.

Waarom is de uitrol van 5G zo belangrijk voor Europa?

De netwerken van de vijfde generatie (5G) zullen zich ontwikkelen tot de ruggengraat van onze samenlevingen en economieën doordat ze miljarden voorwerpen en systemen met elkaar zullen verbinden in kritieke sectoren zoals energie, vervoer, de bankensector en de zorg, maar ook industriële besturingssystemen met gevoelige informatie en veiligheidssystemen. Democratische processen, zoals verkiezingen, zijn steeds afhankelijker van digitale infrastructuur en 5G-netwerken, dus het is noodzakelijk dat we alle zwakke plekken aanpakken. Dat maakt de aanbeveling van de Commissie van vandaag extra relevant in het licht van de Europese verkiezingen in mei.

5G is ook een belangrijke troef voor Europa om op de wereldmarkt te kunnen concurreren. In 2025 zouden de inkomsten uit 5G wereldwijd naar verwachting oplopen tot het equivalent van 225 miljard euro. De voordelen van de invoering van 5G in vier belangrijke sectoren (autobouw, gezondheidszorg, vervoer en energie) kunnen oplopen tot 114 miljard euro per jaar.

De uitrol van 5G is een verantwoordelijkheid van de lidstaten. Samen met de marktdeelnemers nemen de EU-landen momenteel belangrijke stappen om dit voor te bereiden. In 2019 staat er in elf EU-landen een veiling van een of meer spectrumbanden op de agenda: Oostenrijk, België, Tsjechië, Frankrijk, Duitsland, Griekenland, Hongarije, Ierland, Nederland, Litouwen en Portugal. In 2020 zijn er nog eens zes veilingen gepland: in Spanje, Malta, Litouwen, Slowakije, Polen en het Verenigd Koninkrijk.

Op EU-niveau staan er in het 5G-actieplan enkele streefdata: 2020 voor de commerciële lancering in alle lidstaten en 2025 voor de volledige uitrol in steden en langs de belangrijkste vervoersaders. Uit het laatste verslag van de 5G-waarnemingspost van de Commissie blijkt dat Europese bedrijven concurreren met andere toonaangevende regio’s in de wereld in de aanloop naar de commerciële start van 5G dit jaar. Europa is een wereldleider op het gebied van 5G-proefprojecten, met name dankzij het publiek-private partnerschap voor 5G van de Commissie. Dat omvat 139 proefprojecten in 23 EU-landen, voornamelijk in belangrijke verticale sectoren.

Het Europese wetboek voor elektronische communicatie zal de uitrol en de marktintroductie van 5G-netwerken ondersteunen, met name wat betreft toewijzing van radiospectrum, investeringsstimulansen en gunstige randvoorwaarden, terwijl de onlangs goedgekeurde regels inzake open internet rechtszekerheid bieden voor de introductie van 5G-toepassingen. Aan de particuliere kant zijn marktspelers hun investeringen in infrastructuur aan het plannen en partnerschappen aan het opzetten om de technologische oplossingen uit die proefprojecten te commercialiseren.

Waarom moeten we de risico’s van de nieuwe 5G-netwerken in kaart brengen?

Eenmaal uitgerold vormen de 5G-netwerken de ruggengraat van een breed scala aan diensten die cruciaal zijn voor de interne markt en de goede werking van vitale maatschappelijke en economische activiteiten, denk maar aan de energiesector, het vervoer, de banken, de zorg, en industriële besturingssystemen. Ook de organisatie van democratische processen, zoals verkiezingen, wordt meer en meer afhankelijk van digitale infrastructuur en 5G-netwerken.

Zwakke plekken in 5G-netwerken zouden kunnen worden uitgebuit om die systemen en digitale infrastructuur in gevaar te brengen — met potentieel zeer ernstige schade tot gevolg, zoals grootschalige datadiefstal of spionage. Doordat zoveel kritieke diensten van 5G-netwerken afhankelijk worden, kunnen de gevolgen van systemische en wijdverbreide ontwrichting bijzonder groot zijn. Dit rechtvaardigt een robuuste aanpak op basis van de risico’s. Het is niet voldoende om te vertrouwen op schadebeperkende maatregelen achteraf.

De lidstaten hebben hun bezorgdheid over potentiële veiligheidsrisico’s in verband met 5G-netwerken geuit, en ze onderzoeken of treffen al de nodige maatregelen. Ook hebben ze in hun conclusies van de Europese Raad van 22 maart aangegeven dat ze voor een gemeenschappelijke aanpak op EU-niveau zijn.

Waarom moeten we de 5G-netwerken op Europees niveau beveiligen?

Omdat digitale infrastructuren internationaal met elkaar verbonden zijn en ook mogelijke bedreigingen op dat gebied niet bij de landsgrenzen stoppen, kan een zwakke plek in een 5G-netwerk of een cyberaanval op een netwerk ergens in de EU uiteindelijk alle EU-landen treffen. Daarom zijn gecoördineerde maatregelen op nationaal en Europees niveau nodig om de cyberbeveiliging op een hoog peil te brengen.

De beveiliging van 5G-netwerken is van strategisch belang voor de EU in een tijd waarin cyberaanvallen steeds talrijker en geavanceerder worden, en het beschermen van de mensenrechten en fundamentele vrijheden online steeds belangrijker wordt.

Op hun vergadering van 22 maart 2019 hebben de staatshoofden en regeringsleiders van de EU verklaard dat zij van de Commissie een aanbeveling verwachten voor een gezamenlijke aanpak van de veiligheid van 5G-netwerken. Ook het Europees Parlement heeft in zijn resolutie over veiligheidsdreigingen in verband met de toenemende technologische aanwezigheid van China in de EU bij de Commissie en de lidstaten aangedrongen op maatregelen op EU-niveau.

Bovendien is de cyberbeveiliging van 5G-netwerken onmisbaar voor de strategische autonomie van de EU, zoals wordt erkend in de gezamenlijke mededeling “EU-China — Een strategische visie”. Buitenlandse investeringen in strategische sectoren, verwerving van kritieke activa, technologie en infrastructuur in de EU, inmenging in EU-normering en levering van kritieke uitrusting zijn potentiële risico’s voor de veiligheid van de EU. Dit geldt met name voor kritieke infrastructuur, zoals 5G-netwerken die van vitaal belang zullen zijn voor onze toekomst en volledig veilig moeten zijn.

Hoe gaat de EU-coördinatie in zijn werk? Welke stappen zijn nodig?

  • 1. 

    Op nationaal niveau

Elke lidstaat moet voor eind juni 2019 een nationale risicobeoordeling voor de 5G-netwerkinfrastructuren maken. Op basis daarvan moeten de lidstaten de bestaande beveiligingseisen voor netwerkexploitanten actualiseren en voorwaarden vaststellen voor de beveiliging van openbare netwerken, met name bij het verlenen van licenties voor radiofrequenties in 5G-banden. Dit omvat strengere verplichtingen voor leveranciers en exploitanten om de veiligheid van de netwerken te waarborgen. Bij de nationale risicobeoordelingen en maatregelen moet rekening worden gehouden met diverse risicofactoren, zoals technische risico’s en risico’s in verband met het gedrag van leveranciers of exploitanten uit landen binnen en buiten de EU. De nationale risicobeoordelingen krijgen een centrale plaats bij de uitwerking van een gecoördineerde EU-risicobeoordeling.

Elk EU-land heeft het recht om bepaalde bedrijven van zijn markt te weren om reden van nationale veiligheid als die bedrijven niet voldoen aan de normen en wetten van dat land.

  • 2. 

    Op EU-niveau

De lidstaten moeten met elkaar informatie uitwisselen en voor 1 oktober 2019 een gecoördineerde risicobeoordeling opstellen met steun van de Commissie en het Europees Agentschap voor cyberbeveiliging (ENISA). Op basis daarvan moeten de landen het eens worden over een reeks risicobeperkende maatregelen die zij op nationaal niveau kunnen treffen. Het kan daarbij gaan om certificeringseisen, tests, controles en het opstellen van een lijst producten en leveranciers die als potentieel niet-veilig worden beschouwd. Dit is een taak voor de Samenwerkingsgroep van bevoegde autoriteiten die met hulp van de Commissie en ENISA is opgericht op grond van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen. Hun coördinatieactiviteiten moeten de acties van de lidstaten op nationaal niveau ondersteunen en de Commissie een indicatie geven van mogelijke stappen op EU-niveau. Daarnaast moeten de lidstaten specifieke beveiligingseisen ontwikkelen voor overheidsopdrachten met betrekking tot 5G-netwerken, waaronder een verplichte cyberbeveiligingscertificering.

De aanbeveling van vandaag leunt sterk op de diverse bestaande en geplande instrumenten om te komen tot meer samenwerking tegen cyberaanvallen en een krachtiger gemeenschappelijk optreden van de EU ter bescherming van haar economie en samenleving. Voorbeelden zijn de eerste EU-wetgeving inzake cyberbeveiliging (de richtlijn over de beveiliging van netwerk- en informatiesystemen), de pas door het Europees Parlement aangenomen cyberbeveiligingsverordening en de nieuwe telecomregels.

De aanbeveling zal de lidstaten ook helpen deze instrumenten op een samenhangende manier toe te passen als het gaat over de veiligheid van 5G.

Welke EU-wetgeving is of wordt ingevoerd om de toekomstige 5G-netwerken te beveiligen?

De EU beschikt al over diverse instrumenten ter bescherming van elektronische communicatienetwerken, zoals de eerste EU-wetgeving inzake cyberbeveiliging (de richtlijn over de beveiliging van netwerk- en informatiesystemen), de pas door het Europees Parlement aangenomen cyberbeveiligingsverordening en de nieuwe telecomregels.https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_nlhttp://europa.eu/rapid/press-release_IP-09-1966_nl.htm

Bovendien heeft elk EU-land het recht om bepaalde bedrijven van zijn markt te weren om reden van nationale veiligheid als die bedrijven niet voldoen aan de normen en wetten van dat land.

Regels op het gebied van telecom: De lidstaten moeten de betrouwbaarheid en veiligheid van netwerken en diensten garanderen, onder andere door ervoor te zorgen dat exploitanten technische en organisatorische maatregelen nemen om alle risico’s voor de veiligheid van netwerken en diensten te beheersen. Ook hebben de betrokken nationale regelgevende instanties onder meer de bevoegdheid om bindende instructies uit te vaardigen en die te handhaven. Verder mogen de lidstaten, om de vertrouwelijkheid van de communicatie te waarborgen, extra voorwaarden stellen om openbare netwerken te beschermen tegen ongeoorloofde toegang.

Instrumenten voor cyberbeveiliging: Het toekomstig Europees kader voor cyberbeveiligingscertificering voor digitale producten, processen en diensten, waarmee het Europees Parlement onlangs akkoord is gegaan, wordt een essentieel instrument om een consistent beveiligingsniveau te bevorderen. Binnen dit kader kunnen certificeringsregelingen worden ontwikkeld die voldoen aan de behoeften van gebruikers van 5G-apparatuur en -software.

Om ervoor te zorgen dat die verplichtingen en instrumenten goed worden ingezet, heeft de EU enkele samenwerkingsorganen opgezet. Het Europees Agentschap voor cyberbeveiliging (ENISA), de Europese Commissie en de EU-landen hebben samen met de nationale regelgevende instanties technische richtsnoeren ontwikkeld waarmee die laatste alle incidenten, veiligheidsmaatregelen, dreigingen en activa kunnen melden. De Samenwerkingsgroep van bevoegde instanties, die er is gekomen dankzij de richtlijn over netwerk- en informatiebeveiliging, heeft de samenwerking tussen die bevoegde instanties makkelijker gemaakt, onder andere door te zorgen voor strategische richtsnoeren.

Cyberbeveiliging vereist ook voldoende strategische autonomie, die de EU kan behouden door te zorgen voor een kritische massa aan investeringen in cyberbeveiliging en geavanceerde digitale technologieën. Daarom wil de Commissie van deze doelstelling in de volgende begrotingsperiode van de EU een prioriteit maken en heeft zij voorstellen gedaan voor een nieuw programma, Digitaal Europa, en een nieuw Europees netwerk en kenniscentrum voor cyberbeveiliging om projecten op dit gebied te kunnen uitvoeren.

Regels voor overheidsopdrachten: De Europese aanbestedingsregels helpen het geld van de belastingbetaler beter te besteden doordat de opdrachten moeten worden gegund via openbare, transparante en goed gereguleerde aanbestedingsprocedures met voldoende concurrentie.

De EU-richtlijnen inzake overheidsopdrachten maken geen onderscheid tussen marktdeelnemers uit de EU en uit landen buiten de EU, maar ze bieden wel enkele waarborgen. Zo mogen aanbestedende diensten bijvoorbeeld onder bepaalde voorwaarden inschrijvingen uitsluiten als die ongerechtvaardigd goedkoop zijn of niet voldoen aan de normen op het gebied van veiligheid, arbeidsomstandigheden of milieu. Ook mogen overheden hun essentiële veiligheids- en defensiebelangen afschermen bij aanbestedingen.

Regels voor de screening van buitenlandse directe investeringen: De nieuwe verordening wordt in april 2019 van kracht en is volledig van toepassing vanaf november 2020. De verordening is een krachtig instrument om buitenlandse investeringen in kritieke activa, technologie en infrastructuur in beeld te brengen en draagt bij tot de bewustmaking van deze problematiek. Bovendien kunnen bij overnames in gevoelige sectoren ook dreigingen voor de veiligheid en de openbare orde gezamenlijk worden geïdentificeerd en aangepakt. De periode tot de datum waarop de verordening van toepassing wordt, moeten de lidstaten gebruiken voor de nodige aanpassingen aan hun nationale binnenlandse praktijken en wetgeving. Ook moeten zij de nodige administratieve structuren opzetten om een effectieve samenwerking op EU-niveau met de Commissie te garanderen volgens de daartoe voorziene mechanismen.

Horizontale sanctieregeling tegen cyberaanvallen: De Europese Commissie en de Hoge Vertegenwoordiger hebben samen een regeling voorgesteld met wereldwijde dekking waardoor de EU flexibel kan reageren, ongeacht de locatie vanwaar de cyberaanvallen uitgaan en ongeacht of ze door statelijke of niet-statelijke actoren worden uitgevoerd. Wordt deze sanctieregeling goedgekeurd, dan kan de EU cyberaanvallen met een “aanzienlijk effect”, die een bedreiging vormen voor de betrouwbaarheid en de veiligheid van de EU, van haar lidstaten en van hun burgers, van repliek dienen.

Wat is de rol van het Europees agentschap voor cyberbeveiliging bij deze coördinatie?

De onlangs door het Europees Parlement goedgekeurde cyberbeveiligingsverordening geeft het Europees Agentschap voor cyberbeveiliging (Europees Agentschap voor netwerk- en informatiebeveiliging, ENISA) een permanent en krachtig mandaat.

ENISA biedt de Commissie nu al ondersteuning bij de beveiliging van telecomnetwerken. ENISA heeft samen met de EU-landen en de nationale regelgevende instanties technische richtsnoeren ontwikkeld op basis waarvan die instanties incidenten, veiligheidsmaatregelen, dreigingen en activa moeten melden.

Bovendien wordt ENISA in deze nieuwe aanbeveling verzocht om te helpen bij de ontwikkeling van een gecoördineerde EU-risicobeoordeling voor 5G-netwerken.

ENISA zal ook meewerken aan de ontwikkeling van Europese certificeringsregelingen, zoals bepaald in de cyberbeveiligingsverordening.

Wat zijn de volgende stappen?

  • – 

    Voor 30 juni 2019 moeten de EU-landen hun nationale risicobeoordelingen voltooien en de noodzakelijke veiligheidsmaatregelen bijwerken. Die nationale risicobeoordelingen moeten uiterlijk op 15 juli 2019 zijn ingediend bij de Europese Commissie en het Europees Agentschap voor cyberbeveiliging.

  • – 

    Tegelijkertijd starten de EU-landen en de Europese Commissie hun coördinatiewerk binnen de Samenwerkingsgroep die is opgericht op grond van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen. ENISA zal een 5G-dreigingslandschap uittekenen dat de EU-landen zal helpen zodat er tegen 1 oktober 2019 een EU-brede risicobeoordeling op tafel kan liggen.

  • – 

    Uiterlijk op 31 december 2019 moet de Samenwerkingsgroep overeenstemming bereiken over de risicobeperkende maatregelen die nodig zijn in het licht van de geconstateerde cyberbeveiligingsrisico’s op nationaal en EU-niveau.

  • – 

    Als over enkele weken de onlangs door het Europees Parlement goedgekeurde cyberbeveiligingsverordening in werking treedt, zullen de Europese Commissie en ENISA de nodige stappen nemen om een Europees certificeringskader op te zetten. De EU-landen worden aangemoedigd om met de Commissie en ENISA samen te werken en de certificeringsregeling voor 5G-netwerken en -apparatuur prioriteit te geven.

  • – 

    Tegen 1 oktober 2020 moeten de lidstaten — in samenwerking met de Commissie — de effecten van de aanbeveling evalueren om te bepalen of er extra maatregelen nodig zijn. Bij deze evaluatie moet rekening worden gehouden met de resultaten van de gecoördineerde Europese risicobeoordeling en de doeltreffendheid van de maatregelen.

Meer informatie

Aanbeveling inzake cyberbeveiliging van 5G-netwerken

Persbericht

Een Europa dat beschermt: 15 van de 22 wetgevingsinitiatieven op het gebied van de veiligheidsunie tot nu toe goedgekeurd

Persbericht: EU-onderhandelaars zijn het eens over versterking van Europa’s cyberveiligheid

5G-actieplan

Persbericht: Gezamenlijke mededeling “EU-China — Een strategische visie”

MEMO/19/1833

http://www.europa-nu.nl/id/vkx4nnpkozy6/nieuws/vragen_en_antwoorden_commissie_beveelt?ctx=vjgtmkwna7mq&s0e=vhdubxdwqrzw