Parlement Nederland 5G Security IoT

Kabinet zint op ‘bescherming telecomnetwerken en 5G’

by Redactie IoT Journaal2 juli 2019

Het Kabinet heeft naar eigen zeggen ‘een eerste stap gezet in de bescherming van telecomnetwerken en 5G’. Dat melden minister Ferd Grapperhaus (Justitie en Veiligheid) en staatssecretaris Mona Keijzer (Economische Zaken en Klimaat) in een gezamenlijke brief aan de Tweede Kamer. Hierin wordt aangekondigd dat er ‘dit najaar’ de noodzakelijke aanscherpingen van de netwerken zullen worden vastgesteld in een Algemene Maatregel van Bestuur. Het lijkt er vooralsnog op dat de beveiliging van de infrastructuur wordt overgelaten aan de operators in Nederland en hun toeleveranciers. Hierdoor zouden buitenlandse hard- en softwareproducenten, zoals het Chinese Huawei, ‘gewoon’ door kunnen gaan met het leveren van hun spullen. De volledige Kamerbrief is via IoTJournaal te downloaden (5 pagina’s, 125 Kb, PDF).

Aan de beloofde Algemene Maatregel van Bestuur staat een advies uitgebracht door de in april dit jaar opgerichte Taskforce Economische Veiligheid (onder leiding van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, NCTV). De bewindspersonen over dat advies: “Op basis van de risicoanalyse van de Taskforce worden de telecomaanbieders verplicht om aanvullende beveiligingsmaatregelen te nemen om de weerbaarheid tegen de dreiging vanuit landen te verhogen. Een van deze maatregelen is het stellen van extra hoge eisen aan leveranciers van diensten en producten in de kritieke onderdelen van het telecomnetwerk. Op deze manier wordt de kwetsbaarheid van misbruik verder verminderd.” We moeten nog tot het najaar wachten totdat duidelijk is wat de regering verstaat onder ‘extra hoge eisen’. Wel wordt alvast gesproken over het inrichten van ‘een structureel proces’ in samenwerking met de telecomaanbieders. Hierbij wordt ‘zoveel mogelijk rekening gehouden met bedrijfseconomische aspecten, voor zover de nationale veiligheid hierdoor niet in het geding komt’.

Europese aanpak nodig

Volgens het kabinet is een Nederlandse aanpak van eventuele veiligheidsrisico’s in de netwerkinfrastructuren niet genoeg. Er wordt in de Kamerbrief dan ook gesproken over de noodzaak tot het komen van maatregelen op EU-niveau: ” Europese samenwerking in de beveiliging van het 5G netwerk en het nemen van maatregelen is noodzakelijk. Het kabinet steunt dan ook een gezamenlijke Europese aanpak. Hierbij kan gedacht worden aan internationale wetgeving, coalitievorming of internationale ontwikkeling van normen en standaarden.” De Europese Commissie is daar overigens al volop mee bezig, mede ingegeven door de controverse rond de Chinese fabrikant Huawei en het feit dat diverse nationale overheden het bedrijf met argusogen bekijken. De Verenigde Staten heeft de fabrikant al in de ban gedaan. De Europese Commissie en de verschillende lidstaten aarzelen nog. Ondanks druk uit VS om het Amerikaanse voorbeeld te volgen en Huawei te weren. De EC heeft echter onlangs een voorzichtige stap gezet om de beveiliging van 5G-netwerken te borgen. Overigens zonder dat het Huawei of andere fabrikanten met naam en toenaam noemt. De Commissie geeft de lidstaten nu een aantal ‘5G-security aanbevelingen’. Zo worden de verschillende overheden gevraagd om een ‘inschatting te maken van de potentiële veiligheidsrisico’s van de nationale 5G-netwerkinfrastructuren‘. De deadline voor die exercitie is ‘eind juni 2019’. Die momentopname moet weer als basis dienen voor  beveiligingsmaatregelen en -eisen waaraan de betrokken operators en leveranciers zich moeten houden. Wie zich vervolgens niet aan die eisen houdt, mag door de bewuste lidstaat geweerd worden uit het 5G-ecosysteem.

‘Gecoördineerde beoordeling risico’s’

De Europese Commissie gaat zelf ook aan de slag om de security van 5G-netwerken te evalueren en te regelen. Zo initieert het een ‘gecoördineerde beoordeling van de risico’s van Europese 5G-netwerkinfrastructuren’. Die beoordeling zal door de European Agency for Cybersecurity (ENISA) worden gedaan, in samenwerking met de verschillende EU-landen. De resultaten hiervan moeten op 1 oktober dit jaar worden opgeleverd. Uiteindelijk moet het ervoor zorgen dat per 31 december 2019 er een setje maatregelen is waarmee de beveiliging en veiligheid van de netwerken in de Europese Unie wordt gewaarborgd.