Meer documenten
Originele locatie document  

Commissie kondigt volgende stappen aan op het gebied van cyberbeveiliging van 5G-netwerken in aanvulling op het meest recente voortgangsverslag van de lidstaten*

In samenwerking met de Europese Commissie en Enisa (het EU-agentschap voor cyberbeveiliging) publiceren de EU-lidstaten vandaag een tweede voortgangsverslag over de uitvoering van de EU-toolbox voor 5G-cyberbeveiliging. In het verslag wordt ook ingegaan op een aantal aanbevelingen van het speciaal verslag van de Europese Rekenkamer van januari 2022. In aanvulling op het voortgangsverslag heeft de Commissie vandaag een mededeling aangenomen over de uitvoering van de toolbox door de lidstaten en in de eigen institutionele communicatie- en financieringsactiviteiten van de EU.

Wat betreft strategische maatregelen, en met name het opleggen van beperkingen aan leveranciers met een hoog risico, meldt het verslag dat 24 lidstaten wetgevingsmaatregelen hebben vastgesteld of bezig zijn met het opstellen van wetgevingsmaatregelen die de nationale autoriteiten de bevoegdheid geven om leveranciers te beoordelen en beperkingen op te leggen. Van die 24 zijn er 10 die al dergelijke beperkingen hebben opgelegd en 3 die momenteel werken aan de uitvoering van nationale wetgeving hierover. Aangezien de connectiviteitsinfrastructuur van belang is voor de digitale economie en veel kritieke diensten afhankelijk zijn van 5G-netwerken, moeten de lidstaten de toolbox onverwijld ten uitvoer leggen.

De Commissie benadrukt in haar mededeling dat zij zich grote zorgen maakt over de risico's die bepaalde leveranciers van mobiele netwerkcommunicatieapparatuur vormen voor de veiligheid van de Unie. De Commissie is van mening dat de besluiten van de lidstaten om Huawei en ZTE beperkingen op te leggen of uit te sluiten, gerechtvaardigd zijn en in overeenstemming zijn met de 5G-toolbox. In overeenstemming met dergelijke besluiten en op basis van een breed scala aan beschikbare informatie is de Commissie van oordeel dat Huawei en ZTE in feite aanzienlijk hogere risico's inhouden dan andere 5G-leveranciers.

Mededeling van de Commissie over de uitvoering van de toolbox

De veiligheid van 5G-netwerken is een belangrijke prioriteit voor de Europese Commissie en een essentieel onderdeel van de strategie voor de veiligheidsunie. Deze netwerken zijn immers de centrale infrastructuur voor een brede waaier aan diensten die essentieel zijn voor de goede werking van de interne markt en de instandhouding en werking van vitale maatschappelijke en economische functies. De kwestie staat centraal in de soevereiniteit, strategische autonomie en weerbaarheid van de Unie. In haar vandaag aangenomen mededeling neemt de Commissie nota van en is zij ingenomen met de goedkeuring van het tweede voortgangsverslag over de uitvoering van de EU-toolbox door de NIS-samenwerkingsgroep.

Onverminderd de bevoegdheden van de lidstaten op het gebied van nationale veiligheid heeft de Commissie de criteria van de toolbox ook toegepast om de behoeften en kwetsbaarheden van haar eigen bedrijfscommunicatiesystemen en die van de andere Europese instellingen, organen en agentschappen, alsook de uitvoering van financieringsprogramma's van de Unie te beoordelen in het licht van de algemene beleidsdoelstellingen van de Unie. Op basis van haar eigen beoordeling, die in overeenstemming is met die van bepaalde lidstaten, dringt de Commissie erop aan dat de lidstaten die de toolbox nog niet ten uitvoer hebben gelegd, snel relevante maatregelen nemen, zoals aanbevolen in de EU-toolbox, om de risico's van de geïdentificeerde leveranciers doeltreffend en snel aan te pakken.

In het kader van haar interne institutionele cyberbeveiligingsbeleid en ter uitvoering van de toolbox inzake 5G-cyberbeveiliging zal de Commissie maatregelen nemen om te voorkomen dat haar bedrijfscommunicatie wordt blootgesteld aan mobiele netwerken die Huawei en ZTE als leveranciers gebruiken. Zij zal relevante beveiligingsmaatregelen nemen om geen nieuwe connectiviteitsdiensten aan te kopen die berusten op apparatuur van die leveranciers, en zal met de lidstaten en telecomexploitanten samenwerken om ervoor te zorgen dat die leveranciers geleidelijk worden verwijderd uit de bestaande connectiviteitsdiensten van de sites van de Commissie.

De Commissie is ook voornemens dit besluit toe te passen in alle relevante financieringsprogramma's en -instrumenten van de EU.

Tweede voortgangsverslag over de 5G-toolbox

In het door de lidstaten aangenomen verslag wordt vermeld dat sinds het eerste voortgangsverslag van juli 2020 verdere vooruitgang is geboekt bij de uitvoering van de belangrijkste maatregelen van de EU-toolbox. Een grote meerderheid van de lidstaten heeft de beveiligingsvereisten voor 5G-netwerken aangescherpt of is bezig deze aan te scherpen op basis van de EU-toolbox. In het verslag wordt echter vastgesteld dat deze situatie, ondanks de geboekte vooruitgang, een duidelijk risico inhoudt op aanhoudende afhankelijkheid van leveranciers met een hoog risico op de interne markt, met mogelijk ernstige negatieve gevolgen voor de veiligheid voor gebruikers en bedrijven in de hele EU en voor de kritieke infrastructuur van de EU.

In het verslag worden aanbevelingen gedaan.

  • De lidstaten moeten ervoor zorgen dat zij beschikken over uitgebreide en gedetailleerde informatie van mobiele exploitanten over de momenteel ingezette 5G-apparatuur en over hun plannen om nieuwe apparatuur in te zetten of in te kopen.
  • Bij de beoordeling van het risicoprofiel van leveranciers moeten de lidstaten rekening houden met de objectieve criteria die in de EU-toolbox worden aanbevolen. In dit verband is het duidelijk dat 5G-leveranciers duidelijke verschillen vertonen in hun kenmerken, met name wat betreft de waarschijnlijkheid dat zij worden beïnvloed door specifieke derde landen waar de veiligheidswetgeving en corporate governance een potentieel risico vormen voor de veiligheid van de Unie. Voorts moet rekening worden gehouden met de aanwijzingen van andere lidstaten met betrekking tot leveranciers met een hoog risico, teneinde de consistentie en een hoog niveau van veiligheid in de hele Unie te bevorderen.
  • Op basis van de beoordeling van leveranciers moeten de lidstaten onverwijld beperkingen opleggen aan leveranciers met een hoog risico, aangezien tijdverlies de kwetsbaarheid van netwerken in de Unie en de afhankelijkheid van de Unie van leveranciers met een hoog risico kan vergroten, met name voor lidstaten met een grote aanwezigheid van mogelijke leveranciers met een hoog risico.
  • Om de risico's doeltreffend te beperken, moeten de lidstaten ervoor zorgen dat de beperkingen betrekking hebben op kritieke en zeer gevoelige activa die zijn vastgesteld in de gecoördineerde EU-risicobeoordeling, met inbegrip van het radiotoegangsnetwerk.
  • Voor types apparatuur die onder de beperkingen vallen, zou het exploitanten verboden moeten worden nieuwe apparatuur te installeren. Als er voor de verwijdering van bestaande apparatuur overgangsperioden worden toegestaan, worden deze zodanig bepaald dat de apparatuur zo snel mogelijk wordt verwijderd, rekening houdend met het veiligheidsrisico van het voorhanden houden van apparatuur van leveranciers met een hoog risico, en mogen zij niet worden gebruikt om de verdere inzet van nieuwe uitrusting van leveranciers met een hoog risico mogelijk te maken.
  • De lidstaten moeten beperkingen invoeren voor verleners van beheerde diensten (managed service providers - MSP's) en, indien taken worden uitbesteed aan MSP's, strengere beveiligingsbepalingen opleggen met betrekking tot de toegang die MSP's krijgen.
  • De lidstaten moeten verdere besprekingen voeren over de toepasbaarheid van maatregelen in verband met de diversificatie van leveranciers, en de vraag hoe het best kan worden gewaarborgd dat potentiële diversificatie niet leidt tot nieuwe of verhoogde veiligheidsrisico's maar bijdraagt tot veiligheid en veerkracht.
  • De lidstaten moeten technische maatregelen handhaven en zorgen voor een sterk niveau van toezicht. Zij moeten bijzondere aandacht besteden aan bepaalde maatregelen, met name het waarborgen van de toepassing van basisbeveiligingsvereisten, het verhogen van de beveiligingsnormen in de processen van leveranciers door middel van robuuste aanbestedingsvoorwaarden en het waarborgen dat het beheer, de werking en de monitoring van het 5G-netwerk veilig verlopen.

Achtergrond

De EU-toolbox voor 5G-cyberbeveiliging (EU-toolbox), die in januari 2020 is gepubliceerd door de autoriteiten van de lidstaten (NIS-samenwerkingsgroep), met de steun van de Commissie en Enisa, heeft tot doel risico's in verband met de cyberbeveiliging van 5G-netwerken aan te pakken. De toolbox beschrijft een reeks strategische en technische maatregelen en ondersteunende acties om de doeltreffendheid ervan te vergroten. Deze maatregelen kunnen worden genomen om de risico's te beperken die zijn vastgesteld in het verslag over een gecoördineerde EU-risicobeoordeling van 5G-cyberbeveiliging, dat gebaseerd was op nationale risicobeoordelingen.

De toolbox en de belangrijkste aanbevelingen ervan zijn door de Commissie en de lidstaten op het hoogste niveau bekrachtigd. In oktober 2020 heeft de Europese Raad de EU en de lidstaten verzocht om ten volle gebruik te maken van de op 29 januari 2020 aangenomen toolbox voor 5G-cyberbeveiliging, en voor essentiële voorzieningen die in de gecoördineerde EU-risicobeoordelingen zijn aangemerkt als kritiek en gevoelig, de desbetreffende beperkingen toe te passen op aanbieders met een hoog risico, op basis van gemeenschappelijke objectieve criteria. In zijn aanbeveling van december 2022 herhaalde de Raad van de EU dat het belangrijk is dat de lidstaten werk maken van de in de EU-toolbox inzake 5G-cyberbeveiliging aanbevolen maatregelen en dat het daarbij met name van belang is dat de lidstaten beperkingen opleggen aan leveranciers met een hoog risico, aangezien tijdverlies de kwetsbaarheid van netwerken in de Unie kan vergroten.

In juli 2020 is een eerste verslag over de vorderingen van de lidstaten bij de uitvoering van de EU-toolbox gepubliceerd. Daarin werd geconcludeerd dat er concrete stappen waren gezet om de EU-toolbox uit te voeren. Veel lidstaten hadden al meer geavanceerde beveiligingsmaatregelen op het gebied van 5G-cyberbeveiliging vastgesteld of waren al ver gevorderd met de voorbereiding van dergelijke maatregelen. In haar speciaal verslag van januari 2022 concludeerde de Rekenkamer dat sinds de vaststelling van de EU-toolbox vooruitgang is geboekt bij het versterken van de beveiliging van 5G-netwerken. De Rekenkamer wees er echter ook op dat de lidstaten uiteenlopende benaderingen hanteren met betrekking tot het gebruik van apparatuur van leveranciers met een hoog risico of de reikwijdte van de beperkingen.

Meer informatie

Mededeling van de Commissie over de uitvoering van de toolbox inzake 5G-cyberbeveiliging

Tweede voortgangsverslag over de toolbox inzake 5G-cyberbeveiliging

EU-beleid op het gebied van cyberbeveiliging

5G-toolbox van de EU

*Bijgewerkt op 15.6.2023

Deel via

Gepubliceerd

15-6-2023 02:00

Laatst gewijzigd

16-6-2023 11:14

Bron

Europese Commissie

Categorie

Media|Persberichten