Beveiliging van 5G: lidstaten brengen verslag uit over vorderingen bij uitvoering EU-toolbox en versterking veiligheidsmaatregelen - Hoofdinhoud
Persbericht van de Europese Commissie en het Duitse voorzitterschap van de Raad van de EU
Vandaag hebben de EU-lidstaten, met steun van de Europese Commissie en het EU-agentschap voor cyberbeveiliging (Enisa) verslag uitgebracht over de vooruitgang die is geboekt bij de uitvoering van de gezamenlijke EU-toolbox met risicobeperkende maatregelen. In januari 2020 hebben de lidstaten overeenstemming over die toolbox bereikt en heeft de Commissie een mededeling over dat onderwerp uitgebracht. De toolbox bevat een gezamenlijke aanpak op basis van een objectieve beoordeling van vastgestelde risico's en evenredige risicobeperkende maatregelen voor de aanpak van beveiligingsrisico's in verband met de uitrol van 5G, de vijfde generatie mobiele netwerken.
Hoewel de werkzaamheden in veel lidstaten nog niet zijn voltooid, wordt in het verslag opgemerkt dat alle lidstaten een proces op gang hebben gebracht om de beveiligingsmaatregelen voor 5G-netwerken te herzien en te versterken, en dat zij daarbij blijk hebben gegeven van hun inzet voor de gecoördineerde aanpak die op EU-niveau is vastgesteld. Voor elk van de maatregelen uit de toolbox wordt in het verslag de vooruitgang beoordeeld die sinds de invoering van de toolbox is geboekt: er wordt bekeken wat er is bereikt en op welke gebieden er nog geen maatregelen zijn getroffen.
Margrethe Vestager i, uitvoerend vicevoorzitter voor een Europa dat klaar is voor het digitale tijdperk: “De tijdige uitrol van 5G-netwerken is van strategisch belang voor alle lidstaten: bedrijven krijgen nieuwe mogelijkheden, onze kritieke sectoren worden erdoor getransformeerd en de Europese burgers hebben er baat bij. Onze gemeenschappelijke prioriteit en verantwoordelijkheid is ervoor te zorgen dat deze netwerken zijn beveiligd. Hoewel uit dit verslag blijkt dat er grote stappen zijn gezet, moet er nog veel worden gedaan.”
Thierry Breton i, commissaris voor de Interne Markt: “Het 5G-netwerk wordt in de hele EU uitgerold en onze economieën zijn steeds meer afhankelijk van digitale infrastructuur. Dat is gebleken tijdens de coronacrisis. Optimale beveiliging is dan ook belangrijker dan ooit tevoren. Samen met de lidstaten zijn wij vastbesloten om, op een gecoördineerde manier, robuuste maatregelen te nemen, niet alleen om te zorgen voor 5G-cyberbeveiliging, maar ook om onze technologische autonomie te versterken. Het verslag dat vandaag is uitgebracht, bevestigt onze inzet en schetst de gebieden waarop verdere inspanningen en waakzaamheid geboden zijn.”
Duits minister van Economische Zaken en Energie, Peter Altmaier: “De uitrol van het 5G-netwerk zal volledig nieuwe kansen bieden voor het bedrijfsleven en de samenleving. Gezien het belang van 5G als cruciale kritieke infrastructuur voor toekomstige technologieën, is het belangrijk dat de uitrol van 5G-infrastructuur snel en veilig kan worden uitgevoerd, in alle lidstaten. Uit het verslag over de 5G-toolbox blijkt dat we op koers liggen.“
Duits minister van Binnenlandse Zaken, Bouw en Heimat, Horst Seehofer: “De integriteit van telecommunicatienetwerken is een essentieel onderdeel van de beveiligingsarchitectuur in alle lidstaten. Alle risico's, al dan niet op technisch vlak, moeten zoveel mogelijk worden beperkt. Uit het voortgangsverslag over de 5G-toolbox van de EU blijkt dat de gemeenschappelijke aanpak de juiste manier is om nationale maatregelen zoveel mogelijk op elkaar af te stemmen.”
Het waarborgen van de veerkracht van 5G-netwerken is essentieel voor onze samenleving, aangezien deze technologie niet alleen een impact zal hebben op digitale communicatie, maar ook op kritieke sectoren zoals energie, vervoer, het bankwezen en de gezondheidszorg, en op industriële besturingssystemen. 5G-netwerken zullen worden gebruikt voor de overdracht van gevoelige informatie en veiligheidssystemen ondersteunen die ervan afhankelijk zullen worden. De marktdeelnemers zijn grotendeels verantwoordelijk voor de veilige uitrol van 5G, en de lidstaten zijn verantwoordelijk voor de nationale veiligheid, maar de collectieve werkzaamheden en de gecoördineerde uitvoering van passende maatregelen zijn van fundamenteel belang om ervoor te zorgen dat bedrijven en burgers in de EU op een veilige manier zo veel mogelijk baat hebben bij nieuwe technologie.
De uitvoering van de toolbox is immers het resultaat van collectieve werkzaamheden en van de vastberadenheid van alle lidstaten, samen met de Commissie en Enisa, om samen te werken en te reageren op de beveiligingsproblemen van 5G-netwerken en om de blijvende openheid van de digitale eengemaakte markt te waarborgen. In de toolbox zijn de lidstaten overeengekomen de beveiligingseisen op te schroeven door middel van een mogelijke reeks aanbevolen maatregelen, de risicoprofielen van leveranciers te beoordelen, relevante beperkingen toe te passen voor leveranciers die als bijzonder risicogevoelig beschouwd worden, waaronder noodzakelijke uitsluiting bij de belangrijkste activa die als kritiek en gevoelig worden beschouwd (zoals de functies van het kernnetwerk), en strategieën te ontwikkelen om de diversificatie van verkopers te waarborgen.
Belangrijkste inzichten in het verslag over de 5G-toolbox van de EU
In het vandaag gepubliceerde verslag wordt de vooruitgang geanalyseerd die is geboekt bij de uitvoering van de maatregelen uit de toolbox op nationaal niveau en worden conclusies getrokken.
-
-Voor sommige maatregelen uit de toolbox is al goede vooruitgang geboekt, namelijk op de volgende gebieden:
o Het overgrote merendeel van de lidstaten heeft de bevoegdheden van de nationale regelgevende instanties om de beveiliging van 5G te reguleren al versterkt of is daarmee bezig. Het gaat onder meer om de bevoegdheid om de aanschaf van netwerkapparatuur en -diensten door exploitanten te reguleren.
o Een aantal lidstaten heeft al maatregelen genomen om de betrokkenheid van leveranciers op basis van hun risicoprofiel te beperken, een groot aantal andere lidstaten heeft de meeste voorbereidingen daarvoor al afgerond. In het verslag worden andere lidstaten opgeroepen dit proces in de komende maanden voort te zetten en te voltooien. Wat de precieze reikwijdte van deze beperkingen betreft, wordt in het verslag benadrukt hoe belangrijk het is om het netwerk in zijn geheel te bekijken en aandacht te besteden aan elementen van het kernnetwerk en andere kritieke en uiterst kwetsbare elementen, waaronder beheersfuncties en het radiotoegangsnetwerk, en om ook beperkingen op te leggen betreffende andere essentiële elementen, waaronder afgebakende geografische gebieden en overheids- of andere kritische entiteiten. Voor exploitanten die reeds contracten hebben gesloten met risicoverkopers, moet een overgangsperiode gelden.
o De eisen inzake beveiliging en veerkracht van netwerken voor mobiele exploitanten worden in de meerderheid van de lidstaten geëvalueerd. In het verslag wordt benadrukt hoe belangrijk het is ervoor te zorgen dat deze eisen worden aangescherpt, dat deze de meest recente en geavanceerde praktijken volgen en dat de uitvoering ervan door de exploitanten daadwerkelijk wordt gecontroleerd en gehandhaafd.
-
-De uitvoering van sommige maatregelen is echter minder ver gevorderd. In het verslag wordt opgeroepen om de volgende stappen te nemen:
o Er moet dringend vooruitgang worden geboekt om het risico van afhankelijkheid van leveranciers met een hoog risico te beperken, ook met het oog op het verminderen van de afhankelijkheid op het niveau van de Unie. Dit moet gebaseerd zijn op een grondige inventaris van de toeleveringsketen voor de netwerken en impliceert dat de ontwikkeling van de situatie in het oog wordt gehouden.
o Bij het opzetten en afdwingen van passende multivendorstrategieën voor individuele exploitanten van mobiele netwerken of op nationaal niveau zijn er technische en operationele problemen geconstateerd (bv. gebrek aan interoperabiliteit, grootte van het land).
o Wat de screening van buitenlandse directe investeringen betreft, moeten er stappen worden ondernomen om onverwijld een nationaal screeningmechanisme voor buitenlandse directe investeringen in te voeren in de 13 lidstaten waar dit nog niet is gebeurd. Dit is onder meer van belang omdat het EU-kader voor de screening van investeringen in oktober 2020 van toepassing wordt. Dergelijke screeningmechanismen moeten worden toegepast op investeringen die van invloed kunnen zijn op de 5G-waardeketen, rekening houdend met de doelstellingen van de toolbox.
Wat betreft de toekomst bevat het verslag de volgende aanbevelingen aan de autoriteiten van de lidstaten:
-
-Meer informatie uitwisselen over uitdagingen, beste praktijken en oplossingen met betrekking tot de uitvoering van de maatregelen uit de toolbox;
-
-de uitvoering van de toolbox blijven monitoren en evalueren;
-
-en met de Commissie blijven samenwerken om de in de toolbox vermelde acties op EU-niveau uit te voeren, onder meer op het gebied van normalisatie en certificering, handelsbeschermingsinstrumenten en mededingingsregels, teneinde verstoringen op de 5G-markt te vermijden. Verder investeren in EU-capaciteiten op het gebied van 5G- en post-5G-technologieën en ervoor zorgen dat bij 5G-projecten die met overheidsmiddelen worden ondersteund, rekening wordt houden met cyberbeveiligingsrisico's.
Volgende stappen
De Commissie zal in de NIS-samenwerkingsgroep blijven samenwerken met de lidstaten en Enisa om toezicht te houden op de uitvoering van de toolbox en te zorgen voor een doeltreffende en consistente toepassing ervan. De groep zal ook de onderlinge afstemming van de nationale benaderingen bevorderen door verdere uitwisseling van ervaringen en door samen te werken met het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec). In het kader van de uitvoering van de vorig jaar goedgekeurde aanbeveling van de Commissie moeten de lidstaten uiterlijk op 1 oktober 2020 in samenwerking met de Commissie de effecten van de aanbeveling beoordelen en nagaan of er behoefte is aan verdere actie. Bij deze beoordeling moet rekening worden gehouden met de resultaten van de in oktober 2019 gepubliceerde gecoördineerde EU-risicobeoordeling en met de doeltreffendheid van de maatregelen uit de toolbox.
Achtergrond
Naar aanleiding van een oproep van de Europese Raad voor een gezamenlijke aanpak van de beveiliging van 5G heeft de Commissie in maart 2019 een aanbeveling inzake cyberbeveiliging van 5G-netwerken goedgekeurd. De Commissie heeft de lidstaten opgeroepen om de nationale risicobeoordelingen af te ronden, nationale maatregelen te evalueren en op EU-niveau samen te werken aan een gecoördineerde risicobeoordeling en een gemeenschappelijke toolbox van risicobeperkende maatregelen.
In het in oktober 2019 gepresenteerde verslag over de gecoördineerde EU-risicobeoordeling van de cyberbeveiliging van 5G-netwerken, dat was gebaseerd op de nationale risicobeoordeling van de lidstaten, werd ingegaan op de belangrijkste bedreigingen en dreigingsactoren, de kwetsbaarste activa, de belangrijkste zwakke punten en een aantal strategische risico's.
Als aanvulling op dit verslag en als verdere bijdrage aan de toolbox heeft Enisa het dreigingslandschap in kaart gebracht middels een gedetailleerde analyse van een aantal technische aspecten, met name de identificatie van netwerkactiva en de bedreigingen daarvan.
In januari 2020 hebben de lidstaten via de NIS-samenwerkingsgroep de EU-toolbox met risicobeperkende maatregelen goedgekeurd. Tegelijkertijd heeft de Commissie een mededeling goedgekeurd waarin zij haar steun uitsprak voor de toolbox en waarin werd gewezen op het belang van een doeltreffende en snelle uitvoering ervan, en waarin de lidstaten werd verzocht uiterlijk op 30 juni 2020 een verslag over de uitvoering ervan op te stellen. Dat verslag is vandaag gepubliceerd.
Meer informatie
Voortgangsverslag over de uitvoering van de gezamenlijke EU-toolbox
Mededeling van de Commissie inzake de veilige uitrol van 5G in de EU