De aanhoudende cyberaanvallen en spionage vanuit China nopen de EU tot een aanscherping van de Cybersecurity-verordening. Ook de falende aanpak vanuit de EU vraagt om een hardere lijn.
Een nieuw pakket maatregelen moet leiden tot een bescherming van kritieke ict-toeleveringsketens. Een ander doel is om cyberaanvallen doortastend te bestrijden, aldus EU-tech-chef Henna Virkkunen in een verklaring.
In de voorstellen die de Europese Commissie lanceert, worden geen landen en bedrijven genoemd. Maar duidelijk is dat Brussel met een nieuwe Cybersecurity-wet aanstuurt op het weren van vooral Huawei en ZTE uit kritieke telecommunicatienetwerken.
Geopolitieke landschap
Sinds de Cybersecurity Act in 2019 is aangenomen, hebben zich in het geopolitieke landschap grote veranderingen voorgedaan. Het aantal cyberdreigingen nam hand over hand toe. Kritieke sectoren werden steeds meer belaagd. Statelijke actoren kunnen vitale delen van de economie en de hele maatschappij in de war schoppen.
Tegelijkertijd bleef een effectieve reactie van de EU uit. Vijf jaar geleden kwamen de EU-lidstaten met een ‘toolbox’ aan maatregelen om de veiligheidsrisico’s rond de uitrol van 5G beter te kunnen beheersen. Maar dat bleek een papieren tijger. Veel landen gingen gewoon op oude voet door. Huawei werd weinig in de weg gelegd bij de verkoop van 5G-netwerkapparatuur, ook in kritieke netwerken.
Henna Virkkunen zei tegenover Politico niet tevreden te zijn met de wijze waarop deze lidstaten de 5G Toolbox implementeren. Nog steeds zitten Chinese leveranciers in de vitale delen van deze netwerken.
Strengere regels
De EU-tech-chef wil daarom strengere regels. Die komen neer op wettelijke besluiten om risicovolle 5G-leveranciers te blokkeren. Vervolgens krijgen operators nog drie jaar de tijd voor het uitfaseren van componenten van deze (Chinese) leveranciers. Voor glasvezel, zeekabels en satellietnetwerken moeten de termijnen voor uitfasering nog worden vastgesteld.
Ook in andere vitale sectoren dreigt zo’n ban. Maar zo’n blokkade buiten de telecom laat nog op zich wachten, omdat onderzoeken naar de risico’s daar nog niet zijn afgerond. Ook bedrijven die in China componenten laten maken, gaan mogelijk onder de nieuwe Cybersecurity-wet vallen.
De Europese Commissie heeft achttien kritieke sectoren aangewezen waarvoor de nieuwe maatregelen gaan gelden. Hieronder vallen zelfrijdende voertuigen, drones en apparatuur voor nutsbedrijven. Ook diensten op gebied van cloudcomputing, medische apparaten, bewakingsapparatuur, ruimtevaart en halfgeleiders worden genoemd als kritieke sectoren.
De EU-voorstellen voorzien ook in een eenvoudiger certificeringsproces voor cyberbeveiliging. Certificeringsregelingen zijn straks standaard binnen twaalf maanden te ontwikkelen.
Hulpmiddel
De certificeringsregelingen van Enisa (EU-agentschap voor cybersecurity) worden een praktisch en vrijwillig hulpmiddel voor bedrijven. Daarmee kunnen zij laten zien dat ze voldoen aan EU regels, wat hun administratieve lasten en kosten verlaagt. Niet alleen ict producten en diensten kunnen worden gecertificeerd, maar ook processen, beheerde securitydiensten en zelfs het cybergedrag van organisaties, zodat zij beter aansluiten op wat de markt vraagt.
KPN is de afgelopen jaren minder afhankelijk van Huawei geworden, maar de Chinese gigant levert nog wel antennes en radio-units. Huawei zit niet meer in het 5G-core-netwerk, maar wel in het toegangsnetwerk. Chinese leveranciers zijn of waren wel betrokken bij het Nederlandse C2000 stelsel.
