Mesaj 001
Comunicarea Comisiei - TRIS/(2023) 3739
Directiva (UE) 2015/1535
Notificare: 2023/0761/ES
Notificarea unui proiect de text din partea unui stat membru
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233739.RO
1. MSG 001 IND 2023 0761 ES RO 29-12-2023 ES NOTIF
2. Spain
3A. Subdirección de Asuntos Industriales, Energéticos, de Transportes, Comunicaciones y de Medioambiente
D.G. de Mercado Interior y otras Políticas Comunitarias
Ministerio de Asuntos Exteriores, UE y Cooperación
3B. Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.
Subdirección General de Ordenación de las Telecomunicaciones.
Ministerio de Transformación Digital
4. 2023/0761/ES - V00T - Telecomunicații
5. DECRET REGAL DE APROBARE A SCHEMEI NAȚIONALE DE SECURITATE A REȚELELOR ȘI SERVICIILOR 5G
6. Rețele și servicii de comunicații electronice 5G
Echipamente de telecomunicații.
7.
8. Regulamentul cuprinde o parte explicativă, un articol unic care aprobă ENS5G (Schema națională de securitate pentru 5G), două dispoziții suplimentare și patru dispoziții finale.
ENS5G care urmează să fie aprobat cuprinde 33 de articole împărțite în opt capitole și trei anexe.
Expunerea de motive explică motivele care stau la baza adoptării regulamentului și a articolelor din Decretul-lege regal care sunt în curs de elaborare.
Articolul unic aprobă Schema națională de securitate pentru rețelele și serviciile 5G.
Prima dispoziție suplimentară prevede că guvernul, prin decret regal, la propunerea Ministerului Transformării Digitale, în urma unui raport al Consiliului de Securitate Națională, revizuiește Schema națională de securitate pentru rețelele și serviciile 5G atunci când circumstanțele o impun și, în orice caz, o dată la patru ani.
A doua dispoziție suplimentară prevede că Decretul-lege regal 7/2022 din 29 martie 2022 și ENS5G se aplică generațiilor de comunicații electronice după a cincea generație, fără a exista o reglementare specifică în acest sens.
Prima dispoziție finală privind competența precizează că decretul regal și schema pe care acesta o aprobă sunt emise în temeiul dispozițiilor articolului 149 alineatul (1) punctul 21 și ale articolului 149 alineatul (1) punctul 29 din Constituție, care conferă statului competența exclusivă în ceea ce privește sistemul general de telecomunicații și, respectiv, securitatea publică.
A doua dispoziție finală declară Legea 11/2022 din 28 iunie 2022, Legea generală a telecomunicațiilor și normele de aplicare a acesteia, ca fiind de aplicare complementară și prevede că, în toate aspectele nereglementate în aceste norme, Decretul-lege regal 12/2018 din 7 septembrie 2018 privind securitatea rețelelor și sistemelor informatice și Legea 8/2011 din 28 aprilie 2011, care stabilește măsuri pentru protecția infrastructurilor critice, precum și normele de aplicare a acestora, sunt de aplicare complementară.
A treia dispoziție finală privind dezvoltarea reglementărilor permite șefului Ministerului Transformării Digitale să elaboreze dispozițiile prezentului decret regal și ale schemei pe care o aprobă și să modifice prin ordonanță conținutul anexelor în funcție de evoluția progresului tehnologic, aprobarea noilor standarde tehnice și scheme de certificare pentru echipamentele de telecomunicații și produsele conectate, precum și dezvoltarea diferitelor configurații și parametri tehnici ai rețelelor și serviciilor 5G și generațiilor viitoare de comunicații electronice.
A patra dispoziție finală prevede că regulamentul intră în vigoare în ziua următoare datei publicării sale în „Monitorul Oficial de Stat”.
În ceea ce privește conținutul ENS5G, care este aprobat:
Articolul 1 prevede că regulamentul este emis în cadrul punerii în aplicare a Decretului-lege regal 7/2022 din 29 martie 2022, în special în aplicarea capitolului IV.
Articolul 2 se referă la obiectivele regulamentului, care au fost deja analizate.
Articolul 3 prevede că se utilizează definițiile prevăzute în Decretul-lege regal 7/2022 din 29 martie 2022, în Legea 11/2022 din 28 iunie 2022 privind telecomunicațiile generale și în Codul european al comunicațiilor electronice.
Articolul 4 prevede că regulamentul se aplică operatorilor 5G, furnizorilor 5G și utilizatorilor comerciali 5G care au dreptul de a utiliza domeniul public de radio pentru a instala, a implementa sau a exploata o rețea privată 5G sau pentru a furniza servicii 5G în scopuri profesionale sau de autofurnizare.
Articolul 5 identifică elementele minime, infrastructura și resursele care alcătuiesc o rețea de comunicații electronice 5G, făcând trimitere la anexa I pentru descrierea lor detaliată. Acesta stabilește, de asemenea, elementele critice ale unei rețele 5G, care trebuie să fie situată, ca regulă generală, pe teritoriul național (inclusiv eventualele excepții).
Articolul 6 se referă la tratamentul cuprinzător al securității în conformitate cu legislația comunitară și națională internațională care a fost aprobată sau care poate fi aprobată, impunând părților obligate să efectueze, printr-o metodă holistică, o analiză a vulnerabilităților, a amenințărilor și a riscurilor care le afectează în calitate de agenți economici și a diferitelor componente, precum și o gestionare adecvată și cuprinzătoare a acestor riscuri prin utilizarea unor tehnici și măsuri adecvate pentru a realiza atenuarea sau eliminarea acestora și pentru a atinge obiectivul final de utilizare și exploatare sigură a rețelelor și serviciilor 5G.
Articolul 7 subliniază că analiza și gestionarea riscurilor reprezintă o parte esențială a procesului de securitate și ar trebui să fie o activitate continuă, care este actualizată în permanență.
Articolul 8 se referă la monitorizarea continuă și la reevaluarea periodică.
Articolul 9 prevede că analiza riscurilor la nivel național este cea prevăzută în anexa II și a fost efectuată ținând seama de diverse elemente, cum ar fi informațiile colectate de la părțile obligate, examinarea vulnerabilităților legate de lanțul de aprovizionare al rețelelor și serviciilor 5G, evaluarea gradului de dependență a furnizorilor, riscul de întrerupere a aprovizionării din cauza circumstanțelor economice, corporative sau comerciale care afectează furnizorii sau evaluarea eficacității măsurilor de securitate aplicate.
Articolul 10 privind gestionarea riscurilor la nivel național prevede că criteriile, cerințele, condițiile și termenele pentru ca părțile obligate să conceapă și să pună în aplicare tehnici și măsuri de atenuare a riscurilor sunt cele prevăzute în anexa III.
Articolul 11 dezvoltă dispozițiile articolului 14 din Decretul-lege regal 7/2022 din 29 martie 2022 în ceea ce privește procedura și aspectele care urmează să fie evaluate de Consiliul de Miniștri pentru clasificarea furnizorilor ca având un risc ridicat și elementele care trebuie luate în considerare atunci când se dispune eventuala înlocuire a echipamentelor, a produselor și a serviciilor furnizate de furnizorii respectivi. De asemenea, în conformitate cu dispozițiile decretului-lege regal menționat anterior, furnizorii cu risc ridicat ale căror echipamente de telecomunicații, hardware, software sau servicii auxiliare furnizate sunt utilizate numai și exclusiv în rețele 5G private sau pentru furnizarea de servicii 5G în regim de autofurnizare sunt clasificați drept furnizori cu risc mediu.
Articolul 12 privind stabilirea locurilor în care echipamentele furnizorilor clasificați ca fiind cu risc ridicat nu poate fi instalat prevede că Consiliul de Securitate Națională, în urma unui raport al Ministerului Transformării Digitale, poate stabili locațiile, zonele și centrele în care este posibil să nu fie instalate echipamente ale furnizorilor clasificați ca având un risc ridicat. Pentru instalarea, modificarea sau adaptarea stațiilor radio care asigură acoperirea acestor locații, zone și centre, operatorii 5G trebuie să solicite autorizația Ministerului Transformării Digitale.
Articolul 13 obligă operatorii 5G să elaboreze o strategie de diversificare a lanțului de aprovizionare și să dispună de echipamente de transport în rețeaua de acces care sunt furnizate de cel puțin doi furnizori diferiți. De asemenea, aceasta prevede criterii care trebuie luate în considerare de Consiliul de Miniștri pentru a decide dacă este posibil să se mențină un singur furnizor în cazul în care numărul furnizorilor este redus ca urmare a fuziunilor. În plus, acesta precizează ipotezele și procedura prin care Ministerul Transformării Digitale poate modifica strategia de diversificare a lanțului de aprovizionare a unui operator 5G.
Articolul 14 se axează pe analiza riscurilor care trebuie efectuată de operatorii 5G în legătură cu toate elementele, infrastructura și resursele rețelei din anexa I, enumeră factorii care trebuie luați în considerare și obligă operatorii să colecteze de la furnizorii lor practicile și măsurile de securitate adoptate în cadrul produselor și serviciilor pe care le-au furnizat și să includă o prioritizare și o ierarhizare a riscurilor în funcție de anumiți parametri enumerați. Operatorii 5G trebuie să prezinte o analiză de risc până la 1 octombrie 2024 și, ulterior, la fiecare doi ani.
Articolul 15 privind analiza riscurilor de către furnizorii 5G impune analiza riscurilor echipamentelor de telecomunicații, hardware-ului și software-ului și serviciilor auxiliare implicate în funcționarea sau exploatarea rețelelor 5G sau în furnizarea serviciilor 5G, precum și furnizarea acestei analize către minister, la cerere. În cazul furnizorilor clasificați ca având un risc ridicat sau mediu, analiza se prezintă în termen de șase luni de la această clasificare și, ulterior, o dată la doi ani.
Articolul 16 privind analiza de risc efectuată de utilizatorii corporativi 5G impune ca această analiză a riscurilor să fie furnizată Ministerului Transformării Digitale, atunci când astfel de utilizatori sunt obligați să facă acest lucru.
Articolul 17 permite Ministerului Transformării Digitale să colecteze de la părțile obligate informațiile necesare pentru analiza riscurilor și clasifică nefurnizarea acestor informații în termen de 15 zile lucrătoare drept încălcare gravă. Informațiile sunt considerate confidențiale și nu pot fi utilizate în alt scop decât îndeplinirea obiectivelor și obligațiilor stabilite în Decretul-lege regal 7/2022 din 29 martie 2022, în ENS5G și în actele care sunt emise pentru punerea în aplicare a ambelor dispoziții.
Articolul 18 proclamă obligația generală a tuturor părților obligate de a gestiona riscurile de securitate.
Articolul 19 se axează pe gestionarea securității de către operatorii 5G, enumerând obligații pentru toți operatorii (cum ar fi adoptarea de planuri și măsuri de urgență, respectarea standardelor europene sau a specificațiilor tehnice și a sistemelor de certificare, de a face obiectul unui audit de securitate pe propriul cost sau de a solicita furnizorilor lor să respecte standardele de securitate) și obligații suplimentare pentru operatorii care dețin sau exploatează elemente critice ale unei rețele publice 5G (cum ar fi interdicțiile de utilizare a echipamentelor de la furnizori cu grad ridicat de risc în elementele de rețea critice sau în anumite locații, zone și centre). Operatorii 5G trebuie să prezinte Ministerului Transformării Digitale o descriere a măsurilor tehnice și organizatorice concepute și puse în aplicare pentru gestionarea și atenuarea riscurilor până la 1 octombrie 2024 și, ulterior, o dată la doi ani. În plus, operatorii 5G care dețin sau exploatează elemente critice ale unei rețele publice 5G trebuie să prezinte Ministerului Transformării Digitale o strategie de diversificare a lanțului de aprovizionare până la 1 octombrie 2024 și, ulterior, de fiecare dată când aceasta face obiectul unei modificări. Informațiile privind stadiul punerii în aplicare a acestei strategii trebuie prezentate până la data de 1 octombrie a fiecărui an.
Articolul 20 privind gestionarea securității de către furnizorii 5G conține o listă de obligații, inclusiv efectuarea unui audit de securitate al echipamentelor, al produselor și al serviciilor lor, furnizarea de informații cu privire la posibilele interferențe ale terților în proiectarea, operarea și funcționarea echipamentelor, a produselor și a serviciilor lor și colaborarea cu operatorii 5G și cu utilizatorii corporativi 5G prin furnizarea de informații și certificarea conformității cu standardele și certificările. Furnizorii 5G trebuie să întocmească un raport privind măsurile tehnice și organizatorice concepute și implementate pentru gestionarea și atenuarea riscurilor și să prezinte acest raport ministerului, la cerere. În cazul furnizorilor clasificați ca risc ridicat sau mediu, raportul se transmite în termen de șase luni de la respectiva clasificare și, ulterior, o dată la doi ani.
Articolul 21, referitor la gestionarea securității de către utilizatorii corporativi 5G, prevede că aceștia nu pot utiliza în elementele critice ale rețelei echipamente de telecomunicații, sisteme de transmisie, echipamente de comutare sau de rutare și alte resurse care permit transportul de semnale, hardware, software sau servicii auxiliare de la furnizori care au fost clasificați ca fiind de risc mediu și că trebuie să furnizeze Ministerului Transformării Digitale, atunci când li se solicită acest lucru, o descriere a măsurilor tehnice și organizatorice concepute și implementate pentru a gestiona și a atenua riscurile.
Articolul 22 privind gestionarea securității de către administrațiile publice prevede că, din motive de securitate națională, în cadrul instalării, implementării și exploatării rețelelor 5G, publice sau private, sau al furnizării de servicii 5G, indiferent dacă acestea sunt accesibile publicului sau autofurnizate, administrațiile publice nu pot utiliza echipamente, produse și servicii furnizate de furnizori cu risc ridicat sau mediu.
Articolul 23 prevede că, în conformitate cu obligațiile prevăzute la articolele anterioare, părțile obligate iau în considerare și aplică ceea ce este stabilit în Decretul-lege regal 7/2022 din 29 martie 2022, în ENS5G și în actele care sunt emise pentru punerea în aplicare a ambelor dispoziții.
Articolul 24 permite Ministerului Transformării Digitale să colecteze de la părțile obligate informațiile necesare pentru gestionarea riscurilor și clasifică nefurnizarea acestor informații în termen de 15 zile lucrătoare drept încălcare gravă. Informațiile sunt considerate confidențiale și nu pot fi utilizate în alt scop decât îndeplinirea obiectivelor și obligațiilor stabilite în Decretul-lege regal 7/2022 din 29 martie 2022, în ENS5G și în actele care sunt emise pentru punerea în aplicare a ambelor dispoziții.
Articolul 25 prevede că toate părțile obligate, precum și administrațiile publice, producătorii, importatorii, distribuitorii și cei care introduc pe piață și vând echipamente și dispozitive terminale pentru a se conecta la o rețea 5G și pentru a putea furniza servicii 5G trebuie să coopereze și să prezinte informațiile necesare pentru modificarea și punerea în aplicare a ENS5G.
Articolul 26 prevede că, prin ordinul șefului Ministerului Transformării Digitale, utilizarea unui anumit echipament, sistem, program sau serviciu poate fi supusă certificării prealabile în temeiul Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind securitatea cibernetică sau în cadrul sistemelor de certificare și al standardelor tehnice pentru certificarea echipamentelor și produselor 5G care pot fi aprobate la nivel european sau internațional.
Articolul 27 prevede că regulamentul se aplică fără a aduce atingere legislației în materie de investiții străine și de concurență.
Articolul 28 privind echipamentele terminale prevede că fabricarea, importul, distribuția, introducerea pe piață și vânzarea de echipamente și dispozitive terminale pentru conectarea la o rețea 5G și pentru a putea furniza servicii 5G sunt condiționate de respectarea cerințelor de securitate pentru produsele digitale și a cerințelor esențiale aplicabile legate de securitatea cibernetică, adoptate în conformitate cu legislația europeană, în special în ceea ce privește protecția datelor cu caracter personal, viața privată și protecția împotriva fraudei.
Articolul 29 se referă la cooperarea internațională care urmează să fie dezvoltată de Ministerul Transformării Digitale, în special la nivelul Uniunii Europene.
Articolul 30 se referă la competența Ministerului Transformării Digitale de punere în aplicare a ENS5G. Ministerul ar trebui să se coordoneze cu celelalte organisme responsabile cu securitatea cibernetică și infrastructura critică pentru a asigura punerea în aplicare coerentă a ENS5G.
Articolul 31 diminuează competențele pentru punerea în aplicare a ENS5G care corespund Ministerului Transformării Digitale, inclusiv, de exemplu, elaborarea, specificarea și detaliile conținutului ENS5G, efectuarea de audituri pentru verificarea și monitorizarea respectării obligațiilor impuse, precum și acordarea de ajutoare publice.
Articolul 32 atribuie Ministerului Transformării Digitale toate competențele funcției de inspecție.
Articolul 33 privind sistemul de sancțiuni face trimitere la dispozițiile articolelor 30 și 31 din Decretul-lege regal 7/2022 din 29 martie 2022.
Anexa I descrie elementele, infrastructura și resursele care alcătuiesc o rețea 5G.
Anexa II conține analiza riscurilor la nivel național.
Anexa III stabilește gestionarea riscurilor la nivel național.
9. Comunicațiile mobile de generația a cincea sau 5G reprezintă o nouă paradigmă a comunicațiilor electronice cu un mare potențial transformator în beneficiul societății și al economiei, deoarece deschid posibilitatea de a încorpora noi funcționalități care vor avea un impact major, cum ar fi calculul de rețea, și permit crearea de rețele virtuale, oferind latență redusă și oferind servicii cu valoare adăugată ridicată în domenii precum medicina, transporturile și energia.
Prin urmare, atât Uniunea Europeană, cât și Spania promovează implementarea rapidă a rețelelor 5G și punerea în aplicare a proiectelor care demonstrează utilitatea lor pentru diferite sectoare prin furnizarea de servicii 5G.
Rețelele și serviciile 5G au avantaje de securitate comparativă față de generațiile anterioare. Cu toate acestea, ele prezintă, de asemenea, riscuri specifice care decurg, de exemplu, din arhitectura lor de rețea mai complexă, deschisă și dezagregată, precum și din capacitatea lor de a transporta volume uriașe de informații și de a permite interacțiunea simultană a mai multor persoane și lucruri. Interconectarea lor cu alte rețele și natura transnațională a multora dintre amenințări au un impact asupra securității lor, iar utilizarea pe scară largă previzibilă a acestor rețele pentru funcții economice și societale esențiale va spori impactul potențial al incidentelor de securitate pe care le suferă.
Aceste noi riscuri de securitate specifice comunicațiilor mobile 5G au fost abordate în termeni de reglementare prin Decretul-lege regal 7/2022 din 29 martie 2022 privind cerințele pentru asigurarea securității rețelelor și serviciilor de comunicații electronice de generația a cincea, care încorporează integral Recomandarea (UE) 2019/534 din 26 martie 2019, privind securitatea cibernetică a rețelelor 5G, precum și recomandările formulate prin Comunicarea Comisiei Europene din 29 ianuarie 2020 „Implementarea securizată a 5G în UE – Punerea în aplicare a setului de instrumente al UE” (COM/2020/50 final) adresată statelor membre cu privire la utilizarea „setului de instrumente al UE”.
Decretul-lege regal nr. 7/2022 menționat anterior din 29 martie 2022 prevede dezvoltarea sa în materie de reglementare prin intermediul schemei naționale de securitate pentru rețelele și serviciile 5G (ENS5G).
În conformitate cu articolul 5 alineatul (3) din Decretul-lege regal menționat anterior, ENS5G efectuează un tratament cuprinzător al securității rețelelor și serviciilor 5G, ținând seama de contribuțiile la acoperirea fiecărui agent al lanțului valoric 5G, precum și de reglementările, recomandările și standardele tehnice ale Uniunii Europene, ale Uniunii Internaționale a Telecomunicațiilor (UIT) și ale altor organizații internaționale, pentru a garanta obiectivul final de utilizare și exploatare sigură a rețelelor și serviciilor 5G în Spania.
La rândul său, articolul 20 din Decretul-lege regal prevede că, pentru a asigura funcționarea continuă și sigură a rețelei și a serviciilor 5G, ENS5G efectuează o analiză de risc la nivel național cu privire la securitatea rețelelor și serviciilor 5G și identifică, specifică și elaborează măsuri de atenuare și gestionare a riscurilor analizate.
În cele din urmă, în conformitate cu articolul 21 din Decretul-lege regal, ENS5G este aprobat de guvern, prin decret regal, la propunerea Ministerului Transformării Digitale, în urma unui raport al Consiliului de Securitate Națională.
Prezentul regulament aprobă ENS5G, dezvoltând dispozițiile Decretului-lege regal 7/2022 din 29 martie 2022 privind cerințele de garantare a securității rețelelor și serviciilor de comunicații electronice de a cincea generație.
10. Trimiteri la textele de bază:
11. Nu
12.
13. Nu
14. Nu
15. Da
16.
Aspect TBT: Nu
Aspect SPS: Nu
**********
Comisiei Europene
Punct de contact pentru Directiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
