UE chce obowiązkowo wycofać sprzęt „wysokiego ryzyka” z sieci i infrastruktury krytycznej – co to oznacza dla cyberbezpieczeństwa 5G i łańcucha dostaw ICT? - Security Bez Tabu

UE chce obowiązkowo wycofać sprzęt „wysokiego ryzyka” z sieci i infrastruktury krytycznej – co to oznacza dla cyberbezpieczeństwa 5G i łańcucha dostaw ICT?

Wprowadzenie do problemu / definicja luki

Komisja Europejska zapowiedziała rozwiązania, które mają uczynić obowiązkowym podejście do ograniczania roli tzw. „dostawców wysokiego ryzyka” (high-risk suppliers) w kluczowych elementach infrastruktury cyfrowej – w tym w sieciach łączności (zwłaszcza 5G) oraz innych sektorach krytycznych. W praktyce jest to powszechnie interpretowane jako ruch wymierzony w chińskich producentów, takich jak Huawei i ZTE, choć propozycje nie wskazują firm ani państw wprost.

W cyberbezpieczeństwie nie chodzi tu o „jedną podatność CVE”, tylko o ryzyko systemowe łańcucha dostaw: możliwość wpływu państwa trzeciego na producenta, presję prawną, ograniczoną przejrzystość procesu wytwarzania, a także ryzyko zakłóceń dostaw, serwisu i aktualizacji. Komisja już wcześniej argumentowała, że utrzymywanie zależności od dostawców wysokiego ryzyka może mieć poważne skutki dla bezpieczeństwa użytkowników i infrastruktury krytycznej w całej UE.

W skrócie

  • Propozycja zakłada wycofanie komponentów/sprzętu od dostawców wysokiego ryzyka z elementów uznanych za krytyczne – w mediach przewija się horyzont ok. 3 lat / 36 miesięcy dla sieci mobilnych (po spełnieniu warunków formalnych).
  • Zmiana ma „utwardzić” dotychczasowe zalecenia (soft-law) i zakończyć nierówną implementację między państwami UE.
  • Równolegle Komisja opublikowała materiały dot. propozycji rewizji Cybersecurity Act w ramach szerszego pakietu – z akcentem na odporność i bezpieczeństwo łańcuchów dostaw ICT.
  • W tle pozostaje „5G Toolbox” oraz raporty/monitoring wdrożeń – już w 2020 r. podkreślano potrzebę przeglądu i wzmacniania zabezpieczeń 5G przez państwa członkowskie.

Kontekst / historia / powiązania

UE pracuje nad ryzykiem dostawców w 5G co najmniej od momentu uruchomienia EU 5G Security Toolbox (koordynacja w ramach NIS Cooperation Group). Celem było ograniczenie ryzyk technicznych i nietechnicznych (np. prawno-geopolitycznych), m.in. poprzez ocenę profilu ryzyka dostawców i ograniczanie roli tych uznanych za wysokiego ryzyka w kluczowych funkcjach sieci.

W czerwcu 2023 r. Komisja wprost wskazywała, że istnieje ryzyko utrzymywania zależności od dostawców wysokiego ryzyka w UE oraz że – na podstawie kryteriów z Toolboxa – decyzje części państw o ograniczaniu/wykluczaniu Huawei i ZTE są zgodne z podejściem unijnym.

W praktyce jednak wdrożenia były nierówne: jedne kraje ograniczały sprzęt, inne nadal dopuszczały go w większym zakresie, co utrudniało budowę jednolitego poziomu bezpieczeństwa rynku. Nowe propozycje mają tę „mozaikę” ujednolicić poprzez mechanizm wiążący.

Analiza techniczna / szczegóły „luki” (ryzyko łańcucha dostaw)

W sieciach 4G/5G i w systemach infrastruktury krytycznej ryzyko dostawcy nie sprowadza się wyłącznie do „czy urządzenie ma backdoora”. Kluczowe są punkty kontroli i zaufania:

  1. Płaszczyzna zarządzania (management plane)
    Kontrolery, systemy OSS/BSS, platformy NMS, zdalne utrzymanie i diagnostyka. Każdy mechanizm zdalnego dostępu, telemetrii, update’ów i logowania jest potencjalnym „kanałem” nadużyć – nawet bez celowego działania producenta (wystarczy kompromitacja łańcucha aktualizacji).
  2. Rdzeń sieci (5G Core) i funkcje krytyczne
    Elementy odpowiedzialne za uwierzytelnianie, routing, polityki QoS, network slicing czy sygnalizację. Usterki, błędne aktualizacje albo złośliwe modyfikacje mogą mieć efekt systemowy.
  3. Warstwa radiowa (RAN) i zależności operacyjne
    Nawet jeśli część państw koncentrowała się na „wyrzucaniu” dostawcy z rdzenia, to nadal pozostaje temat interoperacyjności, vendor lock-in, łańcucha części zamiennych oraz serwisu.
  4. Ryzyka nietechniczne, które materializują się technicznie
    • presja prawna w państwie pochodzenia dostawcy,
    • brak przejrzystości w procesach SDLC i wytwarzania firmware,
    • trudność audytu kodu i aktualizacji,
    • ryzyko sankcji/zakazu eksportu/serwisu → opóźnienia w patchowaniu.

Właśnie dlatego propozycje UE idą w stronę ramy oceny i ograniczeń dostawców (supply chain security), a nie „łatania” pojedynczych podatności.

Praktyczne konsekwencje / ryzyko

Dla operatorów i podmiotów infrastruktury krytycznej skutki będą głównie w trzech obszarach:

  • Koszt i złożoność migracji: wymiana elementów sieci/urządzeń, testy interoperacyjności, okna serwisowe, ryzyko degradacji SLA i opóźnień rolloutów (zwłaszcza 5G SA).
  • Ryzyko operacyjne w okresie przejściowym: równoległe utrzymywanie „starego” i „nowego” stosu technologicznego, większa powierzchnia ataku (więcej integracji), a także presja na zespoły bezpieczeństwa i NOC/SOC.
  • Wpływ na inne sektory: wg doniesień propozycje obejmują nie tylko telekomy, ale też elementy wykorzystywane np. w systemach kontroli granicznej, wodociągach, ochronie zdrowia/urządzeniach medycznych – czyli tam, gdzie awaria/kompromitacja ma realny wpływ na ciągłość działania usług publicznych.

Warto też zauważyć aspekt geopolityczny: ruch UE jest postrzegany jako część szerszego trendu ograniczania ryzyka związanego z dostawcami z państw trzecich w kluczowych technologiach.

Rekomendacje operacyjne / co zrobić teraz

Jeśli odpowiadasz za bezpieczeństwo sieci, OT/ICS albo zakupy ICT w sektorze krytycznym, sensowne „tu i teraz” to:

  1. Zrób inwentaryzację zależności dostawcy (bill of materials dla infrastruktury)
    • gdzie dokładnie działa sprzęt/oprogramowanie danego vendora (core/RAN/management/transport),
    • które systemy wymagają zdalnego utrzymania i jakie kanały dostępu istnieją.
  2. Oceń „blast radius” wymiany
    • co jest „key ICT asset” (krytyczne i wrażliwe zasoby),
    • jak wygląda plan migracji: kolejność, testy, kompatybilność, utrzymanie usług.
  3. Wymuś twarde wymagania supply chain security w zakupach i umowach
    • polityka aktualizacji (SLA na security patches),
    • wymagania dot. logowania, telemetrii, ograniczania zdalnego dostępu,
    • prawo do audytu, wymagania dot. transparentności cyklu życia produktu.
  4. Zabezpiecz okres przejściowy
    • segmentacja i kontrola dostępu do warstwy zarządzania,
    • monitoring anomalii (sieć + systemy zarządzania),
    • „break glass” dla zdalnego serwisu, MFA, bastiony, minimalizacja uprawnień.
  5. Przygotuj się na ujednolicenie wymagań w UE
    Skoro Komisja mówi o ograniczeniu fragmentacji rynku i budowie ram dla łańcuchów dostaw ICT, warto zakładać, że oczekiwania regulacyjne i audytowe będą bardziej spójne – szczególnie dla operatorów i sektorów krytycznych.

Różnice / porównania z innymi przypadkami

  • Wcześniej (Toolbox): nacisk na rekomendacje i wdrożenia krajowe → różna praktyka w państwach UE.
  • Teraz (propozycje 2026): przesunięcie w stronę podejścia obowiązkowego i bardziej centralnie koordynowanego, z docelowym harmonogramem wycofywania komponentów wysokiego ryzyka (w doniesieniach: ok. 36 miesięcy dla sieci mobilnych po spełnieniu warunków formalnych).

Podsumowanie / kluczowe wnioski

UE przechodzi od „miękkiej” koordynacji do twardszego modelu zarządzania ryzykiem dostawców w krytycznej infrastrukturze cyfrowej. Dla bezpieczeństwa oznacza to, że vendor risk i supply chain security stają się równorzędne z klasycznym vulnerability management.

Dla operatorów i organizacji krytycznych najważniejsze będzie: szybkie rozpoznanie zależności, plan migracji minimalizujący ryzyko operacyjne oraz wzmocnienie kontroli bezpieczeństwa w warstwie zarządzania i aktualizacji – bo to tam najczęściej materializuje się ryzyko łańcucha dostaw.

Źródła / bibliografia

  1. SecurityWeek / Associated Press – opis propozycji i kontekstu „high risk suppliers”, 20 stycznia 2026. (SecurityWeek)
  2. Reuters – szczegóły dot. planu, sektorów i horyzontu 36 miesięcy, 20 stycznia 2026. (Reuters)
  3. Komisja Europejska (DG CONNECT) – „Proposal for a Regulation for the EU Cybersecurity Act”, publikacja 20 stycznia 2026. (Digital Strategy)
  4. Komisja Europejska – „Implementation of the 5G cybersecurity Toolbox”, 15 czerwca 2023. (Digital Strategy)
  5. ENISA – informacja o raporcie dot. wdrożenia EU 5G Toolbox, 24 lipca 2020. (enisa.europa.eu)