrågor i samband med 5G-utbyggnaden

44 När det gäller säkerhetsaspekterna av 5G undersökte vi om

• kommissionen har vidtagit de åtgärder som krävs för att främja en sund utformning av säkerhetsramen och tillhandahållit lämpligt stöd till medlemsstaterna,
• medlemsstaterna genomför säkra 5G-nät på ett samordnat sätt genom att anta de begränsningsåtgärder som ingår i EU:s verktygslåda för 5G-säkerhet och uppdatera sin lagstiftning.

Kommissionen reagerade snabbt när 5G-säkerheten blev en viktig fråga på EU-nivå

45 Handlingsplanen för 5G från 2016 innehåller inga säkerhetsöverväganden. Säkerheten i 5G-näten och det faktum att man i alltför stor utsträckning är beroende av leverantörer från tredjeländer, i synnerhet Kina, identifierades som en kritisk fråga i mars 2019. I sin resolution av den 12 mars 2019³² uttryckte Europaparlamentet farhågor om 5G-leverantörer från länder utanför EU som skulle kunna innebära en säkerhetsrisk för EU till följd av lagstiftningen i sina ursprungsländer. Samma dag betonade kommissionen i sitt meddelande om en strategisk hållning i förbindelserna mellan EU och Kina att det behövs en gemensam EU-hållning till 5G-nätens säkerhet för att motverka potentiella allvarliga säkerhetsrisker för kritisk digital infrastruktur³³. I sina slutsatser av den 21 och 22 mars 2019 uppmanade Europeiska rådet kommissionen att utfärda en rekommendation om en samordnad strategi i fråga om 5G-nätens säkerhet³⁴.

46 Några dagar senare utfärdade kommissionen en sådan rekommendation med en uppsättning åtgärder både på nationell nivå (till exempel riskbedömning om 5G) och EU-nivå (till exempel samordnad riskbedömning) i syfte att säkerställa en hög it-säkerhetsnivå i 5G-nät i hela EU³⁵.

47 Nästan alla medlemsstater hade slutfört sina nationella riskbedömningar inom tidsfristen fram till juli 2019³⁶. I oktober 2019 utfärdade samarbetsgruppen för nät- och informationssäkerhet en rapport om EU:s samordnade riskbedömning av it-säkerheten i 5G-nät, och i januari 2020 antog gruppen EU:s verktygslåda för 5G-säkerhet³⁷ (se bilaga VII) som kort därefter godkändes av kommissionen och Europeiska rådet³⁸.

I EU:s verktygslåda för 5G-säkerhet från 2020 fastställdes för första gången åtgärder för att hantera säkerhetshot på EU-nivå, men inte av föreskrivande karaktär

Att hantera 5G-nätens säkerhet som en nationell säkerhetsbefogenhet begränsar kommissionens handlingsutrymme

48 I EU-fördragen³⁹ fastställs möjligheterna att vidta åtgärder för att hantera utmaningar såsom utbyggnaden av säkra 5G-nät på EU-nivå. Omfattningen är brett definierad och ger kommissionen och medlemsstaterna utrymme för tolkningar (se ruta 4).

49 Säkerheten i 5G-näten är en fråga som faller inom såväl medlemsstaternas som EU:s behörighet och berör nationell säkerhet. Kommissionen har hanterat 5G-nätens säkerhet som hot mot den nationella säkerheten och har därför valt alternativet med icke-bindande åtgärder. Det innebär att EU inte kan anta rättsligt bindande åtgärder som skulle tvinga medlemsstaterna att tillämpa enhetliga riskreducerande åtgärder eller genomföra verkställbara krav. I stället kan kommissionen utfärda icke-bindande rekommendationer och meddelanden, hjälpa till att sprida bästa praxis och samordna medlemsstaternas nationella åtgärder. En annan strategi är dock möjlig. Ett sådant exempel är NIS-direktivet⁴⁰, som är en EU-rättsakt om säkerheten i nätverks- och informationssystem i hela unionen. Denna rättsakt föreslogs av kommissionen och antogs med den inre marknaden som rättslig grund, trots att it-säkerhet i stor utsträckning är en nationell befogenhet⁴¹.

EU:s verktygslåda för 5G-säkerhet antogs i ett tidigt skede av utbyggnaden, men några mobilnätsoperatörer hade redan valt leverantörer

50 I januari 2020 antog samarbetsgruppen för nät- och informationssäkerhet en EU-verktygslåda för 5G-säkerhet som specificerar ett antal strategiska, tekniska och stödjande åtgärder för att hantera säkerhetshot mot 5G-näten och identifierar de relevanta aktörerna för var och en av åtgärderna. Verktygslådan, som har godkänts av kommissionen och Europeiska rådet, antogs endast nio månader efter det att Europaparlamentet och rådet hade uttryckt sin oro över 5G-säkerheten för första gången. Mer nyligen har EU:s verktygslåda för 5G-säkerhet omnämnts i den nya europeiska strategin för att främja smarta, rena och säkra förbindelser inom digital teknik runt om i världen, som ett vägledande verktyg för investeringar i digital infrastruktur⁴². Kommissionens icke-bindande strategi bidrog till att åtgärder vidtogs snabbt för att hantera säkerhetshot även på EU-nivå och underlätta medlemsstaternas samarbete i denna gränsöverskridande fråga. Som jämförelse tog det för NIS-direktivet mer än tre år från kommissionens förslag⁴³ till antagandet⁴⁴ och för direktivet om en europeisk kodex för elektronisk kommunikation över två år⁴⁵. Ännu mer tid behövdes för att införliva direktiven i medlemsstaternas nationella rättssystem (se även punkterna 36 och 37).

51 EU:s verktygslåda för 5G-säkerhet antogs fyra år efter att 5G-politiken hade presenterats i handlingsplanen för 5G och samma år som mellanliggande milstolpar för utbyggnaden skulle ha uppnåtts enligt handlingsplanen. I detta sammanhang ansåg de företrädare för medlemsstaternas ministerier, nationella tillsynsmyndigheter och mobilnätsoperatörer som intervjuades för denna revision att åtgärderna för säkerhetsaspekterna i 5G inleddes för sent.

52 Samtidigt offentliggjordes verktygslådan när utbyggnaden och planerna för 5G fortfarande befann sig i ett tidigt skede i de flesta medlemsstaterna. Merparten av kontrakten mellan leverantörer och operatörer av 5G-utrustning slöts under 2020 och 2021. Men enligt Europeiska sammanslutningen för publika telenätoperatörer (ETNO) hade ett antal mobilnätsoperatörer redan valt leverantörer när EU:s verktygslåda för 5G-säkerhet blev tillgänglig.

EU:s verktygslåda för 5G-säkerhet tillhandahöll en ram för att bedöma leverantörers riskprofil, men brister kvarstod

Några medlemsstater och nationella myndigheter anser att vissa av kriterierna som används för att klassificera högriskleverantörer inte är tillräckligt tydliga

53 En viktig faktor i EU:s verktygslåda för 5G-säkerhet är att medlemsstaterna måste bedöma leverantörerna och, när det gäller viktiga tillgångar som fastställts som kritiska, tillämpa begränsningar för de leverantörer som anses förknippade med hög risk. Medlemsstaterna bör göra denna bedömning på grundval av en icke uttömmande lista med kriterier som hämtas från EU:s samordnade riskbedömning. Sådana kriterier är till exempel följande:

• Sannolikheten att en leverantör utsätts för inblandning från ett land utanför EU, till exempel genom att det finns en stark koppling mellan leverantören och regeringen i ett land utanför EU eller genom landets lagstiftning, i synnerhet om det inte finns några rättsliga eller demokratiska kontroller och motvikter, eller om det saknas säkerhets- eller dataskyddsavtal mellan EU och det berörda landet.
• Leverantörens förmåga att säkerställa tillgången.
• Den övergripande kvaliteten på leverantörens produkter och it-säkerhetspraxis.

54 Verktygslådan har tagits fram för att undvika fragmentering och främja enhetlighet på den inre marknaden. Verktygslådans kriterier bildar en operativ ram som kan användas för att bedöma leverantörers riskprofil på ett samordnat sätt i alla medlemsstater. Den gjorde också att kommissionen tillsammans med medlemsstaterna kunde reagera snabbt på den växande oron kring 5G-säkerheten. Samtidigt är det fortfarande de nationella myndigheternas ansvar att tillämpa dessa kriterier när de bedömer vilka risker som är förknippade med specifika leverantörer. 13 medlemsstater hade i oktober 2021, med beaktande av denna ram, antagit eller ändrat sin lagstiftning om 5G-säkerhet (se punkt 75 och figur 6).

55 Men företrädarna för två av de fyra medlemsstatsministerier som vi intervjuade ansåg att några av kriterierna för klassificering av 5G-leverantörer ger utrymme för tolkning och skulle behöva förtydligas ytterligare. De ville också att kommissionen skulle tillhandahålla ytterligare stöd och vägledning i fråga om klassificeringen av högriskleverantörer. De företrädare för medlemsstaterna som vi intervjuade pekade också på att situationen skapade en risk för att medlemsstaterna skulle tillämpa olika strategier gentemot högriskleverantörer (se även punkterna 74 och 75 samt ruta 5). Elva av de nationella tillsynsmyndigheter som svarade på vår enkät, och vars engagemang i 5G-säkerheten låg på skiftande nivåer, uttryckte liknande farhågor.

5G-leverantörernas ursprungsland påverkar bedömningen av säkerhetsriskerna

56 5G-leverantörerna skiljer sig åt i fråga om företagsprofiler och kommer från länder med olika kopplingar till EU. I figur 5 visas några gemensamma drag och olikheter mellan de viktigaste 5G-leverantörerna och deras ursprungsländer, särskilt på områden som enligt verktygslådan sannolikt påverkar bedömningen av riskprofilen (se punkt 53).

57 En riskfaktor är i vilken grad en leverantörs ursprungsland uppfyller EU:s centrala politiska och ekonomiska värderingar. Landsspecifika faktorer såsom rättsstatsprincipen, rättsväsendets oberoende, öppenhet för utländska investeringar och förekomsten av dataskyddsavtal kan ses som ett mått på ett företags rättsliga skydd mot statlig inblandning och det skydd som företaget kan ge sina kunder.

58 De leverantörer som är baserade i EU:s medlemsstater är skyldiga att följa EU:s standarder och rättsliga krav, men så är inte fallet för sex av de största leverantörerna, vilka är baserade i länder utanför EU och verkar inom ramen för dessa tredjeländers lagstiftning (se figur 5). Sådana lagstiftningar kan skilja sig avsevärt från EU:s standarder, till exempel när det gäller skyddet av medborgarnas personuppgifter och ändamålsenligheten i detta skydd eller mer allmänt hur rättsväsendets oberoende garanteras genom lagstiftningsmässiga och/eller demokratiska kontroller och motvikter. När det gäller rättsväsendets oberoende har Förenta staterna och Japan bättre resultat än övriga icke EU-ursprungsländer för 5G-leverantörer, medan Sydkorea har bäst resultat i fråga om rättssäkerheten bland länderna utanför EU.

59 5G-näten drivs huvudsakligen av programvara. Det faktum att några leverantörer verkar inom ramen för icke EU-länders lagstiftning kan vara särskilt oroande om kontrollcentren för programvaran också är belägna utanför EU, vilket kan innebära att användare i EU omfattas av lagstiftning i länder utanför EU.

60 Kommissionen har börjat ta itu med dessa problem och anser att alla företag som tillhandahåller tjänster till EU:s medborgare bör respektera EU:s regler och värderingar⁴⁶. Den har inlett dialoger med flera länder för att säkerställa ett starkt integritetsskydd för personuppgifter⁴⁷. Figur 5 visar även att kommissionen redan har erkänt att Japans (och tidigare Förenta staternas) system har en adekvat skyddsnivå. Det bör dock noteras att besluten om adekvat skyddsnivå kan överklagas och omfattas av sträng rättslig kontroll. Till exempel avvisade EU-domstolen 2015 det då tillämpliga rättsliga instrumentet för datautbyte med Förenta staterna, Safe Harbour-systemet⁴⁸, och fastställde senare 2020 att Privacy Shield (som hade ersatt Safe Harbour-avtalet) inte gav EU-medborgarna tillräckligt skydd⁴⁹. Således finns det för närvarande inget beslut om adekvat skyddsnivå för Förenta staterna. Mer allmänt, och utöver förekomsten av ett dataskyddssystem, är det viktigt att ta hänsyn till den bredare rättsliga och institutionella ramen, inbegripet till exempel respekten för rättsstaten och på vilket sätt domstolsväsendets oberoende garanteras.

61 Figur 5 visar även på en betydande variation mellan 5G-leverantörerna när det gäller andelar av 5G-patenten, intäkter och antal anställda. Detta påverkar de resurser som står till deras förfogande, vilket i sin tur kan påverka deras motståndskraft och förmåga att garantera fortsatt tillgång. Samsung och Huawei är till exempel de leverantörer som har den högsta andelen av 5G-patenten och genererar de högsta intäkterna som företag samt har det högsta antalet anställda totalt.

62 Sannolikheten för att en leverantör kan utsättas för inblandning från regeringen i ett land utanför EU är en annan viktig faktor som i verktygslådan anges som avgörande för en leverantörs riskprofil. I detta sammanhang spelar ägarskapet en viktig roll, eftersom ägare med ett stort antal aktier kan utöva påtryckningar eller påverka ledningsbeslut. Dessutom anses privata eller statliga företag vara mindre öppna för offentlig granskning när det gäller revisioner och ansvarsskyldighet jämfört med börsnoterade bolag som under hela året omfattas av stränga informationskrav till förmån för allmänna investerare och tillsynsmyndigheter. De flesta 5G-leverantörerna är börsnoterade, antingen i sitt ursprungsland eller utomlands, medan de kinesiska leverantörerna är svårare att klassificera och i allmänhet uppfattas som nära knutna till den kinesiska regeringen⁵⁰.

Medlemsstaterna fann kommissionens och Enisas stöd användbart vid genomförandet av EU:s verktygslåda för 5G-säkerhet

63 Kommissionen gav medlemsstaterna stöd genom utbyte av bästa praxis i samband med vissa viktiga åtgärder i EU:s verktygslåda för 5G-säkerhet, bland annat om högriskleverantörer. Detta stöd, som ofta tillhandahölls inom ramen för samarbetsgruppen för nät- och informationssäkerhet, kompletterades med särskilda åtgärder från Enisa, som till exempel anordnade webbseminarier eller tillhandahöll vägledning om

• genomförandet av verktygslådan med fokus på de tekniska åtgärderna,
• bästa praxis för nätsäkerhet, särskilt när det gäller

• hotbilderna för 5G⁵¹,
• utarbetandet av nationella 5G-riskbedömningar,
• säkerhetsåtgärder enligt europeiska kodexen för elektronisk kommunikation⁵², inbegripet särskilda riktlinjer för 5G-säkerhet⁵³.

64 Kommissionen gav även Enisa i uppdrag att förbereda EU:s ordning för cybersäkerhetscertifiering för 5G-nät, som ska hjälpa till att hantera risker i samband med nätens tekniska sårbarheter och ytterligare förbättra it-säkerheten⁵⁴. Även om denna certifiering kan bidra till att förbättra säkerheten kan den inte förhindra att hot inbäddas i systemen genom programuppdateringar.

65 Alla de företrädare för medlemsstaternas myndigheter som vi intervjuade betonade nyttan av kommissionens och Enisas stöd för att genomföra EU:s verktygslåda för 5G-säkerhet. De flesta nationella tillsynsmyndigheter för telekommunikation (15 av 21) uppgav dessutom att kommissionen och/eller Enisa har stött nationella myndigheter i utbytet av bästa praxis för genomförande av de viktigaste strategiska åtgärderna.

EU:s verktygslåda för 5G-säkerhet antogs för sent för att kunna beaktas för EU-medfinansierade projekt under perioden 2014–2020

66 Ett av målen med EU:s verktygslåda för 5G-säkerhet är att säkerställa att EU-medfinansierade 5G-projekt tar hänsyn till it-säkerhetsrisker. Verktygslådan antogs dock först i januari 2020. Eftersom alla projekt som granskades för denna revision hade valts ut innan EU:s verktygslåda för 5G-säkerhet antogs kunde de inte förväntas ha följt den rekommenderade strategin för it-säkerhet, inklusive gentemot högriskleverantörer. I vårt urval identifierade vi till exempel ett Horisont 2020-projekt och två Eruf-projekt i Spanien med kinesisk 5G-utrustning som senare förbjöds i Sverige (se punkt 15).

67 För perioden 2021–2027 har kommissionen för avsikt att främja en enhetlig strategi för 5G-säkerhet för EU-medfinansierade projekt genom att säkerställa att överensstämmelse med verktygslådan är ett villkor för EU-finansiering. Detta kommer dock att variera beroende på genomförandet:

• När det gäller program som förvaltas direkt av kommissionen (t.ex. Horisont Europa 2021–2027) kommer man att kunna utesluta leverantörer som är föremål för inblandning från en regering i ett land utanför EU. Det kommer sannolikt att leda till att EU-finansierade projekt tar hänsyn till it-säkerhetsrisker och förhindra situationer där en leverantör som får medfinansiering i en medlemsstat anses förknippad med hög risk och utesluts i en annan.
• För program som genomförs inom ramen för delad förvaltning innehåller lagstiftningen inga krav om it-säkerhetsrisker. Kommissionen förespråkar därför att en hänvisning till EU:s verktygslåda införs i medlemsstaternas partnerskapsavtal för att man ska kunna ta hänsyn till it-säkerhetsrisker vid Eruf-finansiering av 5G-relaterade projekt.
• När det gäller InvestEU (det program som ersätter Efsi)⁵⁵ och faciliteten för återhämtning och resiliens planerar kommissionen att uppmuntra ansvariga organ att hänvisa till EU:s verktygslåda i finansieringsavtalen.

Medlemsstaterna hanterar ännu inte säkerhetsaspekterna på ett samordnat sätt vid utbyggnaden av 5G-nät

Informationen om hur medlemsstaterna hanterar säkerhetsfrågor är otillräcklig

68 Kommissionen spårar och rapporterar om framstegen i genomförandet av EU:s verktygslåda för 5G-säkerhet genom samarbetsgruppen för nät- och informationssäkerhet, bilaterala samtal med medlemsstater samt indirekt via medierna. De första resultaten av denna övervakning offentliggjordes i juli 2020⁵⁶. I december 2020 offentliggjorde kommissionen även en rapport om effekten av dess rekommendation om it-säkerheten i 5G-nät⁵⁷. I september 2021 var ingen ytterligare rapportering planerad.

69 De ovannämnda rapporterna saknar dock en gemensam uppsättning kritiska prestationsindikatorer och innehåller inte någon jämförbar uppsättning detaljerad information om hur medlemsstaterna hanterar säkerhetsbetänkligheter kring 5G.

70 Det finns heller inte mycket offentlig information om hur medlemsstaterna identifierar högriskleverantörer och huruvida de utesluter vissa leverantörer från att tillhandahålla 5G-utrustning, och den information som finns är motsägelsefull och ofullständig. Exempel på detta är följande:

• I sin rapport från juli 2020 om medlemsstaternas framsteg i genomförandet av EU:s verktygslåda (se punkt 68) framhöll kommissionen att omkring hälften av medlemsstaterna (14 av 27) hade bedömt leverantörernas riskprofil och tillämpade begränsningar för leverantörer som ansågs förknippade med hög risk.
• I en rapport från december 2020⁵⁸ angav Berec att endast nio medlemsstater hade infört sådana begränsningar och att sju av de övriga 18 medlemsstaterna inte hade för avsikt att genomföra sådana begränsningar i framtiden.

71 Även i fall där medlemsstaterna har antagit lagstiftning om säkerheten i 5G-nät (se även punkt 75) klargörs fortfarande inte medlemsstaternas strategi gentemot högriskleverantörer. Alla konkreta beslut fattas sannolikt endast genom genomförandeakter eller icke-offentliga administrativa eller kommersiella beslut.

72 Enligt de intressenter och beslutsfattare som vi intervjuade (till exempel vid Europaparlamentet) är den icke-offentliga informationen (till exempel genom rapporter från kommissionen eller gruppen för nät- och informationssäkerhet) om medlemsstaternas strategi gentemot högriskleverantörer också bristfällig, och dessa enheter måste förlita sig på medier och inofficiella källor.

73 Trots att säkerhetsbetänkligheter kring 5G är en fråga av gränsöverskridande karaktär finns det överlag inte mycket offentlig information om hur medlemsstaterna hanterar säkerhetsfrågor, i synnerhet frågan om högriskleverantörer. Detta hämmar kunskapsutbytet mellan medlemsstaterna och möjligheten att tillämpa samordnade åtgärder. Det begränsar även kommissionens möjlighet att föreslå förbättringar av säkerheten i 5G-näten.

Det finns indikationer på att några medlemsstater följer olikartade strategier gentemot 5G-leverantörer

74 Nationella myndigheter har ett stort utrymme för skönsmässig bedömning när de genomför viktiga åtgärder för 5G-säkerheten (se punkterna 48 och 49). Verktygslådan tar hänsyn till nationella behörigheter och relevanta landsspecifika faktorer (hotbedömningar från nationella säkerhetstjänster, tidsramar för 5G-utbyggnaden, närvaro av leverantörer och it-säkerhetskapacitet). Hittills har medlemsstaterna tillämpat olika strategier när det gäller användningen av utrustning från specifika leverantörer eller omfattningen av begränsningar för högriskleverantörer (se exempel från fyra medlemsstater i ruta 5).

75 Sedan verktygslådan antogs har framsteg gjorts för att öka säkerheten i 5G-näten genom att en majoritet av medlemsstaterna tillämpar eller håller på att införa begränsningar för högriskleverantörer. Vid utgången av 2021 hade 13 medlemsstater antagit eller ändrat nationella lagar om 5G-säkerhet. Dessa lagstiftningsåtgärder tar hänsyn till verktygslådans kriterier men följer olika strategier (se figur 6). Andra medlemsstater är på väg att lägga fram sådan lagstiftning. Under de kommande åren kan detta komma att leda till mer samstämmiga strategier gentemot 5G-leverantörer med hög risk, åtminstone bland de medlemsstater som har antagit sådan lagstiftning.

76 Hittills har kommissionen inte bedömt vilka effekter dessa olika strategier kan få om en medlemsstat bygger sina 5G-nät med utrustning från en leverantör som anses förknippad med hög risk i en annan medlemsstat. Detta skulle kunna inverka på såväl den gränsöverskridande säkerheten som konkurrensen mellan mobilnätsoperatörer på EU:s inre marknad.

Kommissionen har nyligen börjat ta upp frågan om utländska subventioner som snedvrider den inre marknaden

77 Fram till december 2020 kom mer än hälften av all 4G- och 5G-utrustning i EU från leverantörer från länder utanför EU (se figur 7).

78 I slutet av 2019 använde 286 miljoner kunder i EU‑27 (64 % av den totala befolkningen) telekommunikationsnät baserade på kinesiska leverantörers 4G-utrustning⁵⁹. I oktober 2020 uttryckte en grupp Europaparlamentsledamöter sin oro inför medlemsstaternas telekommunikations- och handelsministrar och kommissionen då de menade att ett av skälen till de kinesiska leverantörernas stora marknadsandel var att de åtnjöt en orättvis ekonomisk fördel, det vill säga att de erhållit offentliga subventioner som inte är tillgängliga för europeiska leverantörer enligt EU:s regler om statligt stöd⁶⁰. I en av våra översikter belyste vi nyligen liknande risker i detta avseende⁶¹. Sådana subventioner kan snedvrida den inre marknaden och därmed skapa ojämlika villkor för 5G-leverantörer, vilket kan få konsekvenser för säkerheten. För att tackla detta problem föreslog kommissionen i maj 2021 en ny förordning⁶², som fastställer förfaranden för att utreda sådana subventioner och gottgöra snedvridningar av marknaden.

Kommissionen har inte tillräcklig information om eventuella kostnader för att byta ut kinesiska leverantörers utrustning

79 Enligt en rapport från juni 2020⁶³ skulle en begränsning av en viktig leverantör av 5G-infrastruktur i EU öka de totala investeringskostnaderna med nästan 2,4 miljarder euro per år under det kommande årtiondet (dvs. 24 miljarder euro). Enligt en annan studie⁶⁴ står de europeiska operatörerna redan inför en uppgradering av de 4G-nät som byggdes mellan 2012 och 2016, eftersom det är normal affärspraxis att se över och modernisera nätutrustning som är mer än tre till fyra år gammal. I denna studie uppskattas den totala kostnaden för att byta ut uppgraderbar utrustning som köpts från kinesiska leverantörer sedan 2016 till omkring 3 miljarder euro.

80 Den höga andelen utrustning från kinesiska leverantörer, i kombination med deras eventuella kategorisering som högriskleverantörer i vissa medlemsstater, kan leda till kostnader på flera miljarder euro om mobilnätsoperatörer måste byta ut de kinesiska leverantörernas utrustning i europeiska nät utan övergångsperiod (se punkterna 77–79). I princip får inte statligt stöd beviljas för att kompensera operatörer för fullgörandet av rättsliga förpliktelser, om inte medlemsstaterna kan visa för kommissionen att vissa nödvändiga krav är uppfyllda (såsom en stimulanseffekt). I vår analys identifierade vi ett fall där nationell lagstiftning kan tillåta att kostnader för utbyte av utrustning stöds med nationella offentliga medel (se den finska lagen om tjänster inom elektronisk kommunikation⁶⁵). Medlemsstaterna är skyldiga att meddela kommissionen om eventuella fall där statligt stöd används för att kompensera mobilnätsoperatörer för sådana kostnader. Enligt kommissionen har inga medlemsstater eller intressenter hittills kontaktat dem för att diskutera statligt stöd till kostnader för utbyte av utrustning. Intressenter i branschen som vi intervjuade i samband med revisionen gjorde gällande att osäkerheten kring hur sådana kostnader kommer att hanteras av medlemsstaterna, och eventuella skillnader mellan medlemsstaterna, undergräver den affärsmässiga säkerheten och riskerar att försena 5G-utbyggnaden.

Slutsatser och rekommendationer

81 På det hela taget visade vår revision att det trots kommissionens stöd förekommer avsevärda förseningar i medlemsstaternas utbyggnad av 5G-näten och att ytterligare ansträngningar krävs för att lösa säkerhetsfrågor i samband med 5G-utbyggnaden.

82 I sin handlingsplan för 5G från 2016 efterlyste kommissionen 5G-täckning av alla stadsområden och längs de viktigaste transportlederna senast 2025, och i mars 2021 angavs målet att fullständig täckning skulle uppnås senast 2030. Vid utgången av 2020 hade 23 medlemsstater lanserat kommersiella 5G-tjänster och uppnått det mellanliggande målet att ha minst en större stad med tillgång till sådana tjänster. Vi konstaterade dock att inte alla medlemsstater hänvisar till kommissionens mål i sina nationella 5G-strategier eller bredbandsplaner. I flera länder har dessutom den europeiska kodexen för elektronisk kommunikation ännu inte införlivats i den nationella lagstiftningen, och tilldelningen av 5G-spektrum var försenad. Förseningarna i tilldelningen av spektrum kan tillskrivas olika orsaker: svag efterfrågan från mobilnätsoperatörer, problem när det gäller gränsöverskridande samordning med länder utanför EU:s östra gränser, inverkan av covid-19 på planeringen av auktioner samt osäkerhet kring hur säkerhetsfrågor ska hanteras. Enligt kommissionen kommer sannolikt endast elva medlemsstater att uppnå målet för 2025 (se punkterna 22–43).

83 Kommissionen har gett medlemsstaterna stöd i deras genomförande av handlingsplanen för 5G från 2016 genom initiativ, vägledning och finansiering av 5G-relaterad forskning. Men kommissionen har inte fastställt den förväntade tjänstekvaliteten för 5G-näten, såsom vilken prestanda de ska erbjuda i fråga om lägsta hastighet och maximal latens. Detta har lett till att medlemsstaterna tolkar begreppet ”5G-kvalitet” på olika sätt. Vi noterade att medlemsstaterna tillämpar olika strategier för utbyggnaden av 5G-tjänster, exempelvis har endast två medlemsstater fastställt en lägsta hastighet och maximal latens. Ytterst medför dessa olika strategier en risk för ojämlikheter i tillgången till och kvaliteten på 5G-tjänster i EU, vilket ökar snarare än minskar den ”digitala klyftan” mellan medlemsstater och regioner (se punkterna 22–31).

Rekommendation 1 – Främja en jämn och snabb utbyggnad av 5G-näten inom EU

Kommissionen bör göra följande:

1. Tillsammans med medlemsstaterna utarbeta en gemensam definition av den förväntade tjänstekvaliteten för 5G-näten, till exempel krav på prestanda som måste erbjudas i fråga om lägsta hastighet och maximal latens.
2. Uppmuntra medlemsstaterna att inkludera målen för 2025 och 2030 när det gäller utbyggnaden av 5G, samt de åtgärder som krävs för att uppnå dessa mål, i kommande uppdateringar av sina 5G-strategier, digitala strategier eller bredbandsplaner.
3. Stödja medlemsstaterna i hanteringen av frågor som rör spektrumsamordning med grannländer utanför EU, till exempel genom att förespråka att ämnet står på dagordningen för varje relevant möte.

Tidsram: December 2022.

84 5G-nätens säkerhetsaspekter blev först nyligen en viktig fråga på EU-nivå. Behovet av åtgärder på EU-nivå framhölls 2019 av Europeiska rådet som efterlyste en samordnad strategi och samarbete mellan medlemsstaterna i denna gränsöverskridande fråga. Kommissionen och medlemsstaterna reagerade snabbt på den växande oron kring 5G-säkerheten. År 2020 antog samarbetsgruppen för nät- och informationssäkerhet en EU-verktygslåda för 5G-säkerhet som specificerar ett antal strategiska, tekniska och stödjande åtgärder för att hantera säkerhetshot mot 5G-näten och identifierar de ansvariga aktörerna för var och en av åtgärderna. Flera av åtgärderna är inriktade på problemet med högriskleverantörer av 5G-utrustning. Verktygslådan godkändes därefter av kommissionen och Europeiska rådet (se punkterna 45–47). Eftersom verktygslådan är ett icke-bindande instrument har dessa åtgärder ingen bindande verkan för medlemsstaterna. Mer nyligen har EU:s verktygslåda för 5G-säkerhet omnämnts i den nya europeiska strategin för att främja smarta, rena och säkra förbindelser inom digital teknik runt om i världen, som ett vägledande verktyg för investeringar i digital infrastruktur (se punkt 50).

85 Verktygslådans kriterier bildar en operativ ram som kan användas för att bedöma leverantörers riskprofil på ett samordnat sätt i alla medlemsstater. Samtidigt är det fortfarande ett nationellt ansvar att göra den bedömningen (se punkt 54).

86 Sedan verktygslådan antogs har framsteg gjorts för att öka säkerheten i 5G-näten genom att en majoritet av medlemsstaterna tillämpar eller håller på att införa begränsningar för högriskleverantörer. 13 medlemsstater hade i oktober 2021, med beaktande av denna ram, antagit eller ändrat sin lagstiftning om 5G-säkerhet. Andra medlemsstater är på väg att lägga fram lagstiftning som tar hänsyn till verktygslådans kriterier (se punkterna 54 och 75).

87 Verktygslådan antogs i ett tidigt skede av 5G-utbyggnaden, men ett antal mobilnätsoperatörer hade redan valt leverantörer av 5G-utrustning (se punkt 52). Om man inte tar itu med de säkerhetsproblem som uppstår på grund av en politiks utformning riskerar det att få negativa konsekvenser för dess genomförande, såsom att de förväntade fördelarna (t.ex. BNP-tillväxt) kan undergrävas av kostnaderna för att hantera hot (t.ex. kostnader för it-brottslighet) (se punkterna 02 och 04).

88 Verktygslådan tar hänsyn till nationella behörigheter och relevanta landsspecifika faktorer. Vår revision visade att medlemsstaterna hittills har tillämpat olika strategier när det gäller användning av utrustning från högriskleverantörer eller begränsningarnas omfattning (till exempel om de rör enbart centrala eller kritiska delar av 5G-nätet eller även radioaccessnätet eller en del av detta) (se punkterna 74 och 75).

89 Under de kommande åren kan lagstiftning om 5G-säkerhet som antas av medlemsstaterna baserat på verktygslådan leda till mer samstämmiga strategier gentemot 5G-leverantörer med hög risk. Men eftersom ingen av de åtgärder som ingår i verktygslådan är rättsligt bindande har kommissionen ingen befogenhet att verkställa dem. Därför finns det fortfarande risk att verktygslådan i sig inte kan garantera att medlemsstaterna hanterar säkerhetsaspekter på ett samordnat sätt (se punkterna 49–75.

90 Många 5G-leverantörer är belägna utanför EU och verkar således inom ramen för ett tredjelands lagstiftning, som kan skilja sig avsevärt från EU:s standarder, till exempel när det gäller ett ändamålsenligt skydd av medborgarnas personuppgifter, och mer allmänt hur rättsväsendets oberoende säkerställs genom lagstiftningsmässiga eller demokratiska kontroller och motvikter. Det faktum att 5G-näten huvudsakligen drivs av programvara kan också vara ett särskilt säkerhetsproblem om kontrollcentren för programvaran är belägna i länder utanför EU, vilket kan innebära att EU-medborgare omfattas av ett tredjelands lagstiftning. Kommissionen har börjat ta itu med dessa problem och anser att alla företag som tillhandahåller tjänster till EU:s medborgare bör respektera EU:s regler och värderingar. Den har också inlett dialoger med flera länder för att säkerställa ett starkt integritetsskydd för personuppgifter (se punkterna 56–62).

91 Trots att säkerhetsbetänkligheter kring 5G är en fråga av gränsöverskridande karaktär saknas det tillräcklig offentlig information om medlemsstaternas hantering av säkerhetsfrågor och deras beroende av högriskleverantörer. Kommissionen spårar och rapporterar om genomförandet av verktygslådan. Rapporterna innehåller dock inte detaljerad och jämförbar information om hur medlemsstaterna hanterar säkerhetsbetänkligheter kring 5G. I september 2021 var dessutom ingen ytterligare rapportering planerad. Denna brist på information hämmar kunskapsutbytet mellan medlemsstaterna och möjligheten att tillämpa samordnade åtgärder. Den begränsar även kommissionens möjlighet att föreslå förbättringar av säkerheten i 5G-näten (se punkterna 68–73).

Rekommendation 2 – Främja en samordnad strategi för 5G-säkerhet bland medlemsstaterna

Kommissionen bör göra följande:

1. Ge ytterligare vägledning eller föreslå stödåtgärder med avseende på viktiga delar av EU:s verktygslåda för 5G-säkerhet, till exempel kriterierna för att bedöma 5G-leverantörer och klassificera dem som högriskleverantörer samt dataskyddsöverväganden.
   Tidsram: December 2022.
2. Främja transparens om medlemsstaternas strategier för 5G-säkerhet genom att övervaka och rapportera om genomförandet av säkerhetsåtgärderna i EU:s verktygslåda för 5G-säkerhet. Detta bör göras med användning av en gemensam uppsättning kritiska prestationsindikatorer.
   Tidsram: December 2022.
3. Tillsammans med medlemsstaterna bedöma för vilka aspekter av 5G-nätens säkerhet det finns ett behov av att specificera verkställbara krav och, när så är lämpligt, ta initiativ till lagstiftning.
   Tidsram: December 2022.

92 Kommissionen har börjat ta itu med de relaterade påståendena om orättvisa ekonomiska fördelar på grund av utländska subventioner. Sådana subventioner kan snedvrida den inre marknaden och därmed skapa ojämlika villkor för 5G-leverantörer, vilket kan få konsekvenser för säkerheten (se punkt 78).

93 Kommissionen har inte tillräcklig information om medlemsstaternas hantering av eventuella kostnader som kan uppstå om mobilnätsoperatörer tvingas byta ut utrustning från högriskleverantörer i EU:s nät utan någon övergångsperiod. Skillnader i hanteringen kan undergräva den affärsmässiga säkerheten och riskerar att försena 5G-utbyggnaden (se punkterna 79 och 80). Samtidigt kan medlemsstaternas strategier för 5G-säkerhet, särskilt avsaknaden av en samordnad strategi i hela EU, påverka hur väl den inre marknaden fungerar. Kommissionen har hittills inte bedömt denna fråga (se punkterna 74–76).

Rekommendation 3 – Övervaka medlemsstaternas strategier för 5G-säkerhet och bedöm hur olikheterna påverkar den inre marknadens funktion

Kommissionen bör göra följande:

1. Främja en transparent och samstämmig strategi för medlemsstaternas hantering av mobiloperatörernas kostnader för att byta ut 5G-utrustning som köpts från högriskleverantörer genom att regelbundet övervaka och rapportera om denna fråga inom ramen för genomförandet av EU:s verktygslåda för 5G-säkerhet.
2. Bedöma vilka effekterna på den inre marknaden skulle bli om en medlemsstat byggde sina 5G-nät med utrustning från en leverantör som anses förknippad med hög risk i en annan medlemsstat.

Tidsram: December 2022.

Denna rapport antogs av revisionsrättens avdelning II, med ledamoten Iliana Ivanova som ordförande, i Luxemburg den 15 december 2021.

Bilagor

Bilaga I – Huvudsakliga möjligheter och risker med 5G

Källa: Europeiska revisionsrätten, på grundval av Europaparlamentets utredningstjänst – Europeiskt vetenskapligt mediecentrum.

Bilaga II – Exempel som visar effekter av störningar i telekommunikationsnät och it-säkerhetsincidenter

Fel på larmnummer i Frankrike ^{66, 67}

01 Ett nätavbrott den 3 juni 2021 inom Orange, Frankrikes största telekommunikationsföretag, förhindrade nödsamtal under flera timmars tid. Även om det har uteslutits att ett it-angrepp skulle ha varit orsaken visar incidenten på de potentiella konsekvenserna av en störning i en kritisk nätverksinfrastruktur.

Angrepp med utpressningstrojaner mot irländsk offentlig hälso- och sjukvård^{68, 69, 70}

02 I maj 2021 stängde Irlands hälso- och sjukvårdstjänst (Health Service Executive) ned alla sina it-system på grund av ett angrepp med utpressningstrojaner. Angreppet påverkade alla aspekter av patientvården, eftersom det gjorde det svårare att komma åt patientjournaler, vilket ökade risken för fördröjningar och fel. De irländska tjänstemännen känner inte till att några patientuppgifter läckte ut, men om patientjournaler hade spridits kunde det ha lett till följdbrott av olika slag såsom bedrägerier och utpressning. Enligt generaldirektören för Health Service Executive kommer de uppskattade återhämtningskostnaderna sannolikt att uppgå till 500 miljoner euro (600 miljoner US-dollar).

Solarwinds^{71, 72, 73}

03 Solarwinds är ett amerikanskt företag som utvecklar programvara som ska hjälpa företag och statliga och federala organ att sköta deras nätverk, system och it-infrastruktur. I början av 2020 utsattes Solarwinds för ett programvaruangrepp. Hackarna lyckades sprida angreppen till Solarwinds kunder genom programvaruuppgraderingar som innehöll skadliga koder. Dessa öppnade bakdörrar i kundernas plattformar vilket skapade en enkel ingång för angrepp och installation av ytterligare skadlig kod och spionprogram.

Bilaga III – Rättslig och politisk ram

Bilaga IV – Exempel på Efsi-medfinansierade projekt

5G-relaterade Efsi-projekt

De två Efsi-projekt som vi granskade rörde investeringar i forskning, utveckling och innovation för utveckling av produktportföljer för 5G-nät. Projekten omfattade utveckling av maskinvara och programvara för radioaccessnätet och stomnätet. Båda projekten bidrog till tätare basstationsnät, främjade standardisering och underlättade viktiga teknikexperiment.

Projekten inleddes 2018 och avslutades i december 2020. Tillsammans uppgick deras totala investeringskostnader till 3,9 miljarder euro, inbegripet 1 miljard euro i finansiering från Efsi.

Bilaga V – Exempel på Horisont 2020-projekt och Eruf-projekt

5G-relaterat Horisont 2020-projekt

Detta projekt använder utrustning från alla de tre största 5G-leverantörerna (Ericsson, Huawei och Nokia) för att testa 5G-teknik i den gränsöverskridande korridoren mellan städerna Metz (Frankrike), Merzig (Tyskland) och Luxemburg. Det inleddes i november 2018 och planerades pågå i 31 månader. EU beviljade 12,9 miljoner euro till totalt budgeterade 17,1 miljoner euro.

5G-relaterat Eruf-projekt

Detta projekt i Spanien syftar till att ge insikter om utbyggnad av 5G-nät. Det innefattar experiment med nätförvaltningsteknik som möjliggörs av 5G-teknik, såsom nätverksvirtualisering, edge computing, dynamisk nättjänsttilldelning och nätverksskivning, och utveckling av användningsfall för 5G. Projektet inleddes 2019 och planerades pågå i 30 månader. EU bidrog med 2,2 miljoner euro av den totala förväntade kostnaden på 7,1 miljoner euro.

Bilaga VI – 5G-täckning i utvalda städer

Siffrorna nedan bygger på data om mobil bredbandskonnektivitet som samlats in från tester som utförts av användare av nPerf-appen. De områden där 5G har detekterats är inte nödvändigtvis kommersiellt öppna. Eftersom nätverksprestandan beror på de enskilda mobilnätsoperatörerna visar följande kartor, som extraherats den 4 oktober 2021, endast täckning och inte prestanda såsom hastighet och latens.

Bilaga VII – EU:s verktygslåda för 5G-säkerhet

EU:s verktygslåda för 5G-säkerhet, som antagits av samarbetsgruppen för nät- och informationssäkerhet och godkänts av kommissionen, innehåller tre typer av icke-bindande åtgärder (strategiska, tekniska och stödjande åtgärder) som ska genomföras av olika aktörer, vilket sammanfattas nedan.

Åtgärder	Relevanta aktörer
	Medlems­staternas myndigheter	Mobilnäts­operatörer	Europeiska kommis-sionen	Enisa	Intressenter (inkl. leveran-törer)
Strategiska åtgärder
SM01 – Stärka de nationella myndigheternas roll	✓	✓
SM02 – Utföra granskningar av operatörer och kräva information	✓	✓
SM03 – Bedöma leverantörers riskprofil och, när det gäller viktiga tillgångar, tillämpa begränsningar för leverantörer som anses utgöra en hög risk, inbegripet uteslutande när så krävs för en effektiv riskreducering	✓	✓
SM04 – Kontrollera användningen av tjänsteleverantörer och leverantörer och underleverantörer av utrustning	✓	✓
SM05 – Säkra att varje mobilnätsoperatör har en lämplig flerleverantörsstrategi	✓	✓
SM06 – Stärka motståndskraften på nationell nivå	✓	✓
SM07 – Identifiera viktiga tillgångar och främja ett mångsidigt och hållbart 5G-ekosystem i EU	✓		✓
SM08 – Upprätthålla och bygga upp mångfald och EU-kapacitet inom framtida nätverksteknik	✓		✓		✓
Tekniska åtgärder
TM01 – Säkerställa tillämpning av grundläggande säkerhetskrav (säker utformning och arkitektur för nätet)	✓	✓
TM02 – Säkerställa och utvärdera genomförandet av säkerhetsåtgärder i befintliga 5G-standarder	✓	✓			✓
TM03 – Säkerställa stränga åtkomstkontroller	✓	✓
TM04 – Öka säkerheten för virtualiserade nätverksfunktioner	✓	✓
TM05 – Säkerställa säker förvaltning, drift och övervakning av 5G-nät	✓	✓
TM06 – Förstärka den fysiska säkerheten	✓	✓
TM07 – Förstärka integriteten, uppdateringen och uppdateringshanteringen för programvara	✓	✓
TM08 – Öka säkerhetsnormerna i leverantörernas processer genom robusta upphandlingsvillkor	✓	✓			✓
TM09 – Använda EU-certifiering för komponenter, kundutrustning och/eller leverantörsprocesser i 5G-nät	✓	✓	✓	✓	✓
TM10 – Använda EU-certifiering för andra IKT-produkter och IKT-tjänster som inte är 5G-specifika (anslutna enheter, molntjänster)	✓		✓	✓	✓
TM11 – Förbättra planerna för motståndskraft och kontinuitet	✓	✓			✓
Stödåtgärder
SA01 – Granska eller utveckla riktlinjer och bästa praxis för nätsäkerhet	✓	✓		✓
SA02 – Förbättra provnings- och granskningskapaciteten på nationell nivå och EU-nivå	✓		✓	✓
SA03 – Stödja och utforma 5G-standardisering	✓	✓	✓	✓	✓
SA04 – Utveckla vägledning om genomförandet av säkerhetsåtgärder i befintliga 5G-standarder	✓			✓
SA05 – Säkerställa tillämpning av standardiserade tekniska och organisatoriska säkerhetsåtgärder genom ett särskilt EU-omfattande certifieringssystem	✓			✓	✓
SA06 – Utbyte av bästa praxis för genomförande av strategiska åtgärder, i synnerhet nationella ramar för bedömning av leverantörers riskprofil	✓
SA07 – Förbättra samordningen vid incidenthantering och krishantering	✓			✓
SA08 – Genomföra revisioner av ömsesidiga beroenden mellan 5G-nät och andra kritiska tjänster	✓
SA09 – Förstärka mekanismerna för samarbete, samordning och informationsutbyte	✓			✓
SA10 – Säkerställa att 5G-projekt som stöds med offentlig finansiering tar hänsyn till it-säkerhetsrisker	✓		✓

Källa: EU:s verktygslåda för 5G-säkerhet.

Akronymer och förkortningar

Berec: Organet för europeiska regleringsmyndigheter för elektronisk kommunikation.

BNP: bruttonationalprodukt.

EECC: europeiska kodexen för elektronisk kommunikation.

Efsi: Europeiska fonden för strategiska investeringar.

EIB: Europeiska investeringsbanken.

Enisa: Europeiska unionens cybersäkerhetsbyrå.

Eruf: Europeiska regionala utvecklingsfonden.

NIS: nätverks- och informationssystem.

Ordförklaringar

bredband: simultan höghastighetsöverföring av flera informationsformat (såsom data, röst och video).

Europeiska fonden för strategiska investeringar: stödmekanism för investeringar som lanserats av Europeiska investeringsbanken (EIB) och kommissionen, som en del av investeringsplanen för Europa, för att mobilisera privata investeringar i projekt av strategisk betydelse för EU.

Europeiska unionens cybersäkerhetsbyrå: EU-byrå som inrättats för att utveckla och upprätthålla en hög nivå av nät- och informationssäkerhet inom alla sektorer av det privata och offentliga livet.

exabyte: ett mått på digital informationslagringskapacitet, motsvarande 1 miljard gigabyte.

Global System for Mobile Communications Association: branschorganisation som företräder mobiloperatörernas intressen i hela världen samt tillverknings- och tjänsteföretag och organisationer med intresse för mobil infrastruktur.

gruppen för radiospektrumpolitik: rådgivande högnivågrupp som består av företrädare för medlemsstaterna och som bistår och ger råd till EU:s institutioner om utvecklingen av den inre marknaden för trådlösa produkter och tjänster.

latens: i datornät, den tid som krävs för att en uppsättning data ska förflyttas mellan två punkter.

mobilnätsoperatör: telekommunikationsföretag som tillhandahåller trådlös röst- och datakommunikation för abonnerade mobiltelefonanvändare.

nationella bredbandsplaner: medlemsstaternas dokument som innehåller strategiska mål för att uppnå EU:s bredbandsmål.

Organet för europeiska regleringsmyndigheter för elektronisk kommunikation: ett organ, bestående av företrädare för medlemsstaternas nationella tillsynsmyndigheter, som hjälper dessa myndigheter och kommissionen att genomföra EU:s regelverk i syfte att skapa en inre marknad för elektronisk kommunikation.

radioaccessnät: en viktig del av modern telekommunikationsteknik som sammankopplar enskilda enheter med andra delar i ett nätverk genom radioanslutningar.

radiospektrum: den del av det elektromagnetiska spektrumet som motsvarar radiofrekvenser.

sakernas internet: fysiska objekt med inbyggda sensorer, programvara och annan teknik som gör det möjligt för dem att ansluta trådlöst och utbyta data med andra enheter och system.

samarbetsgruppen för nät- och informationssäkerhet: organ som inrättades genom NIS-direktivet för att säkra samarbetet och informationsutbytet mellan medlemsstaterna och som består av företrädare för EU:s medlemsstater, Europeiska kommissionen och EU:s cybersäkerhetsbyrå.

utpressningstrojan: skadlig kod som nekar offer åtkomst till ett datorsystem eller gör filer oläsliga och tvingar offret att betala en lösensumma för att återställa åtkomsten.

Kommissionens svar

https://www.eca.europa.eu/sv/Pages/DocItem.aspx?did=60614

Tidslinje

https://www.eca.europa.eu/sv/Pages/DocItem.aspx?did=60614

Vi som arbetat med revisionen

I revisionsrättens särskilda rapporter redovisar vi resultatet av våra revisioner av EU:s politik och program eller av förvaltningsteman som är kopplade till specifika budgetområden. För att uppnå så stor effekt som möjligt väljer vi ut och utformar granskningsuppgifterna med hänsyn till riskerna när det gäller prestation eller regelefterlevnad, storleken på de aktuella intäkterna eller kostnaderna, framtida utveckling och politiskt intresse och allmänintresse.

Denna effektivitetsrevision utfördes av revisionsrättens avdelning II investeringar för sammanhållning, tillväxt och inkludering, där ledamoten Iliana Ivanova är ordförande. Revisionsarbetet leddes av ledamoten Annemie Turtelboom, med stöd av Florence Fornaroli (kanslichef), Celil Ishik (attaché), Niels-Erik Brokopp (förstachef), Paolo Pesce (uppgiftsansvarig) och Jussi Bright, Rafal Gorajski, Zuzana Gullová, Alexandre Tan, Aleksandar Latinov och Nils Westphal (revisorer).

 

Slutnoter

¹ Statista, Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030.

² Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2017–2022, februari 2019.

³ ITU-R, IMT traffic estimates for the years 2020 to 2030.

⁴ Identification and quantification of key socio-economic data to support strategic planning for the introduction of 5G in Europe, februari 2017.

⁵ Accenture Strategy, The Impact of 5G on the European Economy, februari 2021.

⁶ Översikt 02/2019 Utmaningar för en ändamålsenlig EU politik för cybersäkerhet (Briefingdokument), 2020 års revisionskompendium från kontaktkommittén – Cybersäkerhet i EU och medlemsstaterna samt det europeiska vetenskapliga mediecentrumet från Europaparlamentets utredningstjänst.

⁷ Samarbetsgruppen för nät- och informationssäkerhet, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019, punkt 3.4.

⁸ Världsekonomiskt forum, Wild Wide Web – Consequences of Digital Fragmentation, 2021.

⁹ Samarbetsgruppen för nät- och informationssäkerhet, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019,

¹⁰ https://ec.europa.eu/commission/presscorner/detail/sv/IP_15_5715.

¹¹ Europaparlamentets resolution av den 12 mars 2019 samt artikel 14 i Folkrepubliken Kinas lag om nationell underrättelseverksamhet. Se även den engelska översättningen på https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/.

¹² https://ec.europa.eu/commission/presscorner/detail/sv/IP_20_12.

¹³ Kommissionens uppskattning baserat på uppgifter från EIB, Analysys, GSMA och företagsmeddelanden, samt ETNO – Europeiska sammanslutningen för publika telenätoperatörer, Connectivity & Beyond: How Telcos Can Accelerate a Digital Future for All, mars 2021.

¹⁴ EIB:s projektförteckning.

¹⁵ Översikt 03/2020 EU:s åtgärder med anledning av Kinas statligt styrda investeringsstrategi.

¹⁶ Särskild rapport 12/2018 Bredband i EU:s medlemsstater: trots framsteg kommer inte alla Europa 2020-målen att uppnås.

¹⁷ Särskild rapport 19/2020 Digitalisering av den europeiska industrin: ett ambitiöst initiativ vars framgång är beroende av EU:s, regeringarnas och företagens fortsatta engagemang.

¹⁸ Översikt 02/2019 Utmaningar för en ändamålsenlig EU politik för cybersäkerhet (Briefingdokument).

¹⁹ Europeiska kommissionen, Digital kompass 2030: den europeiska vägen in i det digitala decenniet, COM(2021) 118 final.

²⁰ Study on National Broadband Plans in the EU‑27.

²¹ 5G Observatory Quarterly Report 12, Up to June 2021.

²² Europeiska kommissionen, förslag till Europaparlamentets och rådets förordning om roaming i allmänna mobilnät i unionen (omarbetning), COM(2021) 85 final, 24.2.2021.

²³ Kommissionens Study on National Broadband Plans in the EU‑27.

²⁴ Direktiv (EU) 2018/1972 om inrättande av en europeisk kodex för elektronisk kommunikation.

²⁵ Europeiska kommissionens meddelande, Säker 5G-utbyggnad i EU – Genomförande av EU:s verktygslåda, COM(2020) 50 final.

²⁶ Study on National Broadband Plans in the EU‑27.

²⁷ Kommissionens pressmeddelande IP/21/206 av den 4 februari 2021.

²⁸ Kommissionens pressmeddelande IP/21/4612 av den 23 september 2021.

²⁹ Beslut (EU) 2017/899 om användningen av frekvensbandet 470–790 MHz.

³⁰ Direktiv (EU) 2018/1972 om inrättande av en europeisk kodex för elektronisk kommunikation.

³¹ 5G Observatory och gruppen för radiospektrumpolitik.

³² Europaparlamentets resolution av den 12 mars 2019 (2019/2575(RSP)).

³³ JOIN(2019) 5 final, 12.3.2019. EU och Kina – En strategisk hållning.

³⁴ Europeiska rådets slutsatser av den 21 och 22 mars 2019.

³⁵ Kommissionens rekommendation (EU) 2019/534 av den 26 mars 2019 om it-säkerhet i 5G-nät.

³⁶ Pressmeddelande av den 19 juli 2019.

³⁷ Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures. Samarbetsgruppen för nät- och informationssäkerhet, 01/2020.

³⁸ Europeiska kommissionens meddelande Säker 5G-utbyggnad i EU – Genomförande av EU:s verktygslåda, COM(2020) 50 final, och Slutsatser från Europeiska rådets möte den 1 och 2 oktober 2020 (EUCO 13/20).

³⁹ Fördraget om Europeiska unionens funktionssätt.

⁴⁰ Direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

⁴¹ Översikt 02/2019 Utmaningar för en ändamålsenlig EU politik för cybersäkerhet (Briefingdokument), punkt 36.

⁴² Gemensamt meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén, Regionkommittén och Europeiska investeringsbanken – The Global Gateway JOIN(2021) 30 final, 1.12.2021.

⁴³ COM(2013) 48 final, 7.2.2013.

⁴⁴ Direktiv (EU) 2016/1148.

⁴⁵ COM(2016) 590 final/2, 12.10.2016 och direktiv (EU) 2018/1972 om inrättande av en europeisk kodex för elektronisk kommunikation.

⁴⁶ Europeiska kommissionens meddelande Att forma EU:s digitala framtid, COM(2020) 67 final.

⁴⁷ Europeiska kommissionens meddelande EU och Kina – En strategisk hållning.

⁴⁸ Dom i mål C-362/14 och https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117sv.pdf.

⁴⁹ Dom i mål C-311/18 och https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091sv.pdf.

⁵⁰ https://www.europarl.europa.eu/doceo/document/E-9-2020–004305_EN.html och https://www.europarl.europa.eu/RegData/etudes/ATAG/2019/637912/EPRS_ATA(2019)637912_EN.pdf

⁵¹ Enisa, Threat Landscape for 5G Networks, 14.12.2020.

⁵² Enisa, Guideline on Security Measures under the EECC, 10.12.2020.

⁵³ Enisa, 5G Supplement - to the Guideline on Security Measures under the EECC, 7.7.2021.

⁵⁴ Pressmeddelande av den 3 februari 2021.

⁵⁵ Förordning (EU) 2021/523 om inrättandet av InvestEU-programmet.

⁵⁶ Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity, juli 2020.

⁵⁷ Report on the impacts of the Commission Recommendation of 26 March 2019 on the Cybersecurity of 5G networks, SWD(2020) 357 final, 16.12.2020.

⁵⁸ Berec, Internal Report concerning the EU 5G Cybersecurity Toolbox Strategic Measures 5 and 6 (Diversification of suppliers and strengthening national resilience), BoR 20 (227), 10.12.2020.

⁵⁹ StrandConsult, Understanding the Market for 4G RAN in Europe: Share of Chinese and Non-Chinese Vendors in 102 Mobile Networks.

⁶⁰ Skrivelse från Europaparlamentsledamöter till EU:s telekommunikations- och handelsministrar och kommissionsledamöterna Thierry Breton, Margrethe Vestager och Valdis Dombrovskis, 14.10.2020.

⁶¹ Revisionsrättens översikt 03/2020 EU:s åtgärder med anledning av Kinas statligt styrda investeringsstrategi.

⁶² Förslag till förordning om utländska subventioner som snedvrider den inre marknaden, COM(2021) 223 final, 5.5.2021.

⁶³ Oxford Economics, Restricting competition in 5G network equipment throughout Europe, juni 2020 (sponsrad av Huawei).

⁶⁴ StrandConsult, The real cost to rip and replace Chinese equipment from telecom networks.

⁶⁵ Lag 1207/2020 av den 30 december 2020 om tjänster inom elektronisk kommunikation, paragraf 301.

⁶⁶ https://www.euronews.com/2021/06/03/french-telecom-operator-orange-apologises-after-emergency-numbers-crash-nationwide.

⁶⁷ https://www.reuters.com/business/media-telecom/orange-blames-network-outage-software-failure-audit-2021-06-11/.

⁶⁸ https://www.wsj.com/articles/irish-healthcare-service-shuts-down-it-systems-after-ransomware-attack-11620998875.

⁶⁹ https://www.reuters.com/technology/irish-health-service-hit-by-ransomware-attack-vaccine-rollout-unaffected-2021-05-14/.

⁷⁰ https://www.cert.europa.eu/cert/moreclusteredition/en/blog_DataBreachTodayinRSS Syndication-in-299786a86ffeab5aec16d55392d94819.20210624.en.html

⁷¹ https://www.solarwinds.com/.

⁷² https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AF03R.

⁷³ https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12?international=true&r=US&IR=T.

Kontakt

EUROPEISKA REVISIONSRÄTTEN
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Tfn +352 4398-1
Frågor: eca.europa.eu/sv/Pages/ContactForm.aspx
Webbplats: eca.europa.eu
Twitter: @EUAuditors

En stor mängd övrig information om Europeiska unionen är tillgänglig på internet via Europa-servern (https://europa.eu).

Luxemburg: Europeiska unionens publikationsbyrå, 2022

PDF	ISBN 978-92-847-7422-7	ISSN 1977-5830	doi:10.2865/134366	QJ-AB-21-029-SV-N
HTML	ISBN 978-92-847-7376-3	ISSN 1977-5830	doi:10.2865/293759	QJ-AB-21-029-SV-Q

UPPHOVSRÄTT

© Europeiska unionen, 2022.

Europeiska revisionsrättens policy för vidareutnyttjande av handlingar tillämpas genom Europeiska revisionsrättens beslut nr 6-2019 om öppen datapolitik och vidareutnyttjande av handlingar.

Om inget annat anges (t.ex. i enskilda meddelanden om upphovsrätt) omfattas revisionsrättens innehåll som ägs av EU av den internationella licensen Creative Commons Erkännande 4.0 Internationell (CC BY 4.0). Det innebär att vidareutnyttjande är tillåtet under förutsättning att ursprunget anges korrekt och att det framgår om ändringar har gjorts. Vidareutnyttjas materialet får handlingarnas ursprungliga betydelse eller budskap inte förvanskas. Revisionsrätten bär inte ansvaret för eventuella konsekvenser av vidareutnyttjande.

När enskilda privatpersoner kan identifieras i ett specifikt sammanhang, exempelvis på bilder av revisionsrättens personal, eller om verk av tredje part används, måste tillstånd inhämtas med avseende på de ytterligare rättigheterna. Om tillstånd beviljas upphävs och ersätts det allmänna godkännande som nämns ovan, och eventuella begränsningar av materialets användning måste tydligt anges.

För användning eller återgivning av innehåll som inte ägs av EU kan tillstånd behöva inhämtas direkt från upphovsrättsinnehavarna:

• Bilder Bilaga VI: © nPerf. Företaget nPerf SAS.

Programvara eller handlingar som omfattas av immateriella rättigheter, till exempel patent, varumärkesskydd, mönsterskydd samt upphovsrätt till logotyper eller namn, omfattas inte av revisionsrättens policy för vidareutnyttjande eller av licensen.

EU-institutionernas webbplatser inom domänen europa.eu innehåller länkar till webbplatser utanför den domänen. Eftersom revisionsrätten inte har någon kontroll över dem uppmanas du att ta reda på vilken integritets- och upphovsrättspolicy de tillämpar.

Användning av Europeiska revisionsrättens logotyp

Europeiska revisionsrättens logotyp får inte användas utan Europeiska revisionsrättens förhandsgodkännande.

Kontakta EU

Besök
Det finns hundratals Europa direkt-kontor i hela EU. Hitta ditt närmaste kontor: https://europa.eu/european-union/contact_sv

Telefon eller mejl
Tjänsten Europa direkt svarar på dina frågor om EU. Kontakta tjänsten på något av följande sätt:

• Ring det avgiftsfria telefonnumret 00 800 6 7 8 9 10 11 (en del operatörer kan ta betalt för samtalet).
• Ring telefonnumret +32 22999696.
• Mejla via webbplatsen (https://europa.eu/european-union/contact_sv).

EU-information

På nätet
På webbplatsen Europa finns det information om EU på alla officiella EU-språk (https://europa.eu/european-union/index_sv).

EU-publikationer
Ladda ned eller beställ både gratis och avgiftsbelagda EU-publikationer (https://op.europa.eu/sv/publications). Om du behöver flera kopior av en gratispublikation kan du kontakta Europa direkt eller ditt lokala informationskontor (https://europa.eu/european-union/contact_sv).

EU-lagstiftning och andra rättsliga handlingar
Rättsliga handlingar från EU, inklusive all EU-lagstiftning sedan 1951, finns på alla officiella EU-språk på EUR-Lex (https://eur-lex.europa.eu).

Öppna data från EU
På EU:s portal för öppna data (https://data.europa.eu/sv) finns dataserier från EU. Dataserierna får laddas ned och användas fritt för kommersiella och andra ändamål.