Europaparlamentet utfärdar denna resolution

—  med beaktande av Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation(1),

–  med beaktande av Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen(2),

–  med beaktande av Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om upphävande av rådets rambeslut 2005/222/RIF(3),

–  med beaktande av kommissionens förslag av den 13 september 2017 till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”) (COM(2017)0477),

–  med beaktande av kommissionens förslag av den 12 september 2018 till en förordning om inrättande av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av nationella samordningscentrum (COM(2018)0630),

–  med beaktande av den nya lagen om det nationella underrättelseväsendet som Kinas Nationella folkkongress antog den 28 juni 2017,

–  med beaktande av rådets och kommissionens uttalanden av den 13 februari 2019 om säkerhetshot kopplade till Kinas ökande teknologiska närvaro i EU och möjliga åtgärder på EU-nivå för att minska dem,

–  med beaktande av de reformer av säkerheten inom telekommunikationssektorn vilka antagits av Australiens regering och trädde i kraft den 18 september 2018,

–  med beaktande av sin ståndpunkt som antogs vid första behandlingen den 14 februari 2019 om förslaget till Europaparlamentets och rådets förordning om upprättande av en ram för granskning av utländska direktinvesteringar i Europeiska unionen(4),

–  med beaktande av sina tidigare resolutioner om läget i förbindelserna mellan EU och Kina, särskilt den som antogs den 12 september 2018(5),

–  med beaktande av kommissionens meddelande av den 14 september 2016 5G för Europa: en handlingsplan (COM(2016)0588),

–  med beaktande av sin resolution av den 1 juni 2017 om internetkonnektivitet för tillväxt, konkurrenskraft och sammanhållning: ett europeiskt gigabitsamhälle och 5G(6),

–  med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)(7),

–  med beaktande av Europaparlamentets och rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010(8),

–  med beaktande av kommissionens förslag av den 6 juni 2018 till Europaparlamentets och rådets förordning om inrättande av programmet för ett digitalt Europa för perioden 2021–2027 (COM(2018)0434),

–  med beaktande av artikel 123.2 och 123.4 i arbetsordningen, och av följande skäl:

A.  EU måste driva på sin cybersäkerhetsagenda för att förverkliga sina möjligheter att bli en ledande aktör inom cybersäkerhet till gagn för sin industri.

B.  5G-nätens svaga punkter skulle kunna utnyttjas till att inkräkta på it-system, potentiellt till oerhörd skada för ekonomierna på EU-nivå och nationell nivå. Det behövs ett riskanalysbaserat tillvägagångssätt utmed hela värdekedjan för att minimera riskerna.

C.  5G-nätet kommer att bilda ryggraden i vår digitala infrastruktur och ge ökade möjligheter till uppkoppling av olika apparater till nät (sakernas internet osv.). Det kommer också att ge samhället och företagen nya fördelar och möjligheter inom många områden, bland dem också kritiska sektorer av ekonomin, såsom sektorerna för transport, energi, hälso- och sjukvård, finanser, telekommunikationer, försvar, rymdfrågor och säkerhet.

D.  Inrättandet av en lämplig mekanism för hantering av säkerhetsutmaningar skulle ge EU möjlighet att aktivt vidta åtgärder när 5G-standarder fastställs.

E.  Farhågor har yppats om att säljare av utrustning från tredjeländer kan innebära en säkerhetsrisk för EU till följd av lagstiftningen i sina ursprungsländer, särskilt efter antagandet av Kinas lagar om statens säkerhet, som ålägger alla medborgare, företag och andra enheter att samarbeta med staten för att slå vakt om statens säkerhet, som fått en mycket vidsträckt definition. Det finns ingen garanti för att sådana skyldigheter inte tillämpas extraterritoriellt, och reaktionerna på de kinesiska bestämmelserna har varierat i olika länder, alltifrån säkerhetsbedömningar till direkta förbud.

F.  I december 2018 utfärdade den tjeckiska nationella myndigheten för cybersäkerhet en varning för säkerhetshoten till följd av den teknik som tillhandahålls av de kinesiska företagen Huawei och ZTE. Därefter uteslöt i januari 2019 de tjeckiska skattemyndigheterna Huawei från ett anbudsförfarande för uppbyggnad av en skatteportal.

G.  Det måste grundligt undersökas om den utrustning som använts, eller några andra apparater eller leverantörer, innebär säkerhetsrisker på grund av faktorer såsom inbyggda bakdörrar till systemen.

H.  Lösningar bör samordnas och hanteras på EU-nivå för att det inte ska uppstå olika nivåer på säkerheten och eventuella luckor i cybersäkerheten, samtidigt som det behövs en världsomfattande samordning för att åstadkomma ett kraftfullt gensvar på hoten.

I.  Fördelarna med den inre marknaden går hand i hand med skyldigheten att följa EU:s standarder och rättsliga ramar, och leverantörerna bör inte behandlas olika beroende på vilket land de kommer ifrån.

J.  Förordningen om granskning av utländska direktinvesteringar, som bör träda i kraft senast vid utgången av 2020, stärker medlemsstaternas möjlighet att granska utländska investeringar utifrån kriterier om säkerhet och allmän ordning, och inrättar en samarbetsmekanism som låter kommissionen och medlemsstaterna samarbeta vid sin bedömning av säkerhetsrisker, inbegripet risker för cybersäkerheten, till följd av känsliga utländska investeringar, samt omfattar dessutom projekt och program av unionsintresse, såsom transeuropeiska telekommunikationsnät och Horisont 2020.

1.  Europaparlamentet anser att unionen måste spela en ledande roll inom cybersäkerhet, med hjälp av ett gemensamt tillvägagångssätt grundat på ett effektivt och ändamålsenligt anlitande av sakkunskap från EU, medlemsstaterna och näringslivet, eftersom ett lapptäcke av olikartade nationella beslut skulle bli till skada för den digitala inre marknaden.

2.  Europaparlamentet uttrycker djup oro över den senaste tidens påståenden om att 5G‑utrustning som utvecklats av kinesiska företag kan ha inbyggda bakdörrar som skulle låta tillverkare och myndigheter få obehörigt tillträde till privata uppgifter och personuppgifter samt privata och personliga telekommunikationer från EU.

3.  Europaparlamentet är även oroat över att det kan finnas stora svagheter i 5G-utrustning från dessa tillverkare, om sådan utrustning installeras i samband med utbyggnaden av 5G-näten under de kommande åren.

4.  Europaparlamentet understryker att konsekvenserna för säkerheten i nät och utrustning är likartade i hela världen, och uppmanar EU att ta lärdom av de erfarenheter som vunnits, för att kunna säkerställa högsta möjliga standarder för cybersäkerhet. Parlamentet uppmanar kommissionen att utveckla en strategi som ger Europa ledarskap inom cybersäkerhetsteknik och syftar till att minska Europas beroende av utländsk teknik på området för cybersäkerhet. Parlamentet anser att man måste vidta lämpliga åtgärder så fort det inte kan garanteras att säkerhetskraven uppfylls.

5.  Europaparlamentet uppmanar medlemsstaterna att underrätta kommissionen om alla nationella bestämmelser de ämnar anta, så att unionens svar kan samordnas och man kan säkerställa högsta standarder för cybersäkerhet inom hela unionen, och upprepar att man måste låta bli att införa oproportionerliga ensidiga åtgärder som skulle splittra den inre marknaden.

6.  Europaparlamentet upprepar att alla enheter som levererar utrustning eller tjänster i EU, oavsett ursprungsland, måste fullgöra sina skyldigheter på de grundläggande rättigheternas område och följa unionslagstiftningen och medlemsstaternas lagar, inklusive den rättsliga ramen för integritetsskydd, skydd av personuppgifter och cybersäkerhet.

7.  Europaparlamentet uppmanar kommissionen att bedöma hur gedigen unionens rättsliga ram är, för att bemöta de farhågor som aktualiserats till följd av att det finns sårbar utrustning i strategiska sektorer och viktig infrastruktur. Parlamentet uppmanar med kraft kommissionen att lägga fram initiativ, vid behov också i form av lagstiftningsförslag, för att eventuella brister som konstaterats ska hinna åtgärdas, eftersom unionen hela tiden arbetar med att identifiera och åtgärda utmaningarna mot cybersäkerheten och förbättra motståndskraften på cybersäkerhetens område inom EU.

8.  Europaparlamentet uppmanar med kraft, dels de medlemsstater som ännu inte fullständigt införlivat direktivet om nät- och informationssäkerhet att göra så utan dröjsmål, dels kommissionen att hålla noggrann uppsikt över införlivandet, för att säkerställa att direktivets bestämmelser tillämpas och verkställs korrekt, och att européerna bättre skyddas mot externa och interna säkerhetshot.

9.  Europaparlamentet uppmanar med kraft kommissionen och medlemsstaterna att se till att de rapporteringsmekanismer som införs genom direktivet om nät- och informationssäkerhet tillämpas korrekt. Parlamentet konstaterar att kommissionen och medlemsstaterna noggrant bör följa upp säkerhetsincidenter eller olämpliga reaktioner från leverantörer för att åtgärda upptäckta brister.

10.  Europaparlamentet uppmanar kommissionen att bedöma behovet av att ytterligare utvidga räckvidden för direktivet om nät- och informationssäkerhet till andra kritiska sektorer och tjänster som inte täcks av sektorsspecifik lagstiftning.

11.  Europaparlamentet välkomnar och understöder den överenskommelse som uppnåtts om cybersäkerhetsakten och förstärkningen av mandatet för Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), som syftar till att bättre stödja medlemsstaterna i åtgärderna mot cybersäkerhetshot och it-angrepp.

12.  Europaparlamentet uppmanar med kraft kommissionen att uppdra åt Enisa att prioritera arbetet med ett certifieringssystem för 5G-utrustning, för att säkerställa att utbyggnaden av 5G i EU uppfyller de striktaste säkerhetsstandarder och kan stå emot bakdörrar eller större svagheter som skulle bli en fara för säkerheten i unionens telekommunikationsnät och för underställda tjänster. Parlamentet rekommenderar att särskild uppmärksamhet ägnas åt processer, produkter och programvara som är i allmänt bruk och som redan till följd av sin omfattande utbredning har stor inverkan både på medborgarnas vardagsliv och på ekonomin.

13.  Europaparlamentet välkomnar varmt förslagen om kompetenscentrum för cybersäkerhet och ett nätverk av nationella samordningscentrum, som utformats för att EU ska kunna ha kvar och utveckla den tekniska och industriella kapacitet inom cybersäkerhet som behövs för att trygga unionens digitala inre marknad. Parlamentet erinrar emellertid om att certifiering inte bör leda till att behöriga myndigheter och operatörer inte behöver granska leveranskedjan för att säkerställa integriteten och säkerheten hos sin utrustning i kritiska miljöer och telekomnät.

14.  Europaparlamentet påminner om att cybersäkerhet förutsätter höga säkerhetsstandarder, och efterlyser ett nätverk med automatisk och inbyggd säkerhet. Parlamentet uppmanar med kraft medlemsstaterna tillsammans med kommissionen att undersöka alla tillgängliga medel för att säkerställa en hög säkerhetsnivå.

15.  Europaparlamentet uppmanar kommissionen och medlemsstaterna att i samarbete med Enisa ge vägledning om hur cyberhot och svaga punkter kan åtgärdas vid upphandling av 5G-utrustning, exempelvis genom att utrustningen köps från flera olika leverantörer eller genom att det införs upphandlingsförfaranden med flera faser.

16.  Europaparlamentet bekräftar sin ståndpunkt avseende programmet för ett digitalt Europa, där säkerhetskrav införs och där det föreskrivs att kommissionen ska hålla uppsikt över enheter som är etablerade i EU men kontrolleras av tredjeländer, särskilt i fråga om åtgärder med koppling till cybersäkerhet.

17.  Europaparlamentet uppmanar medlemsstaterna att säkerställa att offentliga institutioner och privata företag som arbetar med att se till att kritiska infrastrukturnät fungerar ordentligt, t.ex. avseende telekommunikationer, energi, hälso- och sjukvård och socialsystem, genomför relevanta riskbedömningar, där det tas hänsyn till säkerhetshot med särskild koppling till de tekniska egenskaperna i respektive system eller till beroendet av externa leverantörer av teknik för maskinvara och programvara.

18.  Europaparlamentet erinrar om att dagens rättsliga ram för telekommunikationer ger medlemsstaterna i uppdrag att se till att teleoperatörerna följer bestämmelserna om att de allmänna elektroniska kommunikationsnäten ska präglas av integritet och tillgänglighet, vari också vid behov ska ingå totalsträckskryptering. Parlamentet framhåller att den europeiska kodexen för elektronisk kommunikation ger medlemsstaterna omfattande befogenheter att undersöka produkter på EU:s marknad och sätta in en bred uppsättning avhjälpande åtgärder, ifall de inte följer gällande bestämmelser.

19.  Europaparlamentet uppmanar kommissionen och medlemsstaterna att göra säkerheten till ett obligatoriskt inslag i all offentlig upphandling av relevant infrastruktur på både EU-nivå och nationell nivå.

20.  Europaparlamentet påminner medlemsstaterna om deras skyldighet enligt unionens rättsliga ram, i synnerhet direktiv 2013/40/EU om angrepp mot informationssystem, att utdöma påföljder mot juridiska personer som begått brott av typ angrepp av detta slag. Parlamentet betonar att medlemsstaterna även bör utnyttja sin möjlighet att utdöma andra påföljder för dessa juridiska personer, såsom tillfälligt eller permanent näringsförbud.

21.  Europaparlamentet uppmanar medlemsstaterna, cybersäkerhetsbyråer, teleoperatörer, tillverkare och leverantörer av kritiskt viktiga infrastrukturtjänster att till kommissionen och Enisa rapportera alla belägg för bakdörrar eller andra större sårbarheter som kan äventyra telekomnätens integritet och säkerhet eller strida mot unionsrätten och grundläggande rättigheter. Parlamentet förväntar sig att såväl nationella dataskyddsmyndigheter som Europeiska datatillsynsmannen grundligt ska undersöka antydningar om att säljare från tredjeländer gjort sig skyldiga till personuppgiftsincidenter samt utdöma lämpliga påföljder och sanktioner, i enlighet med EU:s dataskyddslagstiftning.

22.  Europaparlamentet välkomnar att det kommer att träda i kraft en förordning om upprättande av en ram för granskning av utländska direktinvesteringar utifrån säkerhet och allmän ordning, och understryker att denna förordning för första gången fastställer en förteckning över områden och faktorer, inklusive kommunikationer och cybersäkerhet, som har relevans för säkerhet och allmän ordning på EU-nivå.

23.  Europaparlamentet uppmanar rådet att påskynda sitt arbete med förslaget till förordning om integritet och elektronisk kommunikation.

24.  Europaparlamentet upprepar att EU måste stödja cybersäkerheten utmed hela värdekedjan, från forskningsnivå till dess att viktig teknik tas i bruk och vinner spridning, och dessutom sprida relevant information samt verka för it-hygien och skolundervisning om cybersäkerhet. Parlamentet anser att bland annat programmet för ett digitalt Europa kommer att vara ett effektivt verktyg för detta.

25.  Europaparlamentet uppmanar med kraft kommissionen och medlemsstaterna att vidta nödvändiga åtgärder, inklusive handfasta investeringsprogram, för att skapa en innovationsvänlig miljö i EU, som bör stå öppen för alla företag i EU:s digitala ekonomi, även små och medelstora företag. Parlamentet uppmanar dessutom med kraft till att en miljö av detta slag bör låta europeiska säljare utveckla nya produkter, tjänster och tekniker, så att de kan konkurrera.

26.  Europaparlamentet uppmanar med kraft kommissionen och medlemsstaterna att ta hänsyn till ovannämnda önskemål inom ramen för de kommande diskussionerna om framtidens EU–Kina-strategi, såsom nödvändiga förutsättningar för ett fortsatt konkurrenskraftigt EU med en säker digital infrastruktur.

27.  Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet och kommissionen.

(1) EUT L 321, 17.12.2018, s. 36. (2) EUT L 194, 19.7.2016, s. 1. (3) EUT L 218, 14.8.2013, s. 8. (4) Antagna texter, P8_TA(2019)0121. (5) Antagna texter, P8_TA(2018)0343. (6) EUT C 307, 30.8.2018, s. 144. (7) EUT L 119, 4.5.2016, s. 1. (8) EUT L 348, 20.12.2013, s. 129.