Lidstaten publiceren verslag over gecoördineerde EU-risicobeoordeling inzake beveiliging van 5G-netwerken

Met dank overgenomen van Europese Commissie (EC), gepubliceerd op woensdag 9 oktober 2019.

Persbericht van de Europese Commissie en het Finse voorzitterschap van de Raad van de EU

Vandaag hebben de lidstaten, met steun van de Commissie en het Europees Agentschap voor cyberbeveiliging een verslag gepubliceerd over de gecoördineerde EU-risicobeoordeling inzake cyberbeveiliging in netwerken van de vijfde generatie (5G). Deze belangrijke stap maakt deel uit van de uitvoering van de in maart 2019 aangenomen aanbeveling van de Europese Commissie om een hoog niveau van cyberbeveiliging van 5G-netwerken in de hele EU te waarborgen.

5G-netwerken zullen zich ontwikkelen tot de ruggengraat van onze steeds meer gedigitaliseerde economieën en samenlevingen. Miljarden verbonden objecten en systemen zullen ervan gebruikmaken, onder meer in kritieke sectoren zoals energie, vervoer, het bankwezen en de gezondheidszorg, maar ook in industriële besturingssystemen die gevoelige informatie verwerken en in ondersteunende veiligheidssystemen. Het is daarom van essentieel belang dat de beveiliging en schokbestendigheid van 5G-netwerken wordt gewaarborgd.

Het verslag bevat de resultaten van de nationale risicobeoordelingen inzake cyberbeveiliging die alle EU-lidstaten hebben uitgevoerd. In het verslag worden de belangrijkste dreigingen en dreigingsactoren, de meest kwetsbare activa, de belangrijkste zwakke punten (onder meer op technisch gebied) en een aantal strategische risico's in kaart gebracht.

Deze beoordeling vormt de basis voor het vaststellen van risicobeperkende maatregelen die op nationaal en Europees niveau kunnen worden toegepast.

Belangrijkste inzichten die de gecoördineerde EU-risicobeoordeling heeft opgeleverd

In het verslag komt een aantal belangrijke uitdagingen op het gebied van beveiliging aan bod die in 5G-netwerken mogelijk belangrijker worden, vergeleken met de situatie in bestaande netwerken:

Deze uitdagingen houden voornamelijk verband met:

  • doorslaggevende innovaties in de 5G-technologie (die ook een aantal specifieke verbeteringen van de beveiliging zullen opleveren), met name wat betreft het belangrijke deel van de software en het brede scala aan diensten en toepassingen dat door 5G mogelijk wordt;
  • de rol van leveranciers bij de aanleg en exploitatie van 5G-netwerken en de mate van afhankelijkheid van individuele leveranciers.

De uitrol van 5G-netwerken zal naar verwachting de volgende specifieke effecten hebben:

  • Een verhoogde blootstelling aan aanvallen en meer potentiële toegangspunten voor aanvallers: Aangezien 5G-netwerken in toenemende mate op software gebaseerd zijn, nemen de risico's op ernstige veiligheidsgebreken sterk toe, bijvoorbeeld als gevolg van ondeugdelijke softwareontwikkelingsprocessen bij de leveranciers. Daardoor krijgen dreigingsactoren meer mogelijkheden om achterdeurtjes in producten in te bouwen, die moeilijker op te sporen zijn.
  • Vanwege de nieuwe kenmerken van de 5G-netwerkarchitectuur en de nieuwe mogelijkheden van 5G worden bepaalde onderdelen van netwerkapparatuur of -functies kwetsbaarder. Dat geldt bijvoorbeeld voor basisstations en belangrijke technische beheersfuncties van de netwerken.
  • Verder is er een verhoogde blootstelling aan risico's doordat exploitanten van mobiele netwerken in grotere mate afhankelijk zijn van leveranciers. Dit zal ook leiden tot een groter aantal mogelijkheden voor aanvallen die dreigingsactoren kunnen benutten. Bovendien kunnen de gevolgen van dergelijke aanvallen ernstiger zijn. Er wordt vanuit gegaan dat de grootste dreiging voor 5G-netwerken uitgaat van niet-EU-staten en van door staten gesteunde ondernemingen.
  • Aangezien de blootstelling aan door leveranciers gefaciliteerde aanvallen toeneemt, zal het risicoprofiel van individuele leveranciers bijzonder belangrijk worden. Daartoe behoort de waarschijnlijkheid dat de leverancier vatbaar is voor inmenging door een niet-EU-land.
  • Toegenomen risico's van grote afhankelijkheid van leveranciers: door een grote mate van afhankelijkheid van één enkele leverancier wordt het risico op onderbreking van leveringen groter, bijvoorbeeld als gevolg van een faillissement en de daaruit voortvloeiende problemen. Daarnaast kunnen zwakke punten zwaardere gevolgen hebben die door dreigingsactoren kunnen worden benut, met name wanneer men afhankelijk is van een leverancier die een hoog risico vormt.
  • Bedreigingen voor de beschikbaarheid en integriteit van netwerken geven aanleiding tot ernstige zorgen over de beveiliging: niet alleen de vertrouwelijkheid en de privacy lopen risico doordat 5G-netwerken de ruggengraat van veel kritische IT-applicaties zullen vormen, ook de integriteit en beschikbaarheid van deze netwerken zullen belangrijke zorgpunten in verband met de nationale veiligheid worden. Uit EU-perspectief zal er dan ook sprake zijn van een belangwekkende beveiligingsuitdaging.

Deze uitdagingen leiden tot een nieuw veiligheidsparadigma, waardoor het noodzakelijk is het huidige beleids- en beveiligingskader dat van toepassing is op de sector en het bijbehorende ecosysteem tegen het licht te houden. Verder is het van essentieel belang dat de lidstaten de nodige risicobeperkende maatregelen nemen.

Agentschap van de Europese Unie voor cyberbeveiliging schetst dreigingsbeeld Als aanvulling op het verslag van de lidstaten legt het Agentschap van de Europese Unie voor cyberbeveiliging de laatste hand aan een specifieke inventarisatie van het dreigingsbeeld in verband met 5G-netwerken, waarin nader wordt ingegaan op bepaalde technische aspecten die in het verslag aan bod komen.

Volgende stappen

Uiterlijk op 31 december 2019 moet de Samenwerkingsgroep overeenstemming bereiken over de risicobeperkende maatregelen die nodig zijn in het licht van de geconstateerde cyberbeveiligingsrisico's op nationaal en EU-niveau.

Tegen 1 oktober 2020 moeten de lidstaten — in samenwerking met de Commissie — de effecten van de aanbeveling evalueren om te bepalen of er extra maatregelen nodig zijn. Bij deze evaluatie moet rekening worden gehouden met de resultaten van de gecoördineerde Europese risicobeoordeling en de doeltreffendheid van de maatregelen.

Achtergrond

Op 26 maart 2019 heeft de Commissie, met steun van de Europese Raad, een aanbeveling inzake cyberbeveiliging van 5G-netwerken goedgekeurd, waarin de lidstaten worden opgeroepen de nationale risicobeoordelingen af te ronden en nationale maatregelen te evalueren, en op EU-niveau samen te werken aan een gecoördineerde risicobeoordeling en een gemeenschappelijk instrumentarium van risicobeheersmaatregelen.

Op nationaal niveau heeft elke lidstaat een risicobeoordeling van de 5G-netwerkinfrastructuur afgerond en de resultaten toegezonden aan de Commissie en het Enisa, het Europees Agentschap voor cyberbeveiliging. Overeenkomstig de aanbeveling van de Europese Commissie wordt in de nationale risicobeoordelingen in het bijzonder ingegaan op de belangrijkste dreigingen en dreigingsactoren met betrekking tot 5G-netwerken, kwetsbare 5G-activa en relevante (onder meer technische) zwakke punten die bijvoorbeeld voortvloeien uit de 5G-toeleveringsketen.

IP/19/6049

 

Contactpersoon voor de pers:

Voor het publiek: Europe Direct per telefoon 00 800 67 89 10 11 of e-mail