Voortgangsverslagen van EU-lidstaten vragen om nadere stappen van Europese Commissie op het gebied van cyberbeveiliging van 5G-netwerken
Nieuwsbericht | 21-06-2023
Het gaat om het in samenwerking met de Europese Commissie en Enisa (het EU-agentschap voor cyberbeveiliging) door de EU-lidstaten op 15 juni 2023 gepubliceerde tweede voortgangsverslag over de uitvoering van de in 2020 geïntroduceerde EU-toolbox voor 5G-cyberbeveiliging. Het verslag gaat ook in op aanbevelingen van het eerdere speciaal verslag van de Europese Rekenkamer (ERK) over uitrol van 5G in de EU uit januari 2022 (zie ook dit ECER-bericht). In aanvulling op het tweede voortgangsverslag heeft de Europese Commissie op 15 juni 2023 een mededeling aangenomen over de uitvoering van de toolbox door de lidstaten en in de eigen institutionele communicatie- en financieringsactiviteiten van de EU.
Wat betreft strategische maatregelen, en met name het opleggen van beperkingen aan leveranciers met een hoog risico, meldt het tweede voortgangsverslag dat 24 lidstaten wetgevingsmaatregelen hebben vastgesteld of bezig zijn met het opstellen van wetgevingsmaatregelen die de nationale autoriteiten de bevoegdheid geven om leveranciers te beoordelen en beperkingen op te leggen. Al 10 lidstaten hebben dergelijke beperkingen opgelegd en 3 werken momenteel aan de uitvoering van nationale wetgeving hierover. Aangezien de connectiviteitsinfrastructuur van belang is voor de digitale economie en veel kritieke diensten afhankelijk zijn van 5G-netwerken, zijn de lidstaten verplicht de toolbox zo snel mogelijk ten uitvoer leggen.
In de mededeling van de Commissie wordt benadrukt dat er grote zorgen zijn over de risico's die bepaalde leveranciers van mobiele netwerkcommunicatieapparatuur vormen voor de veiligheid van de Unie. De Commissie is van mening dat de besluiten van lidstaten om Huawei en ZTE beperkingen op te leggen of uit te sluiten, gerechtvaardigd zijn en in overeenstemming zijn met de 5G-toolbox. De Commissie is van oordeel dat deze partijen in feite aanzienlijk hogere risico's inhouden dan andere 5G-leveranciers.
Achtergrond De EU-toolbox voor 5G-cyberbeveiliging (EU-toolbox) werd in januari 2020 gepubliceerd door autoriteiten van de lidstaten (NIS-samenwerkingsgroep), met de steun van de Commissie en Enisa. Deze heeft tot doel risico's in verband met de cyberbeveiliging van 5G-netwerken aan te pakken. De toolbox geeft een reeks strategische en technische maatregelen en ondersteunende acties om de doeltreffendheid ervan te vergroten. Deze maatregelen kunnen worden genomen om de risico's te beperken die zijn vastgesteld in het verslag over een gecoördineerde EU-risicobeoordeling van 5G-cyberbeveiliging, dat gebaseerd was op nationale risicobeoordelingen.
De toolbox en de belangrijkste aanbevelingen ervan zijn door de Commissie en de lidstaten op het hoogste niveau bekrachtigd. In oktober 2020 heeft de Europese Raad de EU en de lidstaten verzocht om ten volle gebruik te maken van de op 29 januari 2020 aangenomen toolbox voor 5G-cyberbeveiliging, en voor essentiële voorzieningen die in de gecoördineerde EU-risicobeoordelingen zijn aangemerkt als kritiek en gevoelig, de desbetreffende beperkingen toe te passen op aanbieders met een hoog risico, op basis van gemeenschappelijke objectieve criteria. In de aanbeveling van december 2022 herhaalde de Raad van de EU dat het belangrijk is dat de lidstaten werk maken van de in de EU-toolbox inzake 5G-cyberbeveiliging aanbevolen maatregelen en dat het daarbij met name van belang is dat de lidstaten beperkingen opleggen aan leveranciers met een hoog risico, aangezien tijdverlies de kwetsbaarheid van netwerken in de Unie kan vergroten.
In juli 2020 werd het eerste verslag over de vorderingen van de lidstaten bij de uitvoering van de EU-toolbox gepubliceerd. Daarin werd geconcludeerd dat er concrete stappen waren gezet om de EU-toolbox uit te voeren. Veel lidstaten hadden al meer geavanceerde beveiligingsmaatregelen op het gebied van 5G-cyberbeveiliging vastgesteld of waren al ver gevorderd. In het speciaal verslag van januari 2022 concludeerde de Europese Rekenkamer dat sinds de vaststelling van de EU-toolbox vooruitgang is geboekt bij het versterken van de beveiliging van 5G-netwerken maar dat lidstaten uiteenlopende benaderingen hanteren met betrekking tot het gebruik van apparatuur van leveranciers met een hoog risico of de reikwijdte van de beperkingen. Mededeling van de Commissie over de uitvoering van de toolbox De veiligheid van 5G-netwerken is een belangrijke prioriteit voor de Europese Commissie en een essentieel onderdeel van de strategie voor de veiligheidsunie. Deze netwerken zijn immers de centrale infrastructuur voor een vele diensten die essentieel zijn voor de goede werking van de interne markt en de instandhouding en werking van vitale maatschappelijke en economische functies. De kwestie staat centraal in de soevereiniteit, strategische autonomie en weerbaarheid van de Unie. In de op 15 juni aangenomen mededeling benadrukt de Commissie dit ook.
Onverminderd de bevoegdheden van de lidstaten op het gebied van nationale veiligheid heeft de Commissie de criteria van de toolbox ook zelf toegepast om de behoeften en kwetsbaarheden van haar eigen bedrijfscommunicatiesystemen en die van andere Europese instellingen, organen en agentschappen, evenals de uitvoering van financierings-programma's van de Unie te beoordelen. Op basis van haar eigen beoordeling, die overeenstemt met die van bepaalde lidstaten, dringt de Commissie erop aan dat de lidstaten die de toolbox nog niet ten uitvoer hebben gelegd, snel relevante maatregelen uit de toolbox nemen.
In het kader van haar interne institutionele cyberbeveiligingsbeleid, en ter uitvoering van de toolbox inzake 5G-cyberbeveiliging, geeft de Commissie aan maatregelen te nemen om te voorkomen dat haar bedrijfscommunicatie wordt blootgesteld aan mobiele netwerken die leveranciers Huawei en ZTE gebruiken. De Commissie zal relevante beveiligingsmaatregelen nemen om geen nieuwe connectiviteitsdiensten aan te kopen die berusten op apparatuur van die leveranciers, en zal met lidstaten en telecomexploitanten samenwerken om te zorgen dat die leveranciers geleidelijk worden verwijderd uit de bestaande connectiviteitsdiensten van de Commissiesites.
Ook wil de Commissie dit besluit toepassen in alle relevante financieringsprogramma's en -instrumenten van de EU. Tweede voortgangsverslag Het door de lidstaten aangenomen verslag vermeldt dat sinds het eerste voortgangsverslag verdere vooruitgang is geboekt bij de uitvoering van de belangrijkste maatregelen van de EU-toolbox. Een meerderheid van de lidstaten heeft de beveiligingsvereisten voor 5G-netwerken aangescherpt of is daarmee bezig op basis van de toolbox. Het verslag stelt echter vast dat deze situatie, ondanks de geboekte vooruitgang, een duidelijk risico inhoudt op aanhoudende afhankelijkheid van leveranciers met een hoog risico op de interne markt, met mogelijk ernstige negatieve gevolgen voor de veiligheid voor gebruikers en bedrijven in- en voor kritieke infrastructuur van de EU.
Het verslag doet diverse aanbevelingen:
Meer informatie: Persbericht Europese Commissie ECER-dossier: Digitalisering ECER-bericht: Europese Rekenkamer brengt verslag uit over cyberbeveiliging van Europese instellingen (31 maart 2022)