Správa 001
Oznámenie (správa) komisie- TRIS/(2023) 3739
smernica (EÚ) 2015/1535
Oznámenie: 2023/0761/ES
Oznámenie návrhu znenia od členského štátu
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233739.SK
1. MSG 001 IND 2023 0761 ES SK 29-12-2023 ES NOTIF
2. Spain
3A. Subdirección de Asuntos Industriales, Energéticos, de Transportes, Comunicaciones y de Medioambiente
D.G. de Mercado Interior y otras Políticas Comunitarias
Ministerio de Asuntos Exteriores, UE y Cooperación
3B. Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.
Subdirección General de Ordenación de las Telecomunicaciones.
Ministerio de Transformación Digital
4. 2023/0761/ES - V00T - Telekomunikácie
5. KRÁĽOVSKÝ DEKRÉT, KTORÝM SA SCHVAĽUJE SYSTÉM NÁRODNEJ BEZPEČNOSTI SIETÍ A SLUŽIEB 5G
6. Elektronické komunikačné siete a služby 5G
Telekomunikačné zariadenia.
7.
8. Tento predpis pozostáva z výkladovej časti, jediného článku, ktorým sa schvaľuje ENS5G (Systém národnej bezpečnosti 5G), dvoch dodatočných ustanovení a štyroch záverečných ustanovení.
ENS5G, ktorý sa má schváliť, pozostáva z 33 článkov rozdelených do ôsmich kapitol a troch príloh.
V dôvodovej správe sa vysvetľujú dôvody prijatia predpisu a pripravované články kráľovského zákonného dekrétu.
V jedinom článku sa schvaľuje Systém národnej bezpečnosti sietí a služieb 5G.
V prvom dodatočnom ustanovení sa uvádza, že vláda prostredníctvom kráľovského dekrétu na návrh ministerstva digitálnej transformácie na základe správy Národnej bezpečnostnej rady preskúma Systém národnej bezpečnosti sietí a služieb 5G, keď si to okolnosti budú vyžadovať a v každom prípade každé štyri roky.
V druhom dodatočnom ustanovení sa uvádza, že kráľovský zákonný dekrét č. 7/2022 z 29. marca 2022 a ENS5G sa budú uplatňovať na generácie elektronických komunikácií nasledujúce po piatej generácii, kým pre ne nebude stanovený osobitný predpis.
V prvom záverečnom ustanovení o názve právomoci sa uvádza, že kráľovský dekrét a systém, ktorý sa ním schvaľuje, sa vydávajú podľa ustanovení článku 149 ods. 1 bodu 21 a článku 149 ods. 1 bodu 29 španielskej ústavy, ktorými sa štátu udeľuje výlučná právomoc vo veciach všeobecného telekomunikačného režimu a vo veciach verejnej bezpečnosti.
V druhom záverečnom ustanovení sa vyhlasuje, že všeobecný zákon č. 11/2022 z 28. júna 2022 o telekomunikáciách a jeho vykonávacie predpisy majú doplnkový účinok, a uvádza sa v ňom, že vo všetkých záležitostiach, ktoré nie sú upravené v uvedených právnych predpisoch, má doplnkový účinok kráľovský zákonný dekrét č. 12/2018 zo 7. septembra 2018 o bezpečnosti sietí a informačných systémov a zákon č. 8/2011 z 28. apríla 2011, ktorým sa stanovujú opatrenia na ochranu kritických infraštruktúr, ako aj ich príslušné vykonávacie nariadenia.
Tretím záverečným ustanovením o regulačnom vývoji sa vedúcemu ministerstva digitálnej transformácie umožňuje vypracovať ustanovenia tohto kráľovského dekrétu a systém, ktorý sa ním schvaľuje, a upraviť prostredníctvom nariadenia obsah príloh podľa vývoja technologického pokroku, schvaľovania nových technických noriem a certifikačných systémov pre telekomunikačné zariadenia a pripojené produkty a vývoja rôznych konfigurácií a technických parametrov sietí a služieb 5G a budúcich generácií elektronických komunikácií.
Vo štvrtom záverečnom ustanovení sa stanovuje, že predpis nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v „Úradnom štátnom vestníku“.
Pokiaľ ide o obsah schvaľovaného ENS5G:
V článku 1 sa uvádza, že predpis sa vydáva na základe vykonávania kráľovského zákonného dekrétu č. 7/2022 z 29. marca 2022, najmä na základe jeho kapitoly IV.
Článok 2 odkazuje na ciele predpisu, ktoré už boli analyzované.
V článku 3 sa uvádza, že sa používajú vymedzenia pojmov stanovené v kráľovskom zákonnom dekréte č. 7/2022 z 29. marca 2022, vo všeobecnom zákone č. 11/2022 z 28. júna 2022 o telekomunikáciách a v európskom kódexe elektronických komunikácií.
V článku 4 sa stanovuje, že predpis sa vzťahuje na prevádzkovateľov 5G, dodávateľov 5G a firemných používateľov 5G, ktorí majú práva na používanie verejnej rádiovej domény na inštaláciu, zavedenie alebo prevádzku súkromnej siete 5G alebo na poskytovanie služieb 5G na profesionálne účely alebo na účely vlastného poskytovania.
V článku 5 sa určujú minimálne prvky, infraštruktúra a zdroje, ktoré tvoria elektronickú komunikačnú sieť 5G, s odkazom na prílohu I, kde je uvedený ich podrobný opis. Stanovujú sa v ňom aj kritické prvky siete 5G, ktoré sa vo všeobecnosti musia nachádzať na vnútroštátnom území (vrátane možných výnimiek).
Článok 6 sa týka komplexného riešenia bezpečnosti v súlade s medzinárodnými právnymi predpismi Spoločenstva a vnútroštátnymi právnymi predpismi, ktoré boli schválené alebo ktoré môžu byť schválené, pričom sa od povinných strán vyžaduje, aby prostredníctvom holistickej metódy vykonali analýzu zraniteľných miest, hrozieb a rizík, ktoré sa ich ako hospodárskych subjektov týkajú, a rôznych zložiek, ako aj primeraného a komplexného riadenie týchto rizík pomocou techník a opatrení, ktoré sú vhodné na dosiahnutie ich zmiernenia alebo eliminácie a na dosiahnutie konečného cieľa bezpečného využívania a prevádzky sietí a služieb 5G.
V článku 7 sa zdôrazňuje, že analýza a riadenie rizík sú nevyhnutnou súčasťou bezpečnostného procesu a mali by byť nepretržitou činnosťou, ktorá sa neustále aktualizuje.
Článok 8 sa týka nepretržitého monitorovania a pravidelného prehodnocovania.
V článku 9 sa uvádza, že analýza rizík na vnútroštátnej úrovni je stanovená v prílohe II a vykonáva sa s prihliadnutím na rôzne prvky, ako sú informácie zhromaždené od povinných strán, preskúmanie zraniteľných miest spojených s dodávateľským reťazcom sietí a služieb 5G, posúdenie stupňa závislosti dodávateľov, riziko prerušenia dodávok v dôsledku hospodárskych, korporátnych alebo obchodných okolností ovplyvňujúcich dodávateľov alebo posúdenie účinnosti uplatnených bezpečnostných opatrení.
V článku 10 o riadení rizík na vnútroštátnej úrovni sa uvádza, že kritériá, požiadavky, podmienky a lehoty pre povinné strany na navrhnutie a vykonávanie techník a opatrení na zmiernenie rizika sú stanovené v prílohe III.
V článku 11 sa rozvíjajú ustanovenia článku 14 kráľovského zákonného dekrétu č. 7/2022 z 29. marca 2022 týkajúce sa postupu a aspektov, ktoré má posúdiť Rada ministrov pri klasifikácii dodávateľov ako vysokorizikových, a prvkov, ktoré sa majú zohľadniť pri objednávaní prípadnej výmeny zariadení, výrobkov a služieb poskytovaných týmito dodávateľmi. Rovnako sa v súlade s ustanoveniami uvedeného kráľovského zákonného dekrétu uvádza, že vysokorizikoví dodávatelia, ktorých telekomunikačné zariadenia, hardvér, softvér alebo doplnkové služby sa používajú výhradne a výlučne v súkromných sieťach 5G alebo na poskytovanie služieb 5G v rámci vlastného poskytovania, sú klasifikovaní ako stredne rizikoví dodávatelia.
V článku 12 o určení miest, kde nie je možné inštalovať zariadenia dodávateľov, ktorí sú klasifikovaní ako vysokorizikoví, sa uvádza, že Národná bezpečnostná rada môže na základe správy ministerstva digitálnej transformácie určiť miesta, oblasti a strediská, v ktorých nemožno inštalovať zariadenia dodávateľov, ktorí sú klasifikovaní ako vysokorizikoví. Na inštaláciu, úpravu alebo adaptáciu rádiových staníc, ktoré poskytujú pokrytie pre tieto miesta, oblasti a strediská, musia prevádzkovatelia 5G požiadať ministerstvo digitálnej transformácie o povolenie.
V článku 13 sa prevádzkovateľom 5G ukladá povinnosť navrhnúť stratégiu diverzifikácie dodávateľského reťazca a mať v prístupovej sieti prenosové zariadenia, ktoré poskytujú aspoň dvaja rôzni dodávatelia. Stanovujú sa v ňom aj kritériá, ktoré má Rada ministrov zohľadniť s cieľom rozhodnúť, či možno zachovať jedného dodávateľa, ak sa počet dodávateľov zníži v dôsledku fúzií. Okrem toho sa v ňom uvádzajú predpoklady a postupy, ktorými môže ministerstvo digitálnej transformácie upraviť stratégiu diverzifikácie dodávateľského reťazca prevádzkovateľa 5G.
Článok 14 sa zameriava na analýzu rizík, ktorú majú vykonať prevádzkovatelia 5G v súvislosti so všetkými prvkami, infraštruktúrou a zdrojmi siete uvedenými v prílohe I, pričom sa v ňom uvádza zoznam faktorov, ktoré sa majú zohľadniť, a ukladá prevádzkovateľom povinnosť, aby získali od svojich dodávateľov bezpečnostné postupy a opatrenia prijaté vo výrobkoch a v službách, ktoré im dodali, a zahrnuli stanovenie priorít a hierarchiu rizík podľa určitých parametrov, ktoré sú tiež uvedené. Do 1. októbra 2024 musia prevádzkovatelia 5G predložiť analýzu rizík, ktorú potom musia predkladať každé 2 roky.
Článok 15 o analýze rizík zo strany dodávateľov 5G vyžaduje analýzu rizík telekomunikačných zariadení, hardvéru, softvéru a doplnkových služieb spojených s fungovaním alebo prevádzkou sietí 5G alebo poskytovaním služieb 5G a poskytnutie uvedenej analýzy ministerstvu na požiadanie. V prípade dodávateľov, ktorí sú klasifikovaní ako vysokorizikoví alebo stredne rizikoví, sa analýza musí predložiť do 6 mesiacov od tejto klasifikácie a potom každé 2 roky.
V článku 16 o analýze rizík zo strany firemných používateľov 5G sa vyžaduje, aby sa táto analýza rizík poskytla ministerstvu digitálnej transformácie, ak sa to od takýchto používateľov vyžaduje.
Článok 17 umožňuje ministerstvu digitálnej transformácie zhromažďovať od povinných osôb informácie potrebné na analýzu rizík a klasifikovať neposkytnutie takýchto informácií do 15 pracovných dní ako závažné porušenie. Informácie sa považujú za dôverné a nesmú sa použiť na iný účel ako na plnenie cieľov a povinností stanovených v kráľovskom zákonnom dekréte č. 7/2022 z 29. marca 2022, v ENS5G a v aktoch, ktoré sa vydávajú pri vykonávaní oboch ustanovení.
V článku 18 sa stanovuje všeobecná povinnosť všetkých povinných strán riadiť bezpečnostné riziká.
Článok 19 sa zameriava na riadenie bezpečnosti zo strany prevádzkovateľov 5G, pričom sa uvádzajú povinnosti pre všetkých prevádzkovateľov (ako je prijatie plánov a opatrení pre nepredvídané udalosti, dodržiavanie európskych noriem alebo technických špecifikácií a certifikačných systémov, absolvovanie bezpečnostného auditu na vlastné náklady alebo požiadavka, aby ich dodávatelia dodržiavali bezpečnostné normy) a dodatočné povinnosti pre tých prevádzkovateľov, ktorí vlastnia alebo prevádzkujú kritické prvky verejnej siete 5G (napríklad zákaz používania zariadení od vysokorizikových dodávateľov v prípade kritických prvkov siete alebo v určitých miestach, oblastiach a strediskách). Prevádzkovatelia 5G musia ministerstvu digitálnej transformácie predložiť opis technických a organizačných opatrení navrhnutých a zavedených na riadenie a zmiernenie rizík do 1. októbra 2024 a potom každé 2 roky. Okrem toho prevádzkovatelia 5G, ktorí vlastnia alebo prevádzkujú kritické prvky verejnej siete 5G, musia ministerstvu digitálnej transformácie predložiť stratégiu diverzifikácie dodávateľského reťazca do 1. októbra 2024 a potom vždy, keď sa táto stratégia zmení. Informácie o stave vykonávania tejto stratégie sa musia predložiť každý rok do 1. októbra.
Článok 20 o riadení bezpečnosti zo strany dodávateľov 5G obsahuje zoznam povinností vrátane vykonania bezpečnostného auditu ich zariadení, výrobkov a služieb, poskytovania informácií o možných zásahoch tretích strán do návrhu, prevádzky a fungovania ich zariadení, výrobkov a služieb a spolupráce s prevádzkovateľmi 5G a firemnými používateľmi 5G poskytovaním informácií a osvedčovaním súladu s normami a certifikáciami. Dodávatelia 5G musia vypracovať správu o technických a organizačných opatreniach navrhnutých a zavedených na riadenie a zmiernenie rizík a na požiadanie predložiť uvedenú správu ministerstvu. V prípade dodávateľov, ktorí sú klasifikovaní ako vysokorizikoví alebo stredne rizikoví, sa správa musí predložiť do 6 mesiacov od tejto klasifikácie a potom každé 2 roky.
V článku 21 o riadení bezpečnosti zo strany firemných používateľov 5G sa uvádza, že v kritických sieťových prvkoch sa nesmú používať telekomunikačné zariadenia, prenosové systémy, spínacie alebo smerovacie zariadenia a iné zdroje, ktoré umožňujú prenos signálov, hardvéru, softvéru alebo doplnkových služieb od dodávateľov, ktorí boli klasifikovaní ako stredne rizikoví. Okrem toho musia používatelia na požiadanie poskytnúť ministerstvu digitálnej transformácie opis technických a organizačných opatrení navrhnutých a zavedených na riadenie a zmierňovanie rizík.
V článku 22 o riadení bezpečnosti zo strany orgánov verejnej správy sa uvádza, že z dôvodov národnej bezpečnosti pri inštalácii, zavádzaní a prevádzke sietí 5G, či už verejných alebo súkromných, alebo pri poskytovaní služieb 5G, či už verejne dostupných alebo na vlastné poskytovanie, orgány verejnej správy nesmú používať zariadenia, výrobky ani služby poskytované vysokorizikovými alebo stredne rizikovými dodávateľmi.
V článku 23 sa uvádza, že v súlade s povinnosťami stanovenými v predchádzajúcich článkoch povinné subjekty zohľadnia a uplatnia to, čo je stanovené v kráľovskom zákonnom dekréte č. 7/2022 z 29. marca 2022, v ENS5G a v aktoch, ktoré sa vydávajú na vykonanie oboch ustanovení.
Článok 24 umožňuje ministerstvu digitálnej transformácie zhromažďovať od povinných subjektov informácie potrebné na riadenie rizík a klasifikovať neposkytnutie takýchto informácií do 15 pracovných dní ako závažné porušenie. Informácie sa považujú za dôverné a nesmú sa použiť na iný účel ako na plnenie cieľov a povinností stanovených v kráľovskom zákonnom dekréte č. 7/2022 z 29. marca 2022, v ENS5G a v aktoch, ktoré sa vydávajú pri vykonávaní oboch ustanovení.
V článku 25 sa uvádza, že všetky povinné subjekty, ako aj orgány verejnej správy, výrobcovia, dovozcovia, distribútori a tí, ktorí uvádzajú na trh a predávajú koncové zariadenia a zariadenia na pripojenie k sieti 5G a na to, aby mohli poskytovať služby 5G, musia spolupracovať a predkladať informácie potrebné na úpravu a vykonávanie ENS5G.
V článku 26 sa uvádza, že na základe nariadenia vedúceho ministerstva digitálnej transformácie môže byť používanie konkrétneho zariadenia, systému, programu alebo služby podmienené predchádzajúcou certifikáciou podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o kybernetickej bezpečnosti alebo podľa systémov certifikácie a technických noriem pre certifikáciu zariadení a produktov 5G, ktoré môžu byť schválené na európskej alebo medzinárodnej úrovni.
V článku 27 sa uvádza, že sa tento predpis uplatňuje bez toho, aby boli dotknuté právne predpisy o zahraničných investíciách a hospodárskej súťaži.
V článku 28 o koncových zariadeniach sa stanovuje, že výroba, dovoz, distribúcia, uvádzanie na trh a predaj koncových zariadení a zariadení na pripojenie k sieti 5G a s možnosťou poskytovať služby 5G sú podmienené dodržiavaním bezpečnostných požiadaviek na digitálne produkty a platných základných požiadaviek týkajúcich sa kybernetickej bezpečnosti prijatých v súlade s európskymi právnymi predpismi, najmä pokiaľ ide o ochranu osobných údajov, súkromia a ochranu pred podvodmi.
Článok 29 sa týka medzinárodnej spolupráce, ktorú má rozvíjať ministerstvo digitálnej transformácie, najmä na úrovni Európskej únie.
Článok 30 sa vzťahuje na právomoc ministerstva digitálnej transformácie na vykonávanie ENS5G. Ministerstvo by malo svoju činnosť koordinovať s ostatnými orgánmi zodpovednými za kybernetickú bezpečnosť a kritickú infraštruktúru s cieľom zabezpečiť konzistentné vykonávanie ENS5G.
V článku 31 sa rozdeľujú právomoci na vykonávanie ENS5G, ktoré zodpovedajú ministerstvu digitálnej transformácie, napríklad vrátane vývoja, špecifikácie a podrobností o obsahu ENS5G, vykonávania auditov na overenie a monitorovanie dodržiavania uložených povinností a poskytovania verejnej pomoci.
V článku 32 sa ministerstvu digitálnej transformácie udeľujú všetky právomoci kontrolnej funkcie.
Článok 33 o systéme sankcií odkazuje na ustanovenia článkov 30 a 31 kráľovského zákonného dekrétu č. 7/2022 z 29. marca 2022.
V prílohe I sa opisujú prvky, infraštruktúra a zdroje, ktoré tvoria sieť 5G.
Príloha II obsahuje analýzu rizík na vnútroštátnej úrovni.
V prílohe III sa stanovuje riadenie rizík na vnútroštátnej úrovni.
9. Mobilná komunikácia piatej generácie alebo 5G predstavuje novú paradigmu elektronickej komunikácie s veľkým transformačným potenciálom v prospech spoločnosti a hospodárstva, pretože otvára možnosť začlenenia nových funkcií, ktoré budú mať veľký vplyv, ako je sieťová výpočtová technika, a umožňuje vytváranie virtuálnych sietí, ktoré ponúkajú nízku latenciu a poskytujú služby s vysokou pridanou hodnotou v oblastiach, ako je medicína, doprava a energetika.
Európska únia aj Španielsko preto podporujú rýchle zavádzanie sietí 5G a realizáciu projektov preukazujúcich ich užitočnosť pre rôzne odvetvia prostredníctvom poskytovania služieb 5G.
Siete a služby 5G majú porovnateľné bezpečnostné výhody v porovnaní s predchádzajúcimi generáciami. Predstavujú však aj špecifické riziká vyplývajúce napríklad z ich komplexnejšej, otvorenejšej a rozčlenenej sieťovej architektúry a z ich schopnosti prenášať obrovské objemy informácií a umožňovať súbežnú interakciu viacerých ľudí a vecí. Ich prepojenie s inými sieťami a nadnárodná povaha mnohých hrozieb majú vplyv na ich bezpečnosť a predvídateľné rozsiahle využívanie týchto sietí na plnenie základných funkcií hospodárstva a spoločnosti zvýši potenciálny vplyv bezpečnostných incidentov, ktorým sú vystavené.
Tieto nové špecifické bezpečnostné riziká mobilnej komunikácie 5G sa z regulačného hľadiska riešili prostredníctvom kráľovského zákonného dekrétu č. 7/2022 z 29. marca 2022 o požiadavkách na zaistenie bezpečnosti elektronických komunikačných sietí a služieb piatej generácie, ktorý v plnej miere zahŕňa odporúčanie Európskej komisie (EÚ) 2019/534 z 26. marca 2019 o kybernetickej bezpečnosti sietí 5G, ako aj odporúčania, ktoré členským štátom poskytlo oznámenie Európskej komisie z 29. januára 2020 o bezpečnom zavádzaní 5G v EÚ – Vykonávanie súboru nástrojov EÚ (COM/2020/50 final), pokiaľ ide o používanie tohto súboru nástrojov.
V uvedenom kráľovskom zákonnom dekréte č. 7/2022 z 29. marca 2022 sa stanovuje jeho regulačný vývoj prostredníctvom systému národnej bezpečnosti sietí a služieb 5G (ENS5G).
V súlade s článkom 5 ods. 3 uvedeného kráľovského zákonného dekrétu ENS5G komplexne rieši bezpečnosť sietí a služieb 5G, pričom zohľadňuje príspevky každého zástupcu hodnotového reťazca 5G, ako aj predpisy, odporúčania a technické normy Európskej únie, Medzinárodnej telekomunikačnej únie (ITU) a iných medzinárodných organizácií, aby sa zaručil konečný cieľ bezpečného využívania a prevádzky sietí a služieb 5G v Španielsku.
V článku 20 kráľovského zákonného dekrétu sa stanovuje, že na zabezpečenie nepretržitého a bezpečného fungovania siete a služieb 5G ENS5G vykoná na vnútroštátnej úrovni analýzu rizík týkajúcich sa bezpečnosti sietí a služieb 5G a určí, špecifikuje a vypracuje opatrenia na zmiernenie a riadenie analyzovaných rizík.
Na záver vláda schváli ENS5G v súlade s článkom 21 kráľovského zákonného dekrétu, a to kráľovským dekrétom na návrh ministerstva digitálnej transformácie na základe správy Národnej bezpečnostnej rady.
Týmto predpisom sa schvaľuje ENS5G, pričom sa rozvíjajú ustanovenia kráľovského zákonného dekrétu č. 7/2022 z 29. marca 2022 o požiadavkách na zaručenie bezpečnosti elektronických komunikačných sietí a služieb piatej generácie.
10. Odkazy na základné texty:
11. Nie
12.
13. Nie
14. Nie
15. Áno
16.
Aspekt technických prekážok obchodu: Nie
Aspekt sanitárnych a
rastlinolekárych opatrení: Nie
**********
Európska komisia
Kontaktný bod smernice (EÚ) 2015/1535
e-mail: grow-dir2015-1535-central@ec.europa.eu
