(1)

A Comissão reconheceu que a implantação da 5.a geração (5G) das tecnologias de rede é um elemento facilitador essencial para os futuros serviços digitais e constitui uma prioridade da Estratégia para o Mercado Único Digital. A Comissão adotou o Plano de Ação 5G a fim de garantir que a União disponha das infraestruturas de conectividade necessárias para a sua transformação digital a partir de 2020 (1).

(2)

As redes 5G assentarão na atual 4.a geração (4G) das tecnologias de rede, oferecendo novas capacidades de serviços e tornando-se a infraestrutura central e o elemento facilitador de setores substanciais da economia da União. Uma vez implantadas, as redes 5G constituirão a espinha dorsal de uma vasta gama de serviços essenciais ao funcionamento do mercado interno e à manutenção e funcionamento de funções vitais da sociedade e da economia — energia, transportes, banca e saúde, bem como sistemas de controlo industriais. Para a organização dos processos democráticos, como eleições, recorrer-se-á também cada vez mais às infraestruturas digitais e às redes 5G.

(3)

A dependência de muitos serviços críticos em relação às redes 5G faria com que as consequências de perturbações sistémicas e generalizadas pudessem ser particularmente graves. Por conseguinte, garantir a cibersegurança das redes 5G é uma questão de importância estratégica para a União, num momento em que os ciberataques estão a aumentar e são mais sofisticados do que nunca.

(4)

A natureza interligada e transnacional das infraestruturas subjacentes ao ecossistema digital e a natureza transfronteiras das ameaças envolvidas implicam que eventuais vulnerabilidades e/ou incidentes de cibersegurança significativos nas redes 5G verificados num Estado-Membro afetariam a União no seu conjunto. É por essa razão que devem ser estabelecidas medidas para garantir um elevado nível comum de cibersegurança das redes 5G.

(5)

A necessidade de ação a nível da União foi confirmada pelos Estados-Membros. Nas suas conclusões de 21 de março de 2019, o Conselho Europeu aguarda com expectativa uma recomendação da Comissão relativa a uma abordagem concertada em matéria de segurança das redes 5G (2).

(6)

Garantir a soberania europeia, no pleno respeito dos valores de abertura e tolerância da Europa, deve constituir um objetivo fundamental (3). O investimento estrangeiro em setores estratégicos, a aquisição de ativos, tecnologias e infraestruturas de importância crítica na União e o fornecimento de equipamentos críticos podem também representar riscos para a segurança da União.

(7)

A cibersegurança das redes 5G é fundamental para assegurar a autonomia estratégica da União, conforme reconhecido na Comunicação Conjunta «UE-China – Uma perspetiva estratégica» (4)

(8)

A resolução do Parlamento Europeu sobre as ameaças para a segurança resultantes do reforço da presença tecnológica chinesa na UE apela também a que a Comissão e os Estados-Membros tomem medidas a nível da União (5).

(9)

A presente recomendação aborda os riscos de cibersegurança nas redes 5G estabelecendo orientações sobre a análise de risco e as medidas de gestão adequadas a nível nacional, sobre o desenvolvimento de uma avaliação coordenada dos riscos a nível da UE e sobre o estabelecimento de um processo para desenvolver um conjunto de instrumentos comuns que permitam adotar as medidas de gestão dos riscos mais eficientes.

(10)

A União dispõe de um quadro legislativo sólido para proteger as redes de comunicações eletrónicas.

(11)

O quadro da União no domínio das comunicações eletrónicas (6) promove a concorrência, o mercado interno e os interesses dos utilizadores finais e com o Código Europeu das Comunicações Eletrónicas (7) visa atingir um objetivo de conectividade adicional, articulado em termos de resultados: acesso generalizado e adoção de conectividade fixa e móvel de muito elevada capacidade para todos os cidadãos e empresas da União, salvaguardando simultaneamente os interesses dos cidadãos. A Diretiva 2002/21/CE estabelece que os Estados-Membros devem assegurar a manutenção da integridade e da segurança das redes de comunicações públicas, com obrigações destinadas a assegurar que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público tomem medidas técnicas e organizativas para gerir adequadamente os riscos para a segurança das redes e serviços. Estabelece também que as autoridades reguladoras nacionais competentes devem ter poderes, incluindo o poder de emitir instruções vinculativas, para assegurar o cumprimento dessas obrigações.

(12)

Além disso, a Diretiva 2002/20/CE do Parlamento Europeu e do Conselho (8) permite aos Estados-Membros associar à autorização geral certas condições relativas à segurança das redes públicas contra o acesso não autorizado, para proteger a confidencialidade das comunicações em conformidade com a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (9).

(13)

Com vista a apoiar o cumprimento destas obrigações, a União criou uma série de organismos de cooperação. A Agência para a Segurança das Redes e da Informação (ENISA), a Comissão, os Estados-Membros e as autoridades reguladoras nacionais elaboraram orientações técnicas dirigidas às autoridades reguladoras nacionais em matéria de comunicação de incidentes, medidas de segurança e ameaças a bens (10). O Grupo de Cooperação instituído pela Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (11) («o Grupo de Cooperação») reúne as autoridades competentes a fim de apoiar e facilitar a cooperação, nomeadamente fornecendo orientações estratégicas para as atividades da Rede de Equipas de Resposta a Incidentes de Segurança Informática, o que, a nível técnico, facilita a cooperação operacional.

(14)

O futuro quadro europeu de certificação da cibersegurança (12) deverá constituir um instrumento de apoio essencial para promover níveis coerentes de segurança. Deverá permitir o desenvolvimento de sistemas de certificação da cibersegurança para dar resposta às necessidades dos utilizadores de equipamentos e programas informáticos relacionados com a G5. Devido à importância crítica destas infraestruturas, deverá ser dada prioridade imediata à elaboração de sistemas europeus de certificação da cibersegurança relevantes para os produtos, os serviços ou os processos das tecnologias da informação e das comunicações utilizados nas redes 5G. Os Estados-Membros e os intervenientes no mercado devem participar ativamente no desenvolvimento desses sistemas de certificação, nomeadamente apoiando a definição de perfis de proteção específicos para as redes 5G.

(15)

Na ausência de legislação harmonizada da União, os Estados-Membros podem especificar, por meio de regulamentos técnicos nacionais, adotados em conformidade com o direito da União, que deve ser obrigatório um sistema europeu de certificação da cibersegurança. Os Estados-Membros também recorrem a sistemas europeus de certificação da cibersegurança no contexto de contratos públicos e no âmbito da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (13) e podem apoiar o desenvolvimento de mecanismos de assistência — como, por exemplo, uma plataforma de assistência — para a aquisição de soluções de cibersegurança por parte de adquirentes públicos.

(16)

Um elevado nível de proteção dos dados e da privacidade constitui um elemento importante para garantir a segurança das redes 5G. Foram igualmente definidas regras a nível da União destinadas a garantir a segurança do tratamento de dados pessoais, nomeadamente nas comunicações eletrónicas. O Regulamento Geral de Proteção de Dados (14) prevê que o tratamento dos dados pessoais deve obrigatoriamente garantir a sua segurança, designadamente para impedir o acesso e a utilização não autorizados a dados pessoais e a equipamentos utilizados para o tratamento dos dados. A diretiva relativa à privacidade e às comunicações eletrónicas estabelece regras específicas sobre a proteção da confidencialidade das comunicações e do equipamento terminal dos utilizadores finais. Impõe também obrigações aos prestadores de serviços no sentido de tomarem medidas técnicas e organizativas adequadas para salvaguardar a segurança dos seus serviços.

(17)

A União adotou também um instrumento que protegerá infraestruturas e tecnologias de importância crítica, como as utilizadas nas comunicações, permitindo aos Estados-Membros escrutinar os investimentos diretos estrangeiros por razões de segurança ou de ordem pública e criando um mecanismo de cooperação no âmbito do qual os Estados-Membros e a Comissão poderão trocar informações e expressar as suas preocupações quanto a determinados investimentos (15).

(18)

Os Estados-Membros e os operadores estão atualmente a tomar medidas preparatórias importantes com vista a permitir a implantação em grande escala das redes 5G. Vários Estados-Membros manifestaram a sua preocupação quanto aos potenciais riscos de segurança relacionados com as redes 5G no contexto da execução de procedimentos para a concessão de direitos de utilização nas faixas do espetro de radiofrequências designadas para as redes 5G (16), tendo estudado medidas para enfrentar esses riscos.

(19)

Na abordagem dos riscos de cibersegurança nas redes 5G deve ter-se em conta fatores técnicos e fatores de outra ordem. Os fatores técnicos podem incluir vulnerabilidades de cibersegurança que possam ser exploradas para obter acesso não autorizado a informações (ciberespionagem, seja por razões económicas ou políticas) ou para outros fins mal-intencionados (ciberataques destinados a perturbar ou destruir sistemas e dados). Alguns dos aspetos importantes a considerar devem ser a necessidade de proteger as redes ao longo de todo o seu ciclo de vida e a necessidade de abranger todos os equipamentos relevantes, nomeadamente nas fases de conceção, desenvolvimento, concurso para aquisição, implantação, funcionamento e manutenção das redes 5G.

(20)

Outros fatores podem incluir requisitos regulamentares ou de outra ordem, impostos aos fornecedores de equipamentos de tecnologias da informação e das comunicações. Uma avaliação da importância desses fatores deveria ter em conta, inter alia, o risco global de influência de um país terceiro, nomeadamente em relação ao seu modelo de governação, a ausência de acordos de cooperação em matéria de segurança, ou de convénios similares, como decisões de adequação, em matéria de proteção de dados entre a União e o país terceiro em causa ou, se este país é parte em acordos multilaterais, internacionais ou bilaterais sobre cibersegurança, a luta contra a cibercriminalidade ou a proteção de dados.

(21)

Dado tratar-se de um passo importante no desenvolvimento de uma abordagem da União em matéria de cibersegurança das redes 5G, deve ser realizada e concluída uma avaliação dos riscos a nível nacional. Tal ajudaria os Estados-Membros a adaptar as medidas nacionais em matéria de requisitos de segurança e de gestão de riscos aos resultados desta avaliação.

(22)

A coordenação é um elemento importante a desenvolver a fim de garantir a eficácia das medidas destinadas a enfrentar estas ameaças à cibersegurança, medidas que são essenciais para o bom funcionamento do mercado interno e para a proteção dos dados pessoais e da privacidade.

(23)

As avaliações nacionais dos riscos devem constituir a base de uma avaliação coordenada dos riscos a nível da União, composta pelo levantamento do panorama das ameaças e por uma revisão conjunta a realizar pelos Estados-Membros, com o apoio da Comissão e em conjunto com a Agência Europeia para a Cibersegurança (ENISA).

(24)

Tendo em conta as avaliações dos riscos a nível nacional e da União, o Grupo de Cooperação deve criar um conjunto de instrumentos que permita identificar os tipos de riscos de cibersegurança e as medidas possíveis para reduzir os riscos em domínios como a certificação, os ensaios e os controlos de acesso. Este grupo deve igualmente identificar possíveis medidas específicas adequadas para enfrentar os riscos recenseados por um ou mais Estados-Membros. O Grupo de Cooperação deve beneficiar do apoio da Agência Europeia para a Cibersegurança (ENISA), da Europol, do Organismo dos Reguladores Europeus das Comunicações Eletrónicas (ORECE) e do Centro de Situação e de Informações da UE. Este conjunto de instrumentos deve servir para aconselhar a Comissão sobre o desenvolvimento de requisitos comuns mínimos que permitam garantir um nível elevado de cibersegurança das redes 5G em toda a União.

(25)

Na elaboração das medidas destinadas a fazer face aos riscos de cibersegurança, deve ser tida em conta a promoção da cibersegurança através da diversidade de fornecedores quando da construção de uma rede.

(26)

A presente recomendação é aplicável sem prejuízo das competências dos Estados-Membros no que respeita às atividades relacionadas com a segurança pública, a defesa, a segurança nacional e as atividades do Estado em domínios do direito penal, incluindo o direito de os Estados-Membros excluírem certos prestadores de serviços ou fornecedores dos seus mercados por razões de segurança nacional.

1.

2.

a)   «Redes 5G»: um conjunto de todos os elementos relevantes da infraestrutura das redes para tecnologias de comunicações móveis e sem fios utilizadas para fins de conectividade e em serviços de valor acrescentado com características de desempenho avançadas, tais como velocidades de débito e capacidade de dados muito elevadas, comunicações de baixa latência, de fiabilidade ultra elevada ou que suportem um grande número de dispositivos conectados. Podem incluir elementos das redes históricas baseados em gerações de tecnologias de comunicações móveis e sem fios anteriores, tais como as tecnologias 4G ou 3G. As redes 5G devem ser entendidas como incluindo todas as partes relevantes da rede.

b)   «Infraestruturas subjacentes ao ecossistema digital»: infraestruturas utilizadas para permitir a digitalização numa vasta gama de aplicações de importância crítica para a economia e a sociedade.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.