Sporočilo 001
Sporočilo Komisije - TRIS/(2023) 3739
Direktiva (EU) 2015/1535
Obvestilo: 2023/0761/ES
Uradno obvestilo o osnutku besedila države članice
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233739.SL
1. MSG 001 IND 2023 0761 ES SL 29-12-2023 ES NOTIF
2. Spain
3A. Subdirección de Asuntos Industriales, Energéticos, de Transportes, Comunicaciones y de Medioambiente
D.G. de Mercado Interior y otras Políticas Comunitarias
Ministerio de Asuntos Exteriores, UE y Cooperación
3B. Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.
Subdirección General de Ordenación de las Telecomunicaciones.
Ministerio de Transformación Digital
4. 2023/0761/ES - V00T - Telekomunikacije
5. KRALJEVA UREDBA O ODOBRITVI NACIONALNE VARNOSTNE SHEME ZA OMREŽJA IN STORITVE 5G
6. Elektronska komunikacijska omrežja in storitve 5G.
Telekomunikacijska oprema.
7.
8. Uredba je sestavljena iz obrazložitvenega dela, enega samega člena o odobritvi ENS5G (nacionalna varnostna shema za 5G), dveh dodatnih določb in štirih končnih določb.
Shema ENS5G, ki se odobri, je sestavljena iz 33 členov, razdeljenih na osem poglavij in tri priloge.
V obrazložitvenem memorandumu so pojasnjeni razlogi za sprejetje uredbe in členi kraljeve uredbe z zakonsko močjo, ki se pripravljajo.
Edini člen zajema odobritev nacionalne varnostne sheme za omrežja in storitve 5G.
V prvi dodatni določbi je navedeno, da vlada na predlog Ministrstva za digitalno preobrazbo na podlagi poročila Sveta za nacionalno varnost s kraljevo uredbo pregleda nacionalno varnostno shemo za omrežja in storitve 5G, kadar to zahtevajo okoliščine, sicer pa vsaka štiri leta.
V drugi dodatni določbi je navedeno, da se Kraljeva uredba z zakonsko močjo št. 7/2022 z dne 29. marca 2022 in shema ENS5G uporabljata za elektronske komunikacije, ki so starejše od pete generacije, saj zanje ni posebne ureditve.
V prvi končni določbi o pristojnosti je navedeno, da se kraljeva uredba in shema, ki jo odobri, izdata v skladu z določbami točke 21 člena 149(1) in točke 29 člena 149(1) španske ustave, ki državi podeljujeta izključno pristojnost na področjih splošnega telekomunikacijskega sistema in javne varnosti.
V drugi končni določbi je navedeno, da se Zakon št. 11/2022 z dne 28. junija 2022 o splošnih telekomunikacijah in njegovi izvedbeni predpisi uporabljajo kot dopolnilo in da se v zadevah, ki jih navedena zakonodaja ne ureja, kot dopolnilo uporabljajo Kraljeva uredba z zakonsko močjo št. 12/2018 z dne 7. septembra 2018 o varnosti omrežij in informacijskih sistemov ter Zakon št. 8/2011 z dne 28. aprila 2011 o ukrepih za zaščito kritične infrastrukture ter njuni izvedbeni predpisi.
Tretja končna določba o regulativnem razvoju omogoča predstojniku Ministrstva za digitalno preobrazbo, da pripravi določbe te kraljeve uredbe in sheme, ki jo odobri, ter da z odredbo spremeni vsebino prilog glede na razvoj tehnološkega napredka, odobritev novih tehničnih standardov in shem certificiranja telekomunikacijske opreme in povezanih proizvodov, pa tudi razvoj različnih konfiguracij in tehničnih parametrov omrežij in storitev 5G ter prihodnjih generacij elektronskih komunikacij.
V četrti končni določbi je navedeno, da uredba začne veljati dan po objavi v Uradnem listu.
Vsebina sheme ENS5G, ki se odobri, je naslednja:
Člen 1 določa, da se uredba izda z namenom izvajanja Kraljeve uredbe z zakonsko močjo št. 7/2022 z dne 29. marca 2022, zlasti poglavja IV.
Člen 2 se nanaša na cilje uredbe, ki so že bili analizirani.
Člen 3 določa, da se uporabljajo opredelitve pojmov iz Kraljeve uredbe z zakonsko močjo št. 7/2022 z dne 29. marca 2022, Zakona št. 11/2022 z dne 28. junija 2022 o splošnih telekomunikacijah in Evropskega zakonika o elektronskih komunikacijah.
Člen 4 določa, da se uredba uporablja za operaterje 5G, dobavitelje 5G in poslovne uporabnike 5G, ki so jim bile podeljene pravice do uporabe javne radijske domene za namestitev, uvedbo ali delovanje zasebnega omrežja 5G ali za zagotavljanje storitev 5G za poklicne ali lastne namene.
V členu 5 so opredeljeni minimalni elementi, infrastruktura in viri, ki sestavljajo elektronsko komunikacijsko omrežje 5G, pri čemer je v zvezi z njihovim podrobnim opisom vključeno sklicevanje na Prilogo I. Določeni so tudi kritični elementi omrežja 5G, ki se morajo praviloma nahajati na nacionalnem ozemlju (vključno z morebitnimi izjemami).
Člen 6 se nanaša na celovito obravnavo varnosti v skladu z mednarodno zakonodajo Skupnosti in nacionalno zakonodajo, ki je bila odobrena ali ki se lahko odobri, pri čemer se od zavezanih subjektov zahteva, da s celostno metodo izvedejo analizo ranljivosti, groženj in tveganj, ki vplivajo nanje kot na gospodarske subjekte, in različnih sestavnih delov ter zagotovijo ustrezno in celovito obvladovanje teh tveganj s tehnikami in ukrepi, ki so primerni za njihovo ublažitev ali odpravo, ter doseganje končnega cilja varne uporabe in delovanja omrežij in storitev 5G.
V členu 7 je poudarjeno, da sta analiza in obvladovanje tveganja bistveni del varnostnega procesa in morata predstavljati stalno dejavnost, ki se redno posodablja.
Člen 8 se nanaša na stalno spremljanje in redno ponovno ocenjevanje.
Člen 9 določa, da je v Prilogi II določena analiza tveganja na nacionalni ravni, ki je bila izvedena ob upoštevanju različnih elementov, kot so informacije, zbrane od zavezanih subjektov, preučitev ranljivosti, povezanih z dobavno verigo omrežij in storitev 5G, ocena stopnje odvisnosti dobaviteljev, tveganje za prekinitev dobave zaradi gospodarskih, podjetniških ali poslovnih okoliščin, ki vplivajo na dobavitelje, ali ocena učinkovitosti uporabljenih varnostnih ukrepov.
Člen 10 o obvladovanju tveganja na nacionalni ravni določa, da so merila, zahteve, pogoji in roki, ki jih morajo zavezani subjekti upoštevati pri načrtovanju in izvajanju tehnik in ukrepov za zmanjševanje tveganja, določeni v Prilogi III.
Člen 11 vsebuje določbe člena 14 Kraljeve uredbe z zakonsko močjo št. 7/2022 z dne 29. marca 2022 v zvezi s postopkom in vidiki, ki jih mora Svet ministrov oceniti za razvrstitev dobaviteljev kot dobaviteljev z visokim tveganjem, ter elementi, ki jih je treba upoštevati pri naročilu morebitne zamenjave opreme, proizvodov in storitev, ki jih zagotavljajo ti dobavitelji. Prav tako je v skladu z določbami zgoraj navedene kraljeve uredbe z zakonsko močjo navedeno, da so dobavitelji z visokim tveganjem, katerih telekomunikacijska oprema, strojna in programska oprema ali pomožne storitve se uporabljajo izključno v zasebnih omrežjih 5G ali za zagotavljanje storitev 5G za lastne namene, razvrščeni kot dobavitelji s srednjim tveganjem.
Člen 12 o določitvi lokacij, kjer ni dovoljeno namestiti opreme dobaviteljev, ki so razvrščeni kot dobavitelji z visokim tveganjem, določa, da lahko Svet za nacionalno varnost na podlagi poročila Ministrstva za digitalno preobrazbo določi lokacije, območja in centre, kjer ni dovoljeno namestiti opreme dobaviteljev, ki so razvrščeni kot dobavitelji z visokim tveganjem. Če želijo operaterji 5G namestiti, spremeniti ali prilagoditi radijske postaje, ki zagotavljajo pokritost na teh lokacijah, območjih in centrih, morajo zaprositi za dovoljenje pri Ministrstvu za digitalno preobrazbo.
Člen 13 se nanaša na obveznost operaterjev 5G, da oblikujejo strategijo diverzifikacije dobavne verige in da imajo v dostopovnem omrežju opremo za prenos, ki jo zagotavljata vsaj dva različna dobavitelja. Določa tudi merila, ki jih mora Svet ministrov upoštevati pri odločanju, ali je mogoče ohraniti enega samega dobavitelja, če se število dobaviteljev zmanjša zaradi združitev. Poleg tega navaja predpostavke in postopek, s katerimi lahko Ministrstvo za digitalno preobrazbo spremeni strategijo diverzifikacije dobavne verige operaterja 5G.
Člen 14 se nanaša na analizo tveganja, ki jo morajo izvesti operaterji 5G v zvezi z vsemi elementi, infrastrukturo in viri omrežja iz Priloge I, pri čemer so navedeni dejavniki, ki jih je treba upoštevati, in obveznost za operaterje, da od svojih dobaviteljev pridobijo informacije o varnostnih praksah in ukrepih, sprejetih v zvezi s proizvodi in storitvami, ki so jih dobavili, ter vključijo prednostno razvrstitev in hierarhijo tveganj glede na nekatere parametre, ki so prav tako navedeni. Operaterji 5G morajo analizo tveganja predložiti do 1. oktobra 2024, nato pa vsaki dve leti.
Člen 15 o analizi tveganja s strani dobaviteljev 5G zahteva, da se opravi analiza tveganja telekomunikacijske opreme, strojne in programske opreme ter pomožnih storitev, vključenih v delovanje ali upravljanje omrežij 5G ali zagotavljanje storitev 5G, in da se navedena analiza na zahtevo predloži ministrstvu. V primeru dobaviteljev, ki so razvrščeni kot dobavitelji z visokim ali srednjim tveganjem, se analiza predloži v šestih mesecih po tej razvrstitvi in nato vsaki dve leti.
Člen 16 o analizi tveganja, ki jo opravijo poslovni uporabniki 5G, zahteva, da se ta analiza tveganja predloži Ministrstvu za digitalno preobrazbo, kadar se to od omenjenih uporabnikov zahteva.
Člen 17 dovoljuje Ministrstvu za digitalno preobrazbo, da od zavezanih subjektov zbere informacije, potrebne za analizo tveganja, če pa jih zavezani subjekti ne posredujejo v 15 delovnih dneh, to opredeli kot resno kršitev. Informacije se štejejo za zaupne in se ne smejo uporabljati za namene, ki niso skladni s cilji in obveznostmi, določenimi v Kraljevi uredbi z zakonsko močjo št. 7/2022 z dne 29. marca 2022, shemi ENS5G in aktih, izdanih za izvajanje obeh dokumentov.
Člen 18 določa splošno dolžnost vseh zavezanih subjektov, da obvladujejo varnostna tveganja.
Člen 19 se nanaša na upravljanje varnosti s strani operaterjev 5G, pri čemer so navedene obveznosti za vse operaterje (kot so sprejetje kriznih načrtov in ukrepov, skladnost z evropskimi standardi ali tehničnimi specifikacijami in certifikacijskimi shemami, izvedba varnostne revizije na lastne stroške ali zahteva, da njihovi dobavitelji izpolnjujejo varnostne standarde) in dodatne obveznosti za tiste operaterje, ki imajo v lasti ali upravljajo kritične elemente javnega omrežja 5G (kot so prepovedi uporabe opreme s strani dobaviteljev z visokim tveganjem v kritičnih omrežnih elementih ali na nekaterih lokacijah, območjih in centrih). Operaterji 5G morajo Ministrstvu za digitalno preobrazbo do 1. oktobra 2024 in nato vsaki dve leti predložiti opis tehničnih in organizacijskih ukrepov, oblikovanih in izvedenih za obvladovanje in zmanjševanje tveganja. Poleg tega morajo operaterji 5G, ki imajo v lasti ali upravljajo kritične elemente javnega omrežja 5G, Ministrstvu za digitalno preobrazbo predložiti strategijo diverzifikacije dobavne verige do 1. oktobra 2024 in nato vsakič, ko se ta spremeni. Informacije o stanju izvajanja te strategije je treba predložiti vsako leto do 1. oktobra.
Člen 20 o upravljanju varnosti s strani dobaviteljev 5G vsebuje seznam obveznosti, vključno z izvajanjem varnostne revizije njihove opreme, proizvodov in storitev, zagotavljanjem informacij o morebitnih posegih tretjih oseb v načrtovanje, upravljanje in delovanje njihove opreme, proizvodov in storitev ter sodelovanjem z operaterji 5G in poslovnimi uporabniki 5G z zagotavljanjem informacij in potrjevanjem skladnosti s standardi in certifikati. Dobavitelji 5G morajo pripraviti poročilo o tehničnih in organizacijskih ukrepih, oblikovanih in izvedenih za obvladovanje in zmanjševanje tveganja, ter to poročilo na zahtevo predložiti ministrstvu. V primeru dobaviteljev, ki so razvrščeni kot dobavitelji z visokim ali srednjim tveganjem, se poročilo predloži v šestih mesecih po tej razvrstitvi in nato vsaki dve leti.
Člen 21 o upravljanju varnosti s strani poslovnih uporabnikov 5G določa, da ti v kritičnih omrežnih elementih ne smejo uporabljati telekomunikacijske opreme, prenosnih sistemov, stikalne ali usmerjevalne opreme in drugih virov, ki omogočajo prenos signalov, strojne in programske opreme ali pomožnih storitev dobaviteljev, ki so bili razvrščeni kot dobavitelji s srednjim tveganjem. Poleg tega morajo uporabniki Ministrstvu za digitalno preobrazbo na zahtevo predložiti opis tehničnih in organizacijskih ukrepov, oblikovanih in izvedenih za obvladovanje in zmanjševanje tveganja.
Člen 22 o upravljanju varnosti s strani javnih uprav določa, da javne uprave zaradi nacionalne varnosti pri namestitvi, uvedbi in delovanju javnih ali zasebnih omrežij 5G ali pri zagotavljanju storitev 5G, ki so javno dostopne ali namenjene za lastne potrebe, ne smejo uporabljati opreme, proizvodov in storitev, ki jih zagotavljajo dobavitelji z visokim ali srednjim tveganjem.
Člen 23 določa, da zavezani subjekti v skladu z obveznostmi iz prejšnjih členov upoštevajo in uporabljajo določbe Kraljeve uredbe z zakonsko močjo št. 7/2022 z dne 29. marca 2022, sheme ENS5G in aktov, izdanih za izvajanje obeh dokumentov.
Člen 24 dovoljuje Ministrstvu za digitalno preobrazbo, da od zavezanih subjektov zbere informacije, potrebne za obvladovanje tveganja, če pa jih zavezani subjekti ne posredujejo v 15 delovnih dneh, to opredeli kot resno kršitev. Informacije se štejejo za zaupne in se ne smejo uporabljati za namene, ki niso skladni s cilji in obveznostmi, določenimi v Kraljevi uredbi z zakonsko močjo št. 7/2022 z dne 29. marca 2022, shemi ENS5G in aktih, izdanih za izvajanje obeh dokumentov.
Člen 25 določa, da morajo vsi zavezani subjekti ter javne uprave, proizvajalci, uvozniki, distributerji in tisti, ki dajejo na trg in prodajajo terminalsko opremo in naprave za priključitev na omrežje 5G, za namen zagotavljanja storitev 5G sodelovati in predložiti informacije, potrebne za spremembo in izvajanje sheme ENS5G.
Člen 26 določa, da je lahko uporaba določenega dela opreme, sistema, programa ali storitve z odredbo predstojnika Ministrstva za digitalno preobrazbo pogojena s predhodno pridobitvijo certifikata v skladu z Uredbo (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o kibernetski varnosti ali certifikacijskimi shemami in tehničnimi standardi za certificiranje opreme in proizvodov 5G, ki se lahko odobrijo na evropski ali mednarodni ravni.
Člen 27 določa, da se uredba uporablja brez poseganja v zakonodajo s področja tujih naložb in konkurenčno pravo.
Člen 28 o terminalski opremi določa, da so proizvodnja, uvoz, distribucija, dajanje na trg in prodaja terminalske opreme in naprav za priključitev na omrežje 5G ter zagotavljanje storitev 5G pogojeni s skladnostjo z varnostnimi zahtevami za digitalne proizvode in veljavnimi bistvenimi zahtevami v zvezi s kibernetsko varnostjo, sprejetimi v skladu z evropsko zakonodajo, zlasti v zvezi z varstvom osebnih podatkov, zasebnosti in preprečevanjem goljufij.
Člen 29 se nanaša na mednarodno sodelovanje, ki ga mora razviti Ministrstvo za digitalno preobrazbo, zlasti na ravni Evropske unije.
Člen 30 se nanaša na pristojnost Ministrstva za digitalno preobrazbo za izvajanje sheme ENS5G. Ministrstvo se mora usklajevati z drugimi organi, pristojnimi za kibernetsko varnost in kritično infrastrukturo, da se zagotovi dosledno izvajanje sheme ENS5G.
Člen 31 razčlenjuje pristojnosti za izvajanje sheme ENS5G, ki ustrezajo Ministrstvu za digitalno preobrazbo, med drugim razvoj, specifikacijo in podrobno vsebino sheme ENS5G, izvajanje revizij za preverjanje in spremljanje izpolnjevanja naloženih obveznosti, pa tudi dodeljevanje državne pomoči.
V členu 32 so Ministrstvu za digitalno preobrazbo dodeljena vsa pooblastila za inšpekcijski nadzor.
Člen 33 o sistemu sankcioniranja se nanaša na določbe členov 30 in 31 Kraljeve uredbe z zakonsko močjo št. 7/2022 z dne 29. marca 2022.
V Prilogi I so opisani elementi, infrastruktura in viri, ki sestavljajo omrežje 5G.
Priloga II vsebuje analizo tveganja na nacionalni ravni.
V Prilogi III je določeno obvladovanje tveganja na nacionalni ravni.
9. Mobilne komunikacije pete generacije ali 5G predstavljajo novo paradigmo elektronskih komunikacij z velikim potencialom za preobrazbo v korist družbe in gospodarstva, saj odpirajo možnost vključevanja novih funkcij, ki bodo imele velik vpliv, kot je omrežno računalništvo, ter omogočajo ustvarjanje virtualnih omrežij, ki ponujajo nizko zakasnitev in zagotavljajo storitve z visoko dodano vrednostjo na področjih, kot so medicina, promet in energija.
Zato tako Evropska unija kot Španija spodbujata hitro uvedbo omrežij 5G in izvajanje projektov, ki dokazujejo njihovo uporabnost za različne sektorje z zagotavljanjem storitev 5G.
Omrežja in storitve 5G imajo primerljive varnostne prednosti v primerjavi s prejšnjimi generacijami. Predstavljajo pa tudi posebna tveganja, ki izhajajo na primer iz njihove bolj zapletene, odprte in razčlenjene omrežne arhitekture ter njihove zmožnosti prenosa velikih količin informacij in omogočanja hkratne interakcije več ljudi in stvari. Njihovo medsebojno povezovanje z drugimi omrežji in nadnacionalna narava številnih groženj vplivata na njihovo varnost, zaradi predvidene široke uporabe teh omrežij za bistvene gospodarske in družbene funkcije pa se bo povečal morebiten vpliv varnostnih incidentov, ki jih utrpijo.
Ta nova posebna varnostna tveganja mobilnih komunikacij 5G so bila v regulativnem smislu obravnavana v Kraljev uredbi z zakonsko močjo št. 7/2022 z dne 29. marca 2022 o zahtevah za zagotavljanje varnosti elektronskih komunikacijskih omrežij in storitev pete generacije, ki v celoti vključuje Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 o kibernetski varnosti omrežij 5G, pa tudi priporočila Evropske komisije državam članicam v zvezi z uporabo nabora orodij iz sporočila z dne 29. januarja 2020 Varna uvedba tehnologije 5G v EU – izvajanje nabora orodij EU (COM(2020) 50 final).
Navedena Kraljeva uredba z zakonsko močjo št. 7/2022 z dne 29. marca 2022 določa njihov regulativni razvoj prek nacionalne varnostne sheme za omrežja in storitve 5G (ENS5G).
Shema ENS5G v skladu s členom 5(3) navedene kraljeve uredbe z zakonsko močjo celovito obravnava varnost omrežij in storitev 5G, pri čemer upošteva prispevke, ki so na voljo vsakemu zastopniku v vrednostni verigi 5G, ter predpise, priporočila in tehnične standarde Evropske unije, Mednarodne telekomunikacijske zveze (ITU) in drugih mednarodnih organizacij, da se izpolni končni cilj varne uporabe in delovanja omrežij in storitev 5G v Španiji.
Člen 20 navedene kraljeve uredbe z zakonsko močjo pa določa, da shema ENS5G za zagotovitev neprekinjenega in varnega delovanja omrežja in storitev 5G izvede analizo tveganja na nacionalni ravni v zvezi z varnostjo omrežij in storitev 5G ter opredeli, določi in razvije ukrepe za ublažitev in obvladovanje analiziranih tveganj.
Nazadnje, shemo ENS5G v skladu s členom 21 navedene kraljeve uredbe z zakonsko močjo na predlog Ministrstva za digitalno preobrazbo na podlagi poročila Sveta za nacionalno varnost odobri vlada s kraljevo uredbo.
S to uredbo se odobri shema ENS5G, ki razvija določbe Kraljeve uredbe z zakonsko močjo št. 7/2022 z dne 29. marca 2022 o zahtevah za zagotavljanje varnosti elektronskih komunikacijskih omrežij in storitev pete generacije.
10. Sklici na osnovna besedila:
11. Ne
12.
13. Ne
14. Ne
15. Da
16.
Vidik TOT: Ne
Vidik SFS: Ne
**********
Evropska komisija
Direktiva o kontaktni točki (EU) 2015/1535
e-naslov: grow-dir2015-1535-central@ec.europa.eu
