Voortgangsverslagen van EU-lidstaten vragen om nadere stappen van Europese Commissie op het gebied van cyberbeveiliging van 5G-netwerken

Het gaat om het in samenwerking met de Europese Commissie en Enisa (het EU-agentschap voor cyberbeveiliging) door de EU-lidstaten op 15 juni 2023 gepubliceerde tweede voortgangsverslag over de uitvoering van de in 2020 geïntroduceerde EU-toolbox voor 5G-cyberbeveiliging. Het verslag gaat ook in op aanbevelingen van het eerdere speciaal verslag van de Europese Rekenkamer (ERK) over uitrol van 5G in de EU uit januari 2022 (zie ook dit ECER-bericht). In aanvulling op het tweede voortgangsverslag heeft de Europese Commissie op 15 juni 2023 een mededeling aangenomen over de uitvoering van de toolbox door de lidstaten en in de eigen institutionele communicatie- en financieringsactiviteiten van de EU.

Wat betreft strategische maatregelen, en met name het opleggen van beperkingen aan leveranciers met een hoog risico, meldt het tweede voortgangsverslag dat 24 lidstaten wetgevingsmaatregelen hebben vastgesteld of bezig zijn met het opstellen van wetgevingsmaatregelen die de nationale autoriteiten de bevoegdheid geven om leveranciers te beoordelen en beperkingen op te leggen. Al 10 lidstaten hebben dergelijke beperkingen opgelegd en 3 werken momenteel aan de uitvoering van nationale wetgeving hierover. Aangezien de connectiviteitsinfrastructuur van belang is voor de digitale economie en veel kritieke diensten afhankelijk zijn van 5G-netwerken, zijn de lidstaten verplicht de toolbox zo snel mogelijk ten uitvoer leggen.

In de mededeling van de Commissie wordt benadrukt dat er grote zorgen zijn over de risico's die bepaalde leveranciers van mobiele netwerkcommunicatieapparatuur vormen voor de veiligheid van de Unie. De Commissie is van mening dat de besluiten van lidstaten om Huawei en ZTE beperkingen op te leggen of uit te sluiten, gerechtvaardigd zijn en in overeenstemming zijn met de 5G-toolbox. De Commissie is van oordeel dat deze partijen in feite aanzienlijk hogere risico's inhouden dan andere 5G-leveranciers.

Achtergrond
De EU-toolbox voor 5G-cyberbeveiliging (EU-toolbox) werd in januari 2020 gepubliceerd door autoriteiten van de lidstaten (NIS-samenwerkingsgroep), met de steun van de Commissie en Enisa. Deze heeft tot doel risico's in verband met de cyberbeveiliging van 5G-netwerken aan te pakken. De toolbox geeft een reeks strategische en technische maatregelen en ondersteunende acties om de doeltreffendheid ervan te vergroten. Deze maatregelen kunnen worden genomen om de risico's te beperken die zijn vastgesteld in het verslag over een gecoördineerde EU-risicobeoordeling van 5G-cyberbeveiliging, dat gebaseerd was op nationale risicobeoordelingen.

De toolbox en de belangrijkste aanbevelingen ervan zijn door de Commissie en de lidstaten op het hoogste niveau bekrachtigd. In oktober 2020 heeft de Europese Raad de EU en de lidstaten verzocht om ten volle gebruik te maken van de op 29 januari 2020 aangenomen toolbox voor 5G-cyberbeveiliging, en voor essentiële voorzieningen die in de gecoördineerde EU-risicobeoordelingen zijn aangemerkt als kritiek en gevoelig, de desbetreffende beperkingen toe te passen op aanbieders met een hoog risico, op basis van gemeenschappelijke objectieve criteria. In de aanbeveling van december 2022 herhaalde de Raad van de EU dat het belangrijk is dat de lidstaten werk maken van de in de EU-toolbox inzake 5G-cyberbeveiliging aanbevolen maatregelen en dat het daarbij met name van belang is dat de lidstaten beperkingen opleggen aan leveranciers met een hoog risico, aangezien tijdverlies de kwetsbaarheid van netwerken in de Unie kan vergroten.

In juli 2020 werd het eerste verslag over de vorderingen van de lidstaten bij de uitvoering van de EU-toolbox gepubliceerd. Daarin werd geconcludeerd dat er concrete stappen waren gezet om de EU-toolbox uit te voeren. Veel lidstaten hadden al meer geavanceerde beveiligingsmaatregelen op het gebied van 5G-cyberbeveiliging vastgesteld of waren al ver gevorderd. In het speciaal verslag van januari 2022 concludeerde de Europese Rekenkamer dat sinds de vaststelling van de EU-toolbox vooruitgang is geboekt bij het versterken van de beveiliging van 5G-netwerken maar dat lidstaten uiteenlopende benaderingen hanteren met betrekking tot het gebruik van apparatuur van leveranciers met een hoog risico of de reikwijdte van de beperkingen.

Mededeling van de Commissie over de uitvoering van de toolbox
De veiligheid van 5G-netwerken is een belangrijke prioriteit voor de Europese Commissie en een essentieel onderdeel van de strategie voor de veiligheidsunie. Deze netwerken zijn immers de centrale infrastructuur voor een vele diensten die essentieel zijn voor de goede werking van de interne markt en de instandhouding en werking van vitale maatschappelijke en economische functies. De kwestie staat centraal in de soevereiniteit, strategische autonomie en weerbaarheid van de Unie. In de op 15 juni aangenomen mededeling benadrukt de Commissie dit ook.

Onverminderd de bevoegdheden van de lidstaten op het gebied van nationale veiligheid heeft de Commissie de criteria van de toolbox ook zelf toegepast om de behoeften en kwetsbaarheden van haar eigen bedrijfscommunicatiesystemen en die van andere Europese instellingen, organen en agentschappen, evenals de uitvoering van financierings-programma's van de Unie te beoordelen. Op basis van haar eigen beoordeling, die overeenstemt met die van bepaalde lidstaten, dringt de Commissie erop aan dat de lidstaten die de toolbox nog niet ten uitvoer hebben gelegd, snel relevante maatregelen uit de toolbox nemen.

In het kader van haar interne institutionele cyberbeveiligingsbeleid, en ter uitvoering van de toolbox inzake 5G-cyberbeveiliging, geeft de Commissie aan maatregelen te nemen om te voorkomen dat haar bedrijfscommunicatie wordt blootgesteld aan mobiele netwerken die leveranciers Huawei en ZTE gebruiken. De Commissie zal relevante beveiligingsmaatregelen nemen om geen nieuwe connectiviteitsdiensten aan te kopen die berusten op apparatuur van die leveranciers, en zal met lidstaten en telecomexploitanten samenwerken om te zorgen dat die leveranciers geleidelijk worden verwijderd uit de bestaande connectiviteitsdiensten van de Commissiesites.

Ook wil de Commissie dit besluit toepassen in alle relevante financieringsprogramma's en -instrumenten van de EU.

Tweede voortgangsverslag
Het door de lidstaten aangenomen verslag vermeldt dat sinds het eerste voortgangsverslag verdere vooruitgang is geboekt bij de uitvoering van de belangrijkste maatregelen van de EU-toolbox. Een meerderheid van de lidstaten heeft de beveiligingsvereisten voor 5G-netwerken aangescherpt of is daarmee bezig op basis van de toolbox. Het verslag stelt echter vast dat deze situatie, ondanks de geboekte vooruitgang, een duidelijk risico inhoudt op aanhoudende afhankelijkheid van leveranciers met een hoog risico op de interne markt, met mogelijk ernstige negatieve gevolgen voor de veiligheid voor gebruikers en bedrijven in- en voor kritieke infrastructuur van de EU.

Het verslag doet diverse aanbevelingen:

• Lidstaten moeten ervoor zorgen dat zij beschikken over uitgebreide en gedetailleerde informatie van mobiele exploitanten over de huidig ingezette 5G-apparatuur en over hun plannen om nieuwe apparatuur in te zetten of in te kopen.
• Bij de beoordeling van het risicoprofiel van leveranciers moeten lidstaten rekening houden met de objectieve criteria uit de toolbox. 5G-leveranciers vertonen duidelijke verschillen in hun kenmerken, met name wat betreft de waarschijnlijkheid dat zij worden beïnvloed door specifieke derde landen waar de veiligheidswetgeving en corporate governance een potentieel risico vormen voor de veiligheid van de Unie. Er moet rekening worden gehouden met de aanwijzingen van andere lidstaten met betrekking tot leveranciers met een hoog risico, zodat de consistentie en een hoog veiligheidsniveau in de hele Unie kan worden bevorderd.
• Op basis van de beoordeling van leveranciers moeten lidstaten onverwijld beperkingen opleggen aan leveranciers met een hoog risico, omdat tijdverlies de kwetsbaarheid van netwerken in de Unie en de afhankelijkheid van de Unie van leveranciers met een hoog risico kan vergroten.
• Om risico's doeltreffend te beperken, moeten de lidstaten zorgen dat de beperkingen betrekking hebben op kritieke en zeer gevoelige activa die zijn vastgesteld in de gecoördineerde EU-risicobeoordeling, met inbegrip van het radiotoegangsnetwerk.
• Voor types apparatuur die onder de beperkingen vallen, zou het exploitanten verboden moeten worden nieuwe apparatuur te installeren. Als er voor de verwijdering van bestaande apparatuur overgangsperioden worden toegestaan, moeten deze zo worden bepaald dat de apparatuur zo snel mogelijk wordt verwijderd, rekening houdend met het veiligheidsrisico van het voorhanden houden van apparatuur van leveranciers met een hoog risico. Zij mogen niet worden gebruikt om de verdere inzet van nieuwe uitrusting van leveranciers met een hoog risico mogelijk te maken.
• Lidstaten moeten beperkingen invoeren voor verleners van beheerde diensten (managed service providers - MSP's). Indien taken worden uitbesteed aan MSP's zijn strengere beveiligingsbepalingen met betrekking tot de toegang die MSP’s krijgen nodig.
• Lidstaten moeten besprekingen voeren over de toepasbaarheid van maatregelen in verband met de diversificatie van leveranciers, en de vraag hoe het best kan worden gewaarborgd dat potentiële diversificatie niet leidt tot nieuwe of verhoogde veiligheidsrisico's.
• Lidstaten moeten technische maatregelen handhaven en zorgen voor een sterk niveau van toezicht. Bijzondere aandacht gaat uit naar het waarborgen van de toepassing van basisbeveiligingsvereisten, het verhogen van de beveiligingsnormen in de processen van leveranciers door robuuste aanbestedingsvoorwaarden en het waarborgen van veilig verloop van beheer, werking en monitoring van het 5G-netwerk.

Meer informatie:
Persbericht Europese Commissie
ECER-dossier: Digitalisering
ECER-bericht: Europese Rekenkamer brengt verslag uit over cyberbeveiliging van Europese instellingen (31 maart 2022)