Unterrichtung durch die Europäische Kommission
Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Sichere 5G-Einführung in der EU - Umsetzung des EU-Instrumentariums - COM (2020) 50 final

Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.

Hinweis: vgl.
Drucksache 652/98 = AE-Nr. 982196,
Drucksache 537/16 (PDF) = AE-Nr. 160794,
Drucksache 538/16 (PDF) = AE-Nr. 160795,
Drucksache 612/16 (PDF) = AE-Nr. 160879 und
Drucksache 270/18 (PDF) = AE-Nr. 180594

Europäische Kommission
Brüssel, den 29.1.2020 COM (2020) 50 final

Mitteilung der Kommission an Das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen
Sichere 5G-Einführung in der EU - Umsetzung des EU-Instrumentariums

1. Einleitung

Die fünfte Generation (5G) der Telekommunikationsnetze wird eine wesentliche Rolle bei der Entwicklung der europäischen Gesellschaft und Wirtschaft spielen. 5G-Netze werden voraussichtlich enorme wirtschaftliche Chancen bieten und eine wichtige Grundlage für den digitalen und ökologischen Wandel in Bereichen wie Verkehr, Energie, Fertigung, Gesundheit, Landwirtschaft und Medien bilden.

Die 5G-Technik wird sich daher potenziell auf alle Aspekte des Lebens der EU-Bürgerinnen und -Bürger auswirken. Die Cybersicherheit der 5G-Netze ist daher nicht nur für den Schutz unserer Volkswirtschaften, Gesellschaften und demokratischen Prozesse unverzichtbar, sondern bildet auch die Voraussetzung für einen vertrauensvollen digitalen Wandel zum Nutzen aller Bürgerinnen und Bürger der EU.

Aufgrund der Abhängigkeit vieler kritischer Dienste von 5G-Netzen wären die Folgen systemischer und weitverbreiteter Störungen besonders schwerwiegend und können angesichts der Vernetzung der digitalen Ökosysteme auch erhebliche Auswirkungen über nationale Grenzen hinaus haben. Die Gewährleistung der Cybersicherheit der 5G-Netze ist daher ein Thema von strategischer Bedeutung für die Union in einer Zeit, in der Cyberangriffe zunehmen, immer komplexer werden und von einem breiten Spektrum von Akteuren ausgehen, insbesondere Akteuren, die von Nicht-EU-Staaten geführt oder unterstützt werden. Für die Sicherheit kritischer Infrastrukturen wie 5G besteht der gewählte Ansatz darin, erstmals ein gemeinsames europäisches Vorgehen festzulegen. Bei diesem Vorgehen bleibt die Offenheit des EU-Binnenmarkts in vollem Umfang gewahrt, solange die risikobasierten Sicherheitsanforderungen der EU eingehalten werden.

Der Europäische Rat rief auf seiner Tagung am 22. März 2019 zu einem abgestimmten Vorgehen bei der Sicherheit von 5G-Netzen auf. Am 26. März 2019 nahm die Kommission ihre Empfehlung (EU) Nr. 2019/534 zur Cybersicherheit der 5G-Netze1 an. Darin rief sie Mitgliedstaaten auf, ihre nationalen Risikobewertungen abzuschließen und ihre nationalen Maßnahmen zu überprüfen sowie auf EU-Ebene zusammenzuarbeiten, um eine koordinierte Risikobewertung und ein Instrumentarium möglicher Maßnahmen zur Risikominderung zu erarbeiten. Diese Mitteilung ist fester Bestandteil der umfassenden europäischen Digitalstrategie der Kommission, wie sie der Europäische Rat gefordert hat.

2. 5G-Einführung in der EU

Die Einführung von 5G-Netzinfrastrukturen in Europa ist für die europäische Industriestrategie und für die Wettbewerbsfähigkeit Europas von zentraler Bedeutung. Die Kommission sieht die Einführung von 5G-Netztechnik als wichtige Voraussetzung für künftige digitale Dienste. Im Jahr 2016 nahm die Kommission ihren 5G-Aktionsplan an, um dafür zu sorgen, dass die Union über die erforderlichen Vernetzungsinfrastrukturen für ihren digitalen Wandel (ab 2020) und für die flächendeckende 5G-Einführung in städtischen Gebieten und entlang der Hauptverkehrswege (ab 2025) verfügt2. In ihrer Mitteilung zur Gigabit-Gesellschaft formulierte die Kommission das ehrgeizige Ziel, eine flächendeckende Anbindung an Mobilfunk-Datendienste - auch in ländlichen und abgelegenen Gebieten - zu verwirklichen3.

Was die Zuweisung von Funkfrequenzen betrifft, haben die Mitgliedstaaten bislang 16 % der 5G-Pionierbänder zugewiesen4. Angesichts der bestehenden rechtlichen Verpflichtung, die Nutzung aller 5G-Pionierbänder bis Ende des Jahres zu erlauben, sind in den nächsten Monaten Konsultationen für eine ganze Reihe von Zuweisungsverfahren zu erwarten.

Europa gehört bei der kommerziellen Einführung von 5G-Diensten zu den am weitesten fortgeschrittenen Regionen der Welt5. Derzeit wird davon ausgegangen, dass die ersten 5G-Dienste bis Ende 2020 in 138 europäischen Städten verfügbar sein werden. Die ersten 5G-Netze bauen noch auf der derzeitigen Netztechnik der 4. Generation (4G) auf. 5G-Dienste werden zunächst hauptsächlich für die breite Öffentlichkeit bereitgestellt, entweder als Verbesserung der Kapazität und Geschwindigkeit gegenüber 4G oder als kostengünstige drahtlose Alternative zu Festnetzen6.

In Bezug auf neue Unternehmensdienstleistungen, z.B. in den Bereichen Energie, Lebensmittel und Landwirtschaft, Gesundheit, Fertigung oder Verkehr, ist Europa mit seinen Investitionen in einer Größenordnung von 1 Mrd. EUR gut vorangekommen. Dazu zählen auch EU-Mittel in Höhe von 300 Mio. EUR, die im Rahmen von Horizont 2020 für die öffentlichprivate Partnerschaft für 5G zur Verfügung stehen.

Zu diesen Investitionen gehören mehr als 160 groß angelegte 5G-Erprobungen in ganz Europa, darunter zehn grenzüberschreitende Autobahnkorridore für eine groß angelegte Erprobung 5G-gestützter, vernetzter und automatisierter Mobilitätsdienste. Erprobt werden 5G-gestützte Anwendungen in vielfältigen Bereichen: von nachhaltiger Gesundheitsversorgung und automatisierter Mobilität bis hin zur ressourceneffizienten Landwirtschaft, intelligenten Stromnetzen und der Industrie 4.0. Außerdem stellte die EIB mit Unterstützung des Europäischen Fonds für strategische Investitionen Darlehen zur Beschleunigung der Forschung und Entwicklung im Bereich der 5G-Technik bereit.

Der Europäische Kodex für die elektronische Kommunikation (im Folgenden der "Kodex")7" der ab dem 21. Dezember 2020 gelten wird, ist eine wichtige Grundlage für die Schaffung eines investitionsfreundlichen Umfelds nicht nur für 5G-Netze. Darüber hinaus werden öffentliche Förderprogramme wie der digitale Teil der Fazilität "Connecting Europe"8 oder die Europäischen Struktur- und Investitionsfonds ebenfalls eine wichtige Rolle beim künftigen Ausbau der 5G-Netze spielen, denn sie werden insbesondere die Anbindung von Nutzergemeinschaften wie Schulen, Krankenhäusern, Städten und lokalen Verwaltungen an 5G-gestützte Dienste voranbringen.

Angesichts der strategischen Möglichkeiten, die sich in Europa im Bereich der 5G-Dienste für verschiedene Wirtschaftszweige bieten, wird es entscheidend darauf ankommen, dass Netzbetreiber und Diensteanbieter in modernste Lösungen für 5G-Netze und 5G-Dienste investieren. Als Voraussetzung hierfür werden aber nicht nur neue 5G-Funknetze, sondern auch neue sogenannte "eigenständige" 5G-Kernnetze gebraucht, damit fortgeschrittene 5G-Funktionen wie Network-Slicing9 und Edge-Computing10 realisiert werden können.

Die Kommission wird die erfolgreiche 5G-Einführung in der EU weiterhin nachdrücklich unterstützen und dazu unter anderem auf die Mitgliedstaaten und Interessenträger zugehen, damit die Chancen der 5G-Technik ergriffen werden können. Dabei wird sie nach dem Vorsorgeprinzip11 und in Zusammenarbeit mit den einschlägigen internationalen Organisationen und den Wissenschaftskreisen relevante Gesundheitsaspekte gebührend berücksichtigen.

3. Die EU-weit koordinierte Risikobewertung zur Cybersicherheit in 5G-Netzen

Im Rahmen der Zusammenarbeit in der NIS12-Kooperationsgruppe hat jeder Mitgliedstaat seine eigene nationale Risikobewertung seiner 5G-Netzinfrastrukturen abgeschlossen und die Ergebnisse Anfang Juli 2019 der Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) übermittelt.

Auf der Grundlage dieser nationalen Risikobewertungen veröffentlichte die NIS-Kooperationsgruppe, die aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA besteht, am 9. Oktober 2019 einen Bericht über die EU-weit koordinierte Risikobewertung zur Cybersicherheit in 5G-Netzen13. Darin werden die Hauptbedrohungen und deren Verursacher, die anfälligsten Anlagen und Einrichtungen sowie die wichtigsten Schwachstellen (technischer und anderer Art) aufgezeigt, von denen 5G-Netze betroffen sind. Auf dieser Grundlage werden in dem Bericht auch Risikokategorien genannt, die aus EU-Sicht von strategischer Bedeutung sind. Diese werden anhand konkreter Risikoszenarien veranschaulicht, die für die verschiedenen Einrichtungen und Anlagen relevante Kombinationen der verschiedenen Parameter (Schwachstellen, Bedrohungen und deren Verursacher) darstellen (siehe Anlage).

Ergänzend zu diesem Bericht und als weitere Zuarbeit zu dem Instrumentarium erstellte die ENISA einen speziellen Bedrohungslagebericht14 mit einer detaillierten Analyse bestimmter technischer Aspekte, insbesondere einer Aufstellung der Netzressourcen und ihrer Bedrohungen.

In dem Bericht über die EU-weit koordinierte Risikobewertung werden mehrere Aspekte hervorgehoben, die für 5G-Netze von Bedeutung sind, und zwar:

Quelle: EU-weit koordinierte Risikobewertung

Aus dem Bericht über die EU-weit koordinierte Risikobewertung geht ferner hervor, dass diese Probleme zu einem neuen Sicherheitsparadigma führen, das eine Überprüfung des für den 5G-Sektor und sein Ökosystem derzeit geltenden politischen und sicherheitspolitischen Rahmens erforderlich macht und es unerlässlich erscheinen lässt, dass die Mitgliedstaaten die erforderlichen Risikominderungsmaßnahmen ergreifen.

Zur effektiven Bewältigung der festgestellten Risiken und zur Steigerung der Sicherheit und Widerstandsfähigkeit der 5G-Netze wird ein umfassendes Konzept benötigt, das eine Reihe von Schlüsselmaßnahmen mit zugehörigen Unterstützungsmaßnahmen umfasst, mit denen die Risiken gleichzeitig angegangen werden können. Die EU-weit koordinierte Risikobewertung lieferte die Grundlage für die Ermittlung von Risikominderungsmaßnahmen, die auf nationaler und europäischer Ebene ergriffen werden können.

In seinen Schlussfolgerungen vom 3. Dezember 2019 billigte der Rat die Ergebnisse der koordinierten Risikobewertung und betonte, "wie wichtig ein abgestimmter Ansatz und die wirksame Umsetzung der Empfehlung sind, wenn eine Fragmentierung im Binnenmarkt vermieden werden soll"15. In dieser Hinsicht forderte der Rat die Mitgliedstaaten, die Kommission und die ENISA auf, "im Rahmen ihrer Zuständigkeiten ... alle erforderlichen Maßnahmen zu ergreifen, um die Sicherheit und die Integrität der elektronischen Kommunikationsnetze, insbesondere der 5G-Netze, zu gewährleisten, und weiter auf die Konsolidierung eines abgestimmten Ansatzes zur Bewältigung der mit den 5G-Technologien verbundenen sicherheitstechnischen Herausforderungen hinzuarbeiten".

4. Das EU-Instrumentarium für die 5G-Cybersicherheit

Am 29. Januar 2020 veröffentlichte die NIS-Kooperationsgruppe das EU-Instrumentarium der Risikominderungsmaßnahmen16. Es erfasst alle Risiken, die im Bericht über die koordinierte Risikobewertung genannt wurden.

Das EU-Instrumentarium enthält die Aufstellung und Beschreibung einer Reihe strategischer und technischer Maßnahmen, die zur Minderung der festgestellten Risiken ergriffen werden können, samt zugehöriger Unterstützungsmaßnahmen zur Erhöhung ihrer Wirksamkeit. Strategische Maßnahmen sind Maßnahmen in Bezug auf erweiterte Regulierungsbefugnisse der Behörden zur Kontrolle der Beschaffung und des Ausbaus der Netze, besondere Maßnahmen zur Bewältigung von Risiken im Zusammenhang mit nichttechnischen Schwachstellen sowie mögliche Initiativen zur Förderung einer tragfähigen und diversifizierten 5G-Liefer- und Wertschöpfungskette, um systemische Abhängigkeitsrisiken langfristig zu vermeiden. Technische Maßnahmen sind Maßnahmen zur Erhöhung der Sicherheit von 5G-Netzen und -Ausrüstungen, durch die Risiken angegangen werden, die sich aus der Technik, den Prozessen sowie menschlichen und physikalischen Faktoren ergeben. Ferner enthält es Risikominderungspläne mit den jeweils wirksamsten Maßnahmen für alle in der EU-weit koordinierten Risikobewertung ermittelten Risikobereiche.

Wie in den von der NIS-Kooperationsgruppe vereinbarten Schlussfolgerungen zum EU-Instrumentarium empfohlen, gehört dazu unter anderem eine Reihe von Schlüsselmaßnahmen, die von allen Mitgliedstaaten und der Kommission wie folgt umzusetzen sind:

Schlussfolgerungen zum EU-Instrumentarium

Das EU-Instrumentarium enthält eine Reihe von Maßnahmen und Aktionen, die - wenn sie angemessen kombiniert und wirksam umgesetzt werden - die Grundlage für ein koordiniertes Vorgehen in diesem Bereich bilden. Angesichts des breiten Spektrums von Risikobereichen, die bei der EU-weit koordinierten Risikobewertung ermittelt wurden, und ihres unterschiedlichen Charakters wird keine einzige Art von Maßnahme ausreichen, sondern vielmehr eine Reihe von Maßnahmen in einer geeigneten Kombination erforderlich sein, um alle wichtigen Risikobereiche anzugehen.

Auf der Grundlage der Bewertung möglicher Risikominderungspläne und der Ermittlung der wirksamsten Maßnahmen wird in diesem Instrumentarium Folgendes empfohlen:

1. Alle Mitgliedstaaten sollten sicherstellen, dass sie über Maßnahmen verfügen (einschließlich der Befugnisse der nationalen Behörden), um angemessen und verhältnismäßig auf die derzeit bestehenden und künftigen Risiken zu reagieren, insbesondere sollten sie dafür sorgen, dass sie in der Lage sind, auf der Grundlage eines risikobasierten Ansatzes bestimmte Anforderungen oder Bedingungen für die Bereitstellung, den Ausbau und den Betrieb von 5G-Netzausrüstungen auf der Grundlage einer Reihe von Sicherheitserwägungen zu beschränken, zu verbieten und/oder vorzuschreiben.

Sie sollten insbesondere

2. Die Europäische Kommission sollte gemeinsam mit den Mitgliedstaaten zu Folgendem beitragen:

3. Um sicherzustellen, dass sich dieses koordinierte Vorgehen bewähren kann, sollten das Mandat der NIS-Kooperationsgruppe und die Zusammenarbeit mit anderen einschlägigen Gremien und Stellen ausgeweitet werden, um insbesondere Folgendes zu erreichen:

Quelle: EU-Instrumentarium.

Die Schlussfolgerungen zum Instrumentarium zeigen, dass die Mitgliedstaaten entschlossen sind, gemeinsam auf die mit den 5G-Technologien verbundenen sicherheitstechnischen Herausforderungen zu reagieren. Dies ist von grundlegender Bedeutung für die Sicherheit in den Mitgliedstaaten und EU-weit, für die nationalen Volkswirtschaften sowie für den EU-Binnenmarkt und die technologische Unabhängigkeit Europas. Sowohl die EU-weit koordinierte Risikobewertung als auch das EU-Instrumentarium zeigen, wie wertvoll die gemeinsame Arbeit in der NIS-Kooperationsgruppe dank der intensiven Zusammenarbeit zwischen Vertretern aller Mitgliedstaaten, der Kommission und der ENISA ist.

Das Instrumentarium ermöglicht ein gemeinsames Vorgehen bei der 5G-Cybersicherheit, das die Kohärenz im gesamten Binnenmarkt durch EU-politische Maßnahmen und Koordinierung sowie die Ausübung der Zuständigkeiten der Mitgliedstaaten, insbesondere im Hinblick auf die nationale Sicherheit, fördert. Die darin enthaltenen Risikominderungsmaßnahmen und -pläne ermöglichen eine angemessene, wirksame und verhältnismäßige Reaktion der EU auf die gemeinsamen Herausforderungen im Bereich der 5G-Cybersicherheit.

Die Kommission begrüßt die Veröffentlichung des EU-Instrumentariums für die 5G-Cybersicherheit und unterstützt alle oben genannten Schlussfolgerungen uneingeschränkt.

Die Kommission fordert die Mitgliedstaaten und die einschlägigen Organe, Agenturen und sonstigen Einrichtungen der Union auf,

5. Umsetzung des Instrumentariums

Die Entschlossenheit der Mitgliedstaaten, das Instrumentarium vollumfänglich zu nutzen, ist für ein glaubwürdiges und erfolgreiches europäisches Vorgehen bei der 5G-Sicherheit von entscheidender Bedeutung. Die Mitgliedstaaten werden zwar auf Grundlage der nationalen Gegebenheiten zu entscheiden haben, ob eine bestimmte Maßnahme geeignet ist, es ist aber unbedingt notwendig, eine Reihe von Schlüsselmaßnahmen entsprechend den Empfehlungen der NIS-Kooperationsgruppe (siehe Schlussfolgerungen zum Instrumentarium) in jedem Mitgliedstaat und einige auf EU-Ebene einzuführen, um den ermittelten Risiken zu begegnen.

Die Kommission ist bereit, in den nächsten Phasen weiterhin uneingeschränkt Unterstützung zu leisten, und ruft die Mitgliedstaaten auf"

5.1. Ein risikobasierter, abgestimmter Ansatz für 5G-Anbieter

Angesichts des übergeordneten Ziels, die Sicherheit und Widerstandsfähigkeit der 5G-Netze und ihre Zukunftsfähigkeit zu gewährleisten, waren sich die Mitgliedstaaten darin einig, dass die Risikoprofile einzelner Anbieter bewertet und in der Folge entsprechende Beschränkungen auf Anbieter angewendet werden müssen, die als mit einem hohen Risiko behaftet gelten, darunter der Ausschluss von Anbietern, wo dies - entsprechend dem Instrumentarium - zur wirksamen Minderung der Risiken für wichtige Anlagen und Einrichtungen erforderlich ist. Die Kommission ist bereit, die Mitgliedstaaten bei der Umsetzung dieser Maßnahmen zu unterstützen.

Zur Unterstützung ihrer EU-weiten Umsetzung bieten die EU-weit koordinierte Risikobewertung und das EU-Instrumentarium Orientierungshilfen in Bezug auf 1) die Bewertung der Risikoprofile von Anbietern17 und 2) die Sensibilität von Netzelementen und -funktionen18 sowie weiterer Anlagen und Einrichtungen. Sowohl die EU-weit koordinierte Risikobewertung als auch die Maßnahmen im Rahmen des Instrumentariums erfassen die Risiken, die mit den Anbietern von 5G-Netzausrüstungen und -Netzdiensten verbunden sind. Sie betreffen jedoch keine anderen Produkte oder Dienstleistungen, die diese oder andere Anbieter möglicherweise bereitstellen.

Gemäß Abschnitt 2.37 der EU-weit koordinierten Risikobewertung können die Risikoprofile einzelner Anbieter anhand mehrerer Faktoren bewertet werden.

Die Bewertung der Risikoprofile der Anbieter sollte ausschließlich aus Sicherheitsgründen und auf der Grundlage objektiver Kriterien erfolgen. Um ein koordiniertes Vorgehen bei der Umsetzung dieser Maßnahmen zu erleichtern, wird den Mitgliedstaaten im Instrumentarium empfohlen, Informationen über nationale Ansätze und bewährte Verfahren auszutauschen. Darüber hinaus ist die Kommission der Auffassung, dass diese Maßnahme eine der ersten Prioritäten der nächsten Phase der Arbeiten der NIS-Kooperationsgruppe in Zusammenarbeit mit der Kommission und der ENISA sein sollte.

Es ist wichtig, dass Maßnahmen zur Beschränkung von Anbietern, die als mit einem hohen Risiko behaftet gelten, darunter der Ausschluss von Anbietern zur wirksamen Risikominderung, sowie Maßnahmen zur Vermeidung der Abhängigkeit von diesen Anbietern rechtzeitig getroffen werden. Wenn dies so früh wie möglich, auch bei 5G-Frequenzlizenzverfahren, geschieht, erhöht das die Vorhersehbarkeit für die Marktteilnehmer, sodass diese zu einer raschen Einführung der 5G-Netze beigetragen und die langfristige Sicherheit der 5G-Netze und die Widerstandsfähigkeit der 5G-Lieferkette gewährleistet wird.

Gleichzeitig können für die Umsetzung dieser Maßnahmen auf nationaler Ebene - soweit erforderlich und gerechtfertigt - unterschiedliche Zeitpläne festgelegt werden, insbesondere wenn ein hohes Maß an Abhängigkeit von Ausrüstungen oder Diensten von Anbietern besteht, die als mit einem hohen Risiko behaftet gelten (z.B. durch Berücksichtigung von Modernisierungszyklen der Ausrüstung, insbesondere bei der Migration von "nicht eigenständigen" zu "eigenständigen" 5G-Netzen). Die Mitgliedstaaten könnten die Festlegung von Umsetzungsplänen mit angemessenen Übergangszeiträumen für die betroffenen Netzbetreiber in Erwägung ziehen. In diesem Zusammenhang sollten Übergangszeiträume so festgelegt werden, dass im Einklang mit den Zielen des 5G-Aktionsplans19 die Anreize für Investitionen in moderne Netzausrüstungen erhalten oder sogar verstärkt werden, einschließlich der beschleunigten Einführung vollwertiger ("eigenständiger") 5G-Kernnetze und der Ersetzung bestehender 4G-Ausrüstungen in anderen Teilen der Netze (z.B. im Funkzugangsnetz).

Aufgrund der Komplexität der softwaregestützten 5G-Netze werden Telekommunikationsbetreiber darüber hinaus möglicherweise zunehmend auf Dritte angewiesen sein, um neben der Bereitstellung von Netzausrüstung bestimmte Aufgaben wie die Wartung und Modernisierung der 5G-Netze und -Software sowie andere ausgelagerte verwaltete Dienste auszuführen. Wie in der EU-weit koordinierten Risikobewertung beschrieben, stellt dies ein erhebliches Sicherheitsrisiko dar. Diesem Aspekt sollte daher besondere Aufmerksamkeit gewidmet werden. Auch die Risikoprofile der mit diesen Diensten betrauten Anbieter müssen unbedingt einer gründlichen Sicherheitsbewertung unterzogen werden, insbesondere wenn diese Aufgaben nicht in der EU ausgeführt werden. Um die langfristige Integrität der 5G-Infrastruktur zu wahren, sollten geeignete Maßnahmen ergriffen werden, einschließlich der Anwendung von Beschränkungen insbesondere in sensiblen Teilen der 5G-Netze oder des erforderlichen Ausschlusses von mit hohem Risiko behafteten Anbietern im Einklang mit den Risikominderungsmaßnahmen des Instrumentariums.

5.2. Die unterstützende Rolle der Kommission bei Umsetzung des Instrumentariums

Die Kommission wird weiterhin die Umsetzung des EU-Konzepts für die 5G-Cybersicherheit im Allgemeinen unterstützen und spezifische Initiativen in Bezug auf Maßnahmen und Ziele des Instrumentariums ergreifen, wo dadurch ein Mehrwert erzielt werden kann. Die Kommission wird ihre Befugnisse und einschlägigen Instrumente in vollem Umfang nutzen, soweit dies erforderlich ist, um die ermittelten Sicherheitsbedenken auszuräumen. Auf diese Weise und durch gemeinsames Handeln mit den Mitgliedstaaten und dem Privatsektor will die Kommission ein strategisches Vorgehen unterstützen, das dazu beitragen wird, die technologische Unabhängigkeit und Führungsrolle der EU bei der künftigen Entwicklung von Netztechnik, Cybersicherheitstechnik und allen relevanten Bausteinen, von denen unsere gesamte Wirtschaft und Sicherheit abhängen, zu gewährleisten.

Die Kommission wird insbesondere folgende Maßnahmen ergreifen, um die Umsetzung der entsprechenden Risikominderungsmaßnahmen im Rahmen des Instrumentariums in den in ihre Zuständigkeit fallenden Bereichen sicherzustellen:

Gewährleistung der Cybersicherheit von 5G-Netzen und einer vielfältigen 5G-Wertschöpfungskette:

Darüber hinaus wird eine Reihe von Programmen dazu beitragen, das Risiko einer langfristigen Abhängigkeit zu vermeiden oder zu begrenzen, indem - im Einklang mit den internationalen Verpflichtungen der EU - ein diversifizierter und nachhaltiger Markt für 5G gefördert wird, unter anderem auch durch den Erhalt der EU-Kapazitäten in der 5G-Wertschöpfungskette und durch Investitionen in Innovation.

Förderung von Innovation und Investitionen in Cybersicherheit und Netzinfrastrukturtechnik:

6. Schlussfolgerungen

5G-Netze werden den Bürgerinnen und Bürgern, der Gesellschaft und der Wirtschaft in Europa vielfältige Chancen eröffnen. Die Gewährleistung der Sicherheit und Widerstandsfähigkeit der 5G-Netze ist daher von größter Bedeutung. Gleichzeitig stellen Cybersicherheitsbedrohungen (einschließlich der Gefahr von Eingriffen durch Drittstaaten oder von Drittstaaten unterstützte Akteure) eine wachsende Herausforderung dar, die neben der zunehmenden Abhängigkeit von Technologien und Daten immer mehr an Bedeutung gewinnt. Die Cybersicherheit zu vernachlässigen, würde das Vertrauen in die Entwicklung der digitalen Wirtschaft und Gesellschaft untergraben und verhindern, dass die EU die Vorteile dieser Entwicklung in vollem Umfang ausschöpft. All dies macht eine kontinuierlich angepasste und intensivierte Reaktion erforderlich.

Ein koordiniertes und kohärentes EU-Cybersicherheitskonzept für kritische Technologien und Netze ist eine Voraussetzung dafür, dass die EU ihre technologische Souveränität wahren und ihre industriellen Kapazitäten erhalten und ausbauen kann. Die Kommission wird die Umsetzung des EU-Cybersicherheitskonzepts für 5G-Netze voll und ganz unterstützen und gleichzeitig sicherstellen, dass die EU-Märkte weiterhin offen bleiben für Produkte und Dienste, die die immer höheren Anforderungen an Cybersicherheit und Vertrauenswürdigkeit erfüllen.

Hierfür ist es wichtig, dass sich alle Beteiligten weiterhin für 5G-Sicherheit stark machen, was auch eine kontinuierliche Zusammenarbeit zwischen den Mitgliedstaaten, der Kommission und der ENISA erfordern wird.

Als sofortigen nächsten Schritt fordert die Kommission, wie oben dargelegt, die Mitgliedstaaten auf, nun rasch tätig zu werden, um die als Teil des Instrumentariums vereinbarten Maßnahmen wirksam und objektiv umzusetzen, und mit Unterstützung der Kommission und der ENISA weiter zusammenzuarbeiten, um die Koordinierung auf EU-Ebene sicherzustellen. Parallel hierzu wird die Kommission alle einschlägigen Maßnahmen in ihrem Zuständigkeitsbereich auf den Weg bringen, um die Umsetzung des Instrumentariums durch die Mitgliedstaaten zu unterstützen und seine Wirkung zu verstärken.

Anlage: Risikokategorien (Quelle: EU-weit koordinierte Risikobewertung)

Risikokategorien
Risikoszenarien im Zusammenhang mit unzureichenden SicherheitsmaßnahmenFehlkonfiguration von Netzen
Mangelnde Zugangskontrolle
Risikoszenarien im Zusammenhang mit der 5G-Lieferkette Schlechte Produktqualität
Abhängigkeit von einem einzelnen Anbieter
innerhalb einzelner Netze oder mangelnde
landesweite Vielfalt
Risikoszenarien im Zusammenhang mit der Vorgehensweise der wichtigsten Bedrohungsakteure Staatliche Einflussnahme über die 5G-
Lieferkette
Nutzung von 5G-Netzen durch organisierte Kriminalität oder Verbrechergruppen, die es auf Endnutzer abgesehen haben
Risikoszenarien im Zusammenhang mit gegenseitigen Abhängigkeiten zwischen 5G-Netzen und anderen kritischen Systemen Erhebliche Störung kritischer Infrastrukturen oder Dienste
Massive Netzausfälle aufgrund einer
Unterbrechung der Stromversorgung oder
Störungen anderer Unterstützungssysteme
Risikoszenarien im Zusammenhang mit Geräten der Endnutzer Ausnutzung des Internets der Dinge (IoT)