Mobiele netwerkaanbieders moeten op vijf gebieden aanvullende beveiligingsmaatregelen treffen om hun netwerk beter te beschermen tegen spionage of misbruik. De strengere eisen moeten november 2022 zijn doorgevoerd. Dat staat in de ‘ministeriële regeling veiligheid en integriteit telecommunicatie’ van staatssecretaris Keijzer van Economische Zaken. De regeling gaat vandaag in consultatie, waarbij burgers tot en met 16 december een reactie kunnen geven.
De telecombedrijven KPN, T-Mobile en Vodafone krijgen via de regeling aanvullende beveiligingseisen op vijf gebieden opgelegd. Deze maatregelen gelden voor kritieke onderdelen van netwerken en direct daaraan gekoppelde delen. Zo moet de configuratie van technische apparatuur veilig verlopen, waarbij de beheerwerkstations geautomatiseerd en up-to-date beschermd worden tegen malware. Tweede categorie is de veilige configuratie van fysieke en virtuele infrastructuur, zoals het gericht versleutelen van kritieke gegevens.
De derde set maatregelen is de bewaking van technische infrastructuur (monitoring), zoals voorzieningen die realtime-detectie van eventuele beveiligingsincidenten mogelijk maken en het oplossen van kwetsbaarheden en incidenten. Vierde onderdeel is de veiligheidsborging op software en beheerdiensten, zoals het door een telecomaanbieder aan zijn leveranciers per contract opleggen van vergelijkbare strenge beveiligingseisen en de plicht daar op toe te zien. Tot slot wordt gepleit voor structurele screening van en achtergrondonderzoek naar mensen die beheerwerkzaamheden uitvoeren en toegang hebben tot de infrastructuur.
Beschikking en verbod
Daarnaast heeft het kabinet een mogelijkheid om in de toekomst aan de huidige (drie) of toekomstige aanbieders van mobiele telecomnetwerken beschikkingen op te leggen. Daarin kan staan dat zij producten of diensten van gespecificeerde leveranciers moeten uitsluiten binnen de kritieke onderdelen van hun netwerken.
Voorwaarde voor een eventuele beschikking is dat een leverancier (een deel van) de telecominfrastructuur- en diensten zou kunnen gebruiken voor spionage, misbruik of uitval. Of er is sprake bij een dergelijke partij van nauwe banden met of wettelijke controle door buitenlandse overheden dan wel derde partijen zoals bedrijven en inlichtingendiensten.
Verbod
Het kabinet heeft ook de mogelijkheid om telecomaanbieders te verbieden om met bepaalde leveranciers in zee te gaan voor cruciale onderdelen van hun netwerk. Zo’n beschikking kan worden opgelegd als de leverancier nauwe banden heeft met een buitenlandse overheid of met inlichtingendiensten.
