Europese Commissie pleit voor gemeenschappelijke EU-aanpak voor de veiligheid van 5G-netwerken

De Europese Commissie heeft vandaag een aantal maatregelen aanbevolen om te zorgen voor een goede beveiliging van 5G-netwerken in de hele EU.

De toekomstige netwerken van de vijfde generatie (5G) zullen zich ontwikkelen tot de ruggengraat van onze samenlevingen en economieën. Er zullen niet alleen miljarden objecten en systemen in kritieke sectoren zoals energie, vervoer, bankwezen en gezondheidszorg op worden aangesloten, maar ook industriële besturingssystemen die gevoelige informatie verwerken en beveiligingssystemen. Democratische processen, zoals verkiezingen, zijn steeds afhankelijker van digitale infrastructuur en 5G-netwerken. Daarom is het zo belangrijk de gaten in die infrastructuur te dichten, zeker nu er in mei Europese verkiezingen worden gehouden.

Nu de staatshoofden en regeringsleiders op 22 maart hun steun hebben betuigd aan een gezamenlijke aanpak voor de veiligheid van 5G-netwerken, komt de Europese Commissie vandaag met een reeks concrete aanbevelingen om de cyberrisico's van 5G-netwerken te beoordelen en de preventieve maatregelen te verbeteren. De aanbevelingen berusten op een combinatie van wetgevings- en beleidsinstrumenten die onze economieën, samenlevingen en democratische systemen moeten beschermen. Naar verwachting zal de wereldwijde 5G-omzet in 2025 zo'n 225 miljard euro bedragen. Daarom is 5G voor Europa een belangrijke troef om op de wereldmarkt te kunnen concurreren en is cyberveiligheid cruciaal voor de strategische autonomie van de Unie.

Vicevoorzitter Andrus Ansip, Europees commissaris voor de digitale eengemaakte markt, zei bij de presentatie: "5G-technologie zal onze economie en samenleving ingrijpend veranderen, en opent grote mogelijkheden voor mensen en bedrijven. Maar we kunnen niet accepteren dat dit gebeurt zonder de nodige veiligheid in te bouwen. Daarom is het belangrijk dat de 5G-infrastructuur in de EU robuust is en goed beveiligd wordt tegen technische en juridische achterdeurtjes."

Ook commissaris Julian King, die belast is met de Veiligheidsunie, wees op het belang van de veiligheid van 5G: "De robuustheid van onze digitale infrastructuur is cruciaal voor de overheid, het bedrijfsleven, de veiligheid van onze persoonsgegevens en de werking van onze democratische instellingen. We moeten een Europese aanpak ontwikkelen voor de beveiliging van de 5G-infrastructuur, het digitale leidingnet van onze onderling verbonden levens.”

Commissaris Mariya Gabriel voor digitale economie en samenleving, voegde er nog aan toe: "De bescherming van 5G-netwerken moet de infrastructuur beveiligen die ten grondslag ligt aan vitale maatschappelijke en economische functies, zoals energie, vervoer, bankieren en gezondheidszorg, en de veel sterker geautomatiseerde fabrieken van de toekomst. Dat betekent ook dat wij onze democratische processen, zoals verkiezingen, tegen inmenging van buitenaf en tegen desinformatie moeten beschermen.”

Een zwakke plek in een 5G-netwerk van één lidstaat kan bij een cyberaanval gevolgen hebben voor de gehele Unie. Daarom moeten gecoördineerde maatregelen op nationaal en Europees niveau een hoog niveau van cyberbeveiliging garanderen.

De aanbeveling van vandaag bevat een aantal operationele maatregelen:

• 1. 

  Op nationaal niveau

Elke lidstaat moet vóór eind juni 2019 een risicobeoordeling van zijn 5G-netwerkinfrastructuur hebben afgerond. Op basis hiervan moeten de lidstaten de bestaande veiligheidsnormen voor netwerkexploitanten aanpassen door nieuwe veiligheidseisen te stellen aan openbare netwerken, met name bij het verlenen van licenties voor het gebruik van radiofrequenties in de 5G-banden. Er moeten onder meer strengere eisen komen voor leveranciers en exploitanten om de veiligheid van de netwerken te garanderen. Bij de nationale risicobeoordelingen en maatregelen moet rekening worden gehouden met diverse risicofactoren, zoals technische risico's en risico's in verband met het gedrag van leveranciers of exploitanten, ook uit derde landen. De nationale risicobeoordelingen gaan een belangrijke rol spelen in de gecoördineerde EU-risicobeoordeling.

De EU-lidstaten mogen bedrijven om redenen van nationale veiligheid van de nationale markt weren, als zij niet voldoen aan hun wetten en normen.

• 2. 

  Op EU-niveau

De lidstaten moeten onderling informatie uitwisselen en met steun van de Commissie en het Europees Agentschap voor cyberbeveiliging (ENISA) uiterlijk op 1 oktober 2019 een gecoördineerde risicobeoordeling verrichten. Op basis daarvan zullen de lidstaten afspraken maken over risicobeperkingsmaatregelen die op nationaal niveau kunnen worden ingezet. Te denken valt aan certificeringseisen, tests, controles en een lijst van producten of leveranciers die potentieel onveilig zijn. Dit wordt de taak van de samenwerkingsgroep van bevoegde autoriteiten, opgericht bij de richtlijn voor de beveiliging van netwerk- en informatiesystemen, die daarbij hulp zal krijgen van de Commissie en van ENISA. Deze coördinatiewerkzaamheden moeten de nationale maatregelen van de lidstaten ondersteunen en de Commissie aanbevelingen doen voor verdere stappen op EU-niveau. De lidstaten moeten daarnaast specifieke veiligheidseisen opstellen die bij overheidsopdrachten voor 5G-netwerken kunnen worden gesteld, zoals een verplichte cyberbeveiligingscertificering.

De aanbeveling van vandaag berust op een brede reeks al bestaande of overeengekomen instrumenten die de samenwerking bij de gezamenlijke bescherming tegen cyberaanvallen moeten verbeteren en de EU in staat moeten stellen haar economie en samenleving collectief te beschermen. Het gaat onder meer om de eerste EU-wetgeving inzake cyberbeveiliging (richtlijn voor de beveiliging van netwerk- en informatiesystemen), de onlangs door het Europees Parlement goedgekeurde cyberbeveiligingsverordening en de nieuwe telecomregels. De aanbeveling zal de lidstaten helpen deze nieuwe instrumenten op samenhangende wijze toe te passen voor de beveiliging van de 5G-infrastructuur.

Wat cyberveiligheid betreft, moet het toekomstige Europese kader voor cyberbeveiligingscertificering voor digitale producten, processen en diensten, een van de elementen van de cyberbeveiligingsverordening, een essentieel instrument worden om consequent een hoog veiligheidsniveau te bieden. Bij de toepassing ervan moeten de lidstaten snel en actief samenwerken met de overige partijen die bij de ontwikkeling van specifieke EU-brede certificeringsregelingen voor 5G zijn betrokken. Zodra de eisen ervoor zijn vastgesteld, moeten de lidstaten certificering verplicht stellen.

Wat telecommunicatie betreft, moeten de lidstaten ervoor zorgen dat de betrouwbaarheid en veiligheid van openbare communicatienetwerken altijd gewaarborgd zijn. Daartoe moeten zij van de exploitanten eisen dat zij technische en organisatorische maatregelen nemen om de veiligheidsrisico's van netwerken en diensten in de hand te houden.

Volgende stappen

• - 

  Alle lidstaten moeten ten laatste op 30 juni 2019 hun nationale risicobeoordeling hebben afgerond en hun veiligheidsmaatregelen hebben geactualiseerd. De nationale risicobeoordeling moet uiterlijk op 15 juli 2019 aan de Commissie en het Europees Agentschap voor cyberbeveiliging worden toegezonden.
• - 

  Tegelijkertijd begint de coördinatiewerkzaamheden van de lidstaten en de Commissie in de Samenwerkingsgroep. Om de lidstaten te helpen zal ENISA het 5G-dreigingslandschap in kaart brengen zodat de EU-brede risicobeoordeling op 1 oktober 2019 kan worden afgerond.
• - 

  Uiterlijk op 31 december 2019 moet de Samenwerkingsgroep het eens worden over maatregelen om de op nationaal en EU-niveau geconstateerde cyberbeveiligingsrisico's aan te pakken.
• - 

  Over enkele weken treedt de onlangs door het Europees Parlement goedgekeurde cyberbeveiligingsverordening in werking. Op dat moment beginnen de Commissie en ENISA met de invoering van het EU-brede certificeringskader. De lidstaten zullen worden aangemoedigd om in samenwerking met de Commissie en ENISA eerst een certificeringsregeling voor 5G-netwerken en -apparatuur in te voeren.
• - 

  Tegen 1 oktober 2020 moeten de lidstaten in samenwerking met de Commissie nagaan wat de aanbeveling heeft opgeleverd en bekijken of er nog meer moet worden gedaan. Daarbij moet rekening worden gehouden met de resultaten van de gecoördineerde Europese risicobeoordeling en het bestaande instrumentarium.

Achtergrond

In zijn conclusies van 22 maart heeft de Europese Raad zijn steun uitgesproken voor de aanbeveling van de Europese Commissie voor een gezamenlijke aanpak voor de veiligheid van 5G-netwerken. Het Europees Parlement doet in zijn resolutie van 12 maart over de veiligheidsdreigingen in verband met de toenemende technologische aanwezigheid van China in de EU een beroep op de Commissie en de lidstaten om in EU-verband actie te ondernemen.http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2019-0156+0+DOC+XML+V0//NL

Bovendien is de cyberbeveiliging van 5G-netwerken van cruciaal belang voor de strategische autonomie van de Unie, zoals wordt onderstreept in de gezamenlijke mededeling "EU-China - Een strategische visie". Daarom is het essentieel dat de bestaande veiligheidsvoorschriften op dit gebied dringend worden herzien en verbeterd zodat deze het strategisch belang van 5G-netwerken weerspiegelen en aangepast worden aan de ontwikkeling van het dreigingsniveau door het toenemende aantal cyberaanvallen en de complexiteit ervan. 5G is een belangrijke troef voor Europa om op de wereldmarkt te kunnen concurreren. Verwacht wordt dat de inkomsten uit 5G in 2025 wereldwijd een waarde van 225 miljard euro zullen vertegenwoordigen. Volens een andere bron zouden de voordelen van de invoering van 5G in vier belangrijke industriële sectoren, name de automobielindustrie, gezondheidszorg, vervoer en energie, kunnen oplopen tot 114 miljard euro per jaar.https://ec.europa.eu/commission/sites/beta-political/files/communication-eu-china-a-strategic-outlook_nl_0.pdf

Meer informatie

Aanbeveling inzake cyberbeveiliging van 5G-netwerken

Vragen en antwoorden

Een Europa dat beschermt: 15 van de 22 wetgevingsinitiatieven op het gebied van de veiligheidsunie tot nu toe goedgekeurd

Persbericht: EU-onderhandelaars zijn het eens over versterking van Europa's cyberveiligheid

Persbericht: Gezamenlijke mededeling "EU-China — Een strategische visie"

IP/19/1832