Parlamentul European,

—  având în vedere Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice(1),

–  având în vedere Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune(2),

–  având în vedere Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului(3),

–  având în vedere propunerea Comisiei de regulament al Parlamentului European și al Consiliului din 13 septembrie 2017 privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”) (COM(2017)0477),

–  având în vedere propunerea Comisiei din 12 septembrie 2018 de regulament de instituire a Centrului de competențe european industrial, tehnologic și de cercetare în materie de securitate cibernetică și a Rețelei de centre naționale de coordonare (COM(2018)0630),

–  având în vedere adoptarea, la 28 iunie 2017, a noii Legi privind serviciile naționale de informații de către Congresul național al poporului chinez,

–  având în vedere declarațiile Consiliului și Comisiei din 13 februarie 2019 privind amenințările la adresa securității în legătură cu prezența tehnologică în creștere a Chinei în UE și posibilele acțiuni la nivelul UE de reducere a acestora,

–  având în vedere adoptarea de către Guvernul Australiei a reformelor în domeniul securității sectorului telecomunicațiilor guvernamentale, care au intrat în vigoare la 18 septembrie 2018,

–  având în vedere poziția sa adoptată în primă lectură la 14 februarie 2019 referitoare la propunerea de regulament al Parlamentului European și al Consiliului de stabilire a unui cadru pentru examinarea investițiilor străine directe în Uniunea Europeană(4),

–  având în vedere rezoluțiile sale anterioare referitoare la stadiul actual al relațiilor UE-China, în special cea din 12 septembrie 2018(5),

–  având în vedere Comunicarea Comisiei din 14 septembrie 2016 intitulată „Un plan de acțiune privind 5G în Europa” (COM(2016)0588),

–  având în vedere Rezoluția sa din 1 iunie 2017 referitoare la conectivitatea la internet pentru creștere, competitivitate și coeziune: societatea europeană a gigabiților și tehnologia 5G(6),

–  având în vedere Regulamentul (UE) 2016/679 al Parlamentului și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)(7),

–  având în vedere Regulamentul (UE) nr. 1316/2013 al Parlamentului European și al Consiliului din 11 decembrie 2013 de instituire a Mecanismului pentru Interconectarea Europei, de modificare a Regulamentului (UE) nr. 913/2010 și de abrogare a Regulamentelor (CE) nr. 680/2007 și (CE) nr. 67/2010(8),

–  având în vedere propunerea Comisiei din 6 iunie 2018 de regulament al Parlamentului European și al Consiliului de instituire a programului Europa digitală pentru perioada 2021-2027 (COM(2018)0434),

–  având în vedere articolul 123 alineatul (2) și alineatul (4) din Regulamentul său de procedură,

A.  întrucât Uniunea Europeană trebuie să își dinamizeze agenda în materie de securitate cibernetică pentru a-și putea valorifica potențialul de a deveni un actor principal în domeniul securității cibernetice și pentru a se putea folosi de acest statut în beneficiul industriei sale;

B.  întrucât vulnerabilitățile rețelelor 5G ar putea fi exploatate pentru a compromite sistemele informatice, ceea ce ar putea cauza prejudicii foarte grave economiilor atât la nivel european, cât și la nivel național; întrucât este necesară o abordare bazată pe analiza riscurilor în cadrul lanțului valoric, pentru a reduce la minimum riscurile;

C.  întrucât rețeaua 5G va reprezenta coloana vertebrală a infrastructurii noastre digitale, extinzând posibilitatea de a conecta diverse dispozitive la rețele (internetul obiectelor etc.) și va oferi noi beneficii și oportunități societății și întreprinderilor în numeroase domenii, inclusiv în sectoarele critice ale economiei, cum ar fi transporturile, energia, sănătatea, finanțele, telecomunicațiile, apărarea, sectorul spațial și al securității;

D.  întrucât crearea unui mecanism adecvat pentru a răspunde provocărilor în materie de securitate ar oferi Uniunii oportunitatea de a lua în mod activ măsuri de stabilire a standardelor pentru tehnologia 5G;

E.  întrucât au fost exprimate preocupări cu privire la furnizorii de echipamente din țări terțe care ar putea prezenta un risc în materie de securitate pentru UE, din cauza legilor din țara lor de origine, în special după adoptarea Legii privind securitatea de stat din China, care impune obligații pentru toți cetățenii și toate întreprinderile și celelalte entități de a coopera cu statul pentru a proteja securitatea de stat, ca urmare a unei definiții foarte ample a securității de stat; întrucât nu se poate garanta că aceste obligații nu se aplică la nivel extrateritorial și întrucât reacțiile la reglementările chineze au variat de la o țară la alta, de la evaluări ale securității până la interdicții totale;

F.  întrucât, în decembrie 2018, autoritatea națională cehă pentru securitatea cibernetică a emis un avertisment împotriva amenințărilor la adresa securității pe care le reprezintă tehnologiile furnizate de întreprinderile chineze Huawei și ZTE; întrucât, ulterior, în ianuarie 2019, autoritățile fiscale cehe au exclus Huawei de la o licitație pentru crearea unui portal fiscal;

G.  întrucât este necesară o anchetă amănunțită pentru a clarifica dacă dispozitivele implicate sau orice alte dispozitive sau alți furnizori prezintă riscuri de securitate prin caracteristici cum ar fi instalarea unor tehnologii de tip „backdoor” în sisteme;

H.  întrucât soluțiile ar trebui să fie coordonate și gestionate la nivelul UE, pentru a se evita existența unor niveluri diferite de securitate și eventualele breșe în materie de securitate cibernetică, în timp ce este necesară o coordonare la nivel mondial pentru a oferi un răspuns ferm;

I.  întrucât beneficiile pieței unice sunt corelate cu obligația de a respecta standardele UE și cadrul juridic al Uniunii și întrucât furnizorii nu ar trebui să fie tratați în mod diferit în funcție de țara lor de origine;

J.  întrucât regulamentul privind examinarea investițiilor străine directe, care ar trebui să intre în vigoare până la sfârșitul anului 2020, consolidează capacitatea statelor membre de a filtra investițiile străine pe baza unor criterii de securitate și de ordine publică și stabilește un mecanism de cooperare care permite Comisiei și statelor membre să coopereze pentru evaluarea riscurilor de securitate, inclusiv a riscurilor de securitate cibernetică, generate de investițiile străine sensibile și acoperă și proiectele și programele care prezintă interes pentru Uniune, cum ar fi rețea transeuropeană din domeniul infrastructurii de telecomunicații și Orizont 2020,

1.  consideră că Uniunea trebuie să își asume un rol de lider în domeniul securității cibernetice, printr-o abordare comună bazată pe utilizarea eficace și eficientă a expertizei de care dispun Uniunea, statele membre și sectorul specific, deoarece un amestec disparat de decizii naționale divergente ar fi în detrimentul pieței unice digitale;

2.  își exprimă profunda îngrijorare cu privire la relatările recente potrivit cărora în echipamentele 5G dezvoltate de către societățile chineze ar putea fi încorporate tehnologii de tip „backdoor” care ar permite producătorilor și autorităților un acces neautorizat la datele și telecomunicațiile private și cu caracter personal din UE;

3.  este, de asemenea, preocupat de prezența potențială a unor vulnerabilități majore în echipamentele 5G dezvoltate de acești producători, în cazul în care ar urma să fie instalate la punerea în funcțiune a rețelelor 5G în următorii ani;

4.  subliniază că implicațiile pentru securitatea rețelelor și a echipamentelor sunt similare în întreaga lume și invită Uniunea să tragă învățăminte din experiența acumulată până în prezent pentru a putea asigura cele mai înalte standarde în materie de securitate cibernetică; invită Comisia să elaboreze o strategie care să plaseze Europa într-o poziție de lider în domeniul tehnologiilor de securitate cibernetică și care să urmărească reducerea dependenței Europei de tehnologia străină în domeniul securității cibernetice; consideră că, în toate situațiile în care nu se poate garanta respectarea cerințelor de securitate, trebuie aplicate măsuri adecvate;

5.  invită statele membre să informeze Comisia cu privire la orice măsură națională pe care intenționează să o adopte, pentru a coordona răspunsul Uniunii astfel încât să se asigure cele mai înalte standarde de securitate cibernetică în întreaga Uniune; reiterează că este important să nu se introducă măsuri unilaterale disproporționate care ar fragmenta piața unică;

6.  reiterează că orice entități care furnizează echipamente sau servicii în Uniune, indiferent de țara lor de origine, trebuie să respecte obligațiile în materie de drepturi fundamentale și legislația UE și a statelor membre, inclusiv cadrul juridic în ceea ce privește confidențialitatea, protecția datelor și securitatea cibernetică;

7.  invită Comisia să evalueze soliditatea cadrului juridic al Uniunii pentru a răspunde preocupărilor legate de prezența echipamentelor vulnerabile în sectoarele strategice și infrastructura de bază; îndeamnă Comisia să prezinte inițiative, inclusiv propuneri legislative, dacă este cazul, pentru a remedia în timp util orice deficiențe identificate, având în vedere faptul că Uniunea se află într-un proces constant de identificare și soluționare a provocărilor în materie de securitate cibernetică și de consolidare a rezilienței în acest domeniu pe teritoriul său;

8.  îndeamnă acele state membre care nu au transpus încă integral Directiva privind securitatea rețelelor și a informațiilor (Directiva NIS) să facă acest lucru fără întârziere și invită Comisia să monitorizeze îndeaproape această transpunere, pentru a se asigura că dispozițiile directivei sunt aplicate și respectate în mod corespunzător și că cetățenii europeni sunt mai bine protejați împotriva amenințărilor externe și interne la adresa securității;

9.  îndeamnă Comisia și statele membre să se asigure că mecanismele de raportare introduse prin Directiva NIS sunt aplicate în mod corespunzător; observă că Comisia și statele membre ar trebui să urmărească cu rigurozitate toate incidentele de securitate și reacțiile neadecvate ale furnizorilor, astfel încât să remedieze deficiențele detectate;

10.  invită Comisia să evalueze necesitatea de a se extinde domeniul de aplicare a Directivei NIS și la alte sectoare și servicii de importanță critică care nu sunt acoperite printr-o legislație specifică;

11.  salută și sprijină acordul la care s-a ajuns cu privire la Legea privind securitatea cibernetică și consolidarea mandatului Agenției UE pentru Securitatea Rețelelor și a Informațiilor (ENISA) pentru a ajuta mai bine statele membre să combată amenințările și atacurile cibernetice;

12.  îndeamnă Comisia să încredințeze ENISA sarcina prioritară de a dezvolta un sistem de certificare pentru echipamentele 5G, cu scopul de a se asigura că introducerea tehnologiei 5G în Uniune îndeplinește cele mai înalte standarde de securitate și garantează rezistența în raport cu tehnologia de tip „backdoor” sau cu vulnerabilități majore care ar putea pune în pericol securitatea rețelelor de telecomunicații ale Uniunii și a serviciilor dependente; recomandă să se acorde o atenție deosebită proceselor, produselor și programelor informatice folosite în mod curent care, prin amploarea utilizării lor, au un impact semnificativ asupra vieții de zi cu zi a cetățenilor și a economiei;

13.  salută călduros propunerile privind centrele de competență în materie de securitate cibernetică și o rețea de centre naționale de coordonare, concepute pentru a ajuta Uniunea să păstreze și să dezvolte capacitățile tehnologice și industriale în domeniul securității cibernetice necesare pentru a asigura securitatea pieței sale unice digitale; cu toate acestea, reamintește că certificarea nu ar trebui să excludă autoritățile competente și operatorii din procesul de control al lanțului de aprovizionare pentru a asigura integritatea și securitatea echipamentelor lor care operează în medii critice și în rețele de telecomunicații;

14.  reamintește că securitatea cibernetică presupune existența unor standarde înalte de securitate; solicită o rețea securizată intrinsec și din momentul conceperii; îndeamnă statele membre ca, împreună cu Comisia, să analizeze toate mijloacele disponibile pentru a asigura un nivel ridicat de securitate;

15.  invită Comisia și statele membre ca, în cooperare cu ENISA, să ofere orientări cu privire la modul de a face față amenințărilor și vulnerabilităților cibernetice atunci când se achiziționează echipamente 5G, de exemplu prin diversificarea echipamentelor de la diferiți furnizori sau prin introducerea unor procese de achiziții în mai multe etape;

16.  își reafirmă poziția referitoare la programul Europa digitală, care impune cerințe de securitate și supravegherea de către Comisie a entităților stabilite în Uniune, dar controlate din țări terțe, în special în ceea ce privește acțiunile legate de securitatea cibernetică;

17.  invită statele membre să se asigure că instituțiile publice și întreprinderile private implicate în asigurarea funcționării corespunzătoare a rețelelor infrastructurii critice, cum ar fi infrastructura în domeniul telecomunicațiilor, energiei, sănătății și serviciilor sociale, efectuează evaluări relevante ale riscurilor care țin seama de amenințările la adresa securității legate în mod specific de caracteristicile tehnice ale sistemului respectiv sau de dependența de furnizori externi de echipamente hardware și software;

18.  reamintește că actualul cadru juridic privind telecomunicațiile mandatează statele membre să garanteze că operatorii de telecomunicații respectă integritatea și disponibilitatea rețelelor publice de comunicații electronice, inclusiv criptarea de la un capăt la altul, ducă este cazul; subliniază că, în conformitate cu Codul european al comunicațiilor electronice, statele membre dispun de competențe ample pentru a desfășura anchete privind produsele de pe piața UE și a utiliza o gamă largă de măsuri corective în caz de neconformitate;

19.  invită Comisia și statele membre să ia măsuri pentru ca securitatea să devină un aspect obligatoriu în toate procedurile de achiziții publice pentru infrastructura relevantă, atât la nivelul Uniunii, cât și la nivel național;

20.  reamintește statelor membre obligația care le revine în temeiul cadrului juridic al UE, în special al Directivei 2013/40/UE privind atacurile împotriva sistemelor informatice, de a impune sancțiuni persoanelor juridice care comit infracțiuni penale, cum ar fi atacurile împotriva acestor sisteme; subliniază că statele membre ar trebui, de asemenea, să se folosească de capacitatea lor de a impune alte sancțiuni acestor entități juridice, cum ar fi interdicția temporară sau permanentă de a desfășura activități comerciale;

21.  invită statele membre, agențiile de securitate cibernetică, operatorii de telecomunicații, producătorii și furnizorii de servicii de infrastructură critice să raporteze Comisiei și ENISA orice element care dovedește existența unor tehnologii de tip „backdoor” sau a altor vulnerabilități majore care ar putea compromite integritatea și securitatea rețelelor de telecomunicații sau care încalcă legislația Uniunii și drepturile fundamentale; se așteaptă ca autoritățile naționale de protecție a datelor, precum și Autoritatea Europeană pentru Protecția Datelor, să demareze investigații temeinice privind încălcarea securității datelor cu caracter personal de către furnizorii externi și să impună penalizări și sancțiuni corespunzătoare în conformitate cu legislația europeană din domeniul protecției datelor;

22.  salută viitoarea intrare în vigoare a unui regulament de stabilire a unui cadru pentru examinarea investițiilor străine directe în Uniunea Europeană în temeiul unor considerente de securitate și de ordine publică și subliniază că regulamentul respectiv stabilește pentru prima dată o listă de domenii și factori, printre care comunicațiile și securitatea cibernetică, care sunt relevanți pentru securitatea și ordinea publică la nivelul UE;

23.  invită Consiliul să își accelereze eforturile în contextul procesului de adoptare a propunerii de Regulament privind viața privată și comunicațiile electronice;

24.  reiterează faptul că UE trebuie să sprijine securitatea cibernetică de-a lungul întregului lanț valoric, de la cercetare la introducerea și utilizarea pe scară largă a tehnologiilor-cheie, să disemineze informațiile relevante și să promoveze igiena cibernetică și programele de învățământ care cuprind securitatea cibernetică; consideră că, printre alte măsuri, programul Europa digitală va fi un instrument eficient în acest sens;

25.  îndeamnă Comisia și statele membre să adopte măsurile necesare, inclusiv sisteme de investiții robuste, pentru a crea un mediu favorabil inovării în cadrul Uniunii, care ar trebui să fie accesibil tuturor întreprinderilor din economia digitală a UE, inclusiv întreprinderilor mici și mijlocii; solicită, de asemenea, ca un astfel de mediu să permită furnizorilor europeni să dezvolte noi produse, servicii și tehnologii, care să le permită să fie competitivi;

26.  invită Comisia și statele membre să țină seama de solicitările de mai sus în cadrul viitoarelor discuții despre o viitoare strategie UE-China, aceasta fiind o condiție prealabilă pentru ca UE să rămână competitivă și pentru a asigura securitatea infrastructurii sale digitale;

27.  îi încredințează Președintelui sarcina de a transmite prezenta rezoluție Consiliului și Comisiei.

(1) JO L 321, 17.12.2018, p. 36. (2) JO L 194, 19.7.2016, p. 1. (3) JO L 218, 14.8.2013, p. 8. (4) Texte adoptate, P8_TA(2019)0121. (5) Texte adoptate, P8_TA(2018)0343. (6) JO C 307, 30.8.2018, p. 144. (7) JO L 119, 4.5.2016, p. 1. (8) JO L 348, 20.12.2013, p. 129.