Členské země EU ve správě 5G infrastruktury daleko častěji sází na snižování rizik, cestou úplného odstřižení od technologií z Číny se vydalo pouze Švédsko. Tak znějí závěry z druhé zprávy Evropské komise o implementaci EU Toolboxu k 5G kybernetické bezpečnosti. Ta opatrně přiznává, že její autoři jsou ohledně restrikcí a omezení daleko horlivější než politické reprezentace jednotlivých států. Většina z nich tak logicky a pragmaticky prověřuje především komponenty do nejcitlivějších částí 5G infrastruktury, kde dochází k práci s daty uživatelů a kde by teoreticky mohl hrozit výpadek, který by vedl k vyřazení významné části služeb z provozu.
Evropská komise ve Druhé zprávě o pokroku členských států v implementaci EU Toolboxu k 5G kybernetické bezpečnosti hodnotí období od ledna 2020, kdy byl zmíněný toolbox poprvé zveřejněn. Jde tedy o více než tři roky, kdy měly členské země prostor pro zpřísňování pravidel a tzv. snižování závislosti na rizikových dodavatelích. Ač je zpráva psána poměrně diplomatickým jazykem, je z ní jasné, že autoři toolboxu nemají zatím mnoho důvodů k radosti.
EU Toolbox je rozsáhlý dokument, který obsahuje širokou škálu možných strategických, technických i organizačních opatření, a na jehož přípravě participovali všechny národní kyberbezpečnostní úřady, včetně českého Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Ze zprávy o implementaci je ovšem patrné, že pouze minimum států opatření z toolboxu skutečně zavádí do praxe. Přísnou regulaci zavedlo pouze šest zemí, mezi kterými figurují tři pobaltské státy. Vůbec nejpřísnější pravidla má pak Švédsko, které využilo možnosti operátorům výslovně zakázat komponenty od čínských technologických společností Huawei a ZTE.
Dokument totiž dává státům možnost označit některé dodavatele za „vysoce rizikové“ a tak jim bez dalšího znemožnit přístup k národním telekomunikačním infrastrukturám. Evropská komise pravděpodobně doufala, že tohoto nástroje budou členské státy směrem k Číně využívat častěji, opak je ale pravdou. Zpráva o implementaci tak přiznává, že drtivá většina zemí se spokojila s minimalistickým pojetím doporučených pravidel. V praxi to vypadá tak, že důkladně prověřují pouze dodavatele komponent do nejcitlivějších částí sítě, zákonnou úpravu teprve připravují nebo rady Komise ignorují úplně.
Patrné je, že vlády v členských zemích vnímají jako prospěšnější strategii ve vztahu k Číně tzv. de-risking, který spočívá v racionálním snižování rizik zejména v kritických částech sítě. Opačným přístupem by byl tzv. de-coupling, kdy se stát rozhodne zanevřít na čínské technologie úplně, což je ovšem podmíněno významným růstem na straně nákladů. V tuzemsku je tato diskuse stále vedena a prozatím není jasné, k jaké koncepci se česká vláda přikloní. Obecný trend je ale takový, že politici k návrhům pravidel a opatření přistupují o dost opatrněji (právě z obavy ze zvýšených nákladů, které pak vytváří problémy ve státních rozpočtech), než představitelé kyberbezpečnostních úřadů a Evropské komise, kteří naopak volají po co nejtvrdších restrikcích a omezeních.
Laxní přístup členských zemí je ránou i pro český NÚKIB, který se při představení EU Toolboxu prezentoval jako jeden z jeho hlavních autorů. „Česká republika spolu s Francií patří k hlavním autorům schváleného dokumentu. Za Českou republiku se jednání k sadě opatření zúčastnil český kyber attaché Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Pimper, který měl tento proces v Bruselu na starosti,” uvedl úřad v lednu 2020. Sám Pimper v NÚKIB již nepůsobí – momentálně pracuje jako odborník na bezpečnostní regulaci ve francouzské společnosti Ericsson, která je jedním z největších evropských hráčů v 5G a přímým konkurentem čínských gigantů Huawei a ZTE, proti nimž jsou pravidla toolboxu namířena primárně.