关于成员国在实施欧盟 5G 网络安全工具箱方面的进展的第二次报告

引言

• 欧盟于 2020 年 1 月发布 5G 网络安全工具箱，旨在应对 5G 网络相关的风险，包含战略措施、技术措施及支持行动。
• 欧洲理事会多次呼吁成员国充分利用工具箱，特别是对高风险供应商实施限制。
• 本报告是关于工具箱实施情况的第二份报告，概述了截至 2023 年 5 月的进展，涵盖战略和技术措施的实施情况。
• 报告基于 NIS 合作小组的调查问卷和会议讨论，信息比第一份报告更详细，但部分国家因国家安全等原因未提供完整信息。

成员国实施进展

• 战略措施 (SM)
  • SM01 (强化监管机构作用): 24 个成员国已实施或正在实施，较第一份报告大幅增加。
  • SM02 (审计运营商并要求信息): 18 个成员国已实施，8 个国家计划中。多数通过 EECC 换位实施，平均审计周期为 4-24 个月。
  • SM03 (限制高风险供应商): 21 个成员国通过立法赋予当局限制权力，3 个国家正在准备。多数国家采用基于欧盟协调风险评估标准的风险清单，并考虑国家特定因素。17 个国家可禁止部署 5G 设备，19 个国家可移除已部署设备。限制范围通常涵盖关键和高度敏感资产 (如 RAN)，部分国家涵盖敏感地点或固定网络。12 个国家设定过渡期 (平均 2-7 年)。
  • SM04 (限制 MSP 和设备供应商): 18 个成员国已实施或正在实施，措施与 SM03 类似。
  • SM05 (确保 MNO 供应商多样性): 9 个国家已实施，要求 MNO 提交多样化战略。部分国家因市场小或跨国运营商依赖而面临挑战。
  • SM06 (加强国家复原力): 34 个国家未要求国家级多样化，与 SM05 结果类似，部分国家因市场小而无需措施。
  • SM07 (FDI 筛选): 欧盟 FDI 筛选框架于 2020 年 10 月全面运作，25 个成员国已采用或修改了国家机制。
• 技术措施 (TM)
  • 总体：多数国家报告已采取措施，但范围、细节、执行和监督存在差异。
  • TM01 (基线安全要求): 23 个国家已实施，2 个部分实施。多数国家有详细规定，部分国家依赖一般安全目标，12 个国家计划改进。
  • TM02 (现有 5G 标准中的安全措施): 8 个国家已实施，5 个部分实施，13 个未实施。多数国家通过审计或要求合规声明实施，部分国家计划加强。
  • TM03 (严格访问控制): 19 个国家已实施，4 个部分实施，2 个未实施。多数国家有详细措施，部分国家依赖一般立法。
  • TM04 (加强 NFV 安全): 8 个国家已实施，5 个部分实施，14 个未实施。多数国家通过现有措施实施，5 个国家计划加强。
  • TM05 (确保 5G 网络管理、运行和监控安全): 11 个国家已实施，7 个部分实施，8 个未实施。多数国家基于风险评估安置 NOC/SOC，10 个国家计划加强。
  • TM06 (加强物理安全): 17 个国家已实施，6 个部分实施，4 个未实施。多数国家措施非 5G 特定，8 个国家计划更新。
  • TM07 (加强软件完整性、更新和补丁管理): 19 个国家已实施，5 个部分实施，3 个未实施。多数国家有更高级别安全目标，6 个国家计划加强。
  • TM08 (提高供应商流程安全标准): 13 个国家已实施，6 个部分实施，8 个未实施。多数国家有详细规定，6 个国家计划通过新规定加强。
  • TM09 & TM10 (欧盟认证): 关于 5G 网络组件/客户设备和非 5G 特定 ICT 产品/服务的认证，信息见第 3.2.3 节。
  • TM11 (加强弹性和连续性计划): 18 个国家已实施，6 个部分实施，3 个未实施。多数国家有商业连续性规定，但较少延伸至供应商，4 个国家计划加强。

欧盟工具箱支持行动和其他欧盟级别行动

• 知识交流和能力建设: 成员国继续交流信息，ENISA 发布了多项指南和报告 (如威胁格局、安全控制矩阵)，支持国家当局实施措施。
• 供应链弹性
  • Open RAN: 2022 年 5 月报告分析了 Open RAN 的机遇与风险 (如扩大攻击面、供应链风险)，建议采取谨慎方法，加强监管和技术控制。
  • 欧洲通信基础设施和网络风险评估: NIS 合作小组进行风险评估，涵盖广泛网络和技术，结果将提出建议。
  • 欧盟协调 5G 以外的风险评估: NIS 2 指令允许进行协调的风险评估，涵盖关键供应链。
• 标准化和认证: ENISA 与利益相关方合作开发 5G 认证方案，继续研究云服务方案。建立了 5G 标准化和认证分组，推动欧盟在标准化中的影响力。
• 对欧盟网络技术领域能力的投资: 智能网络和服务联合承诺 (SNS JU) 启动，管理 9 亿欧元预算，促进 5G 和 6G 研究、创新和部署。
• 欧盟为安全 5G 部署提供资金: 委员会通过全球门户、地平线欧洲、数字欧洲方案和连接欧洲基金等计划支持安全连接和投资。

欧洲法院建议的执行情况

• 报告执行了欧洲审计法院的建议，包括提供进一步指导、监测执行情况、评估需强制执行的要求、监测 MNO 更换供应商成本，以及评估单一市场溢出风险。

主要发现和结论

• 大多数成员国加强了基于工具箱的 5G 网络安全要求，但关键措施未在所有国家充分实施。
• 应尽快实现工具箱实施，特别是对关键和敏感资产的高风险供应商的限制。
• 建议措施：
  • 确保从 MNO 获取 5G 设备信息，基于 EU Toolbox 标准评估供应商风险。
  • 对高风险供应商施加限制，考虑关键资产和过渡期。
  • 加强对 MSP 的限制，讨论 SM05 和 SM06 的适用性。
  • 重点关注 TM01、TM08 和 TM05 的执行和监督。
  • 利用 ENISA 的 5G 安全控制矩阵，加强 NIS 2 指令的实施和 CRA 的制定。
  • 通过 5G 候选认证方案和标准化活动加强协调。
• 若成员国缺乏行动，委员会将考虑进一步行动以增强内部市场弹性，同时尊重国家安全。