EU scherpt Cybersecurity-wet aan om Chinese risico's uit vitale netwerken te weren

In dit artikel:

De EU stelt een scherper cybersecuritykader voor omdat aanhoudende cyberaanvallen en spionage, met name uit China, kwetsbaarheden in kritieke ict-ketens blootleggen en eerdere, vrijwillige maatregelen onvoldoende bleken. In een nieuw pakket wil de Commissie — onder aanvoering van EU-techchef Henna Virkkunen — onder meer risicovolle leveranciers uit vitale telecommunicatienetwerken weren; hoewel geen namen in de voorstellen staan, wordt duidelijk op Huawei en ZTE gemikt.

Lidstaten kregen in 2019 al een ‘5G-toolbox’, maar die leidde niet tot voldoende afscherming; Chinese leveranciers bleven in veel landen actief in gevoelige delen van netwerken. De voorgestelde wetgeving laat operators drie jaar om onderdelen van zulke leveranciers in 5G-netwerken uit te faseren; termijnen voor glasvezel, zeekabels en satellietverbindingen moeten nog worden vastgesteld. Eenzelfde aanpak kan later ook in andere kritieke sectoren volgen, maar daar lopen nog risicoonderzoeken.

De Commissie heeft achttien sectoren aangewezen als kritisch, waaronder zelfrijdende voertuigen, drones, nutsapparatuur, clouddiensten, medische apparatuur, bewakingssystemen, ruimtevaart en halfgeleiders. Ook bedrijven die onderdelen in China laten produceren kunnen onder de nieuwe regels vallen.

Daarnaast worden certificeringsprocedures versoepeld: binnen twaalf maanden moeten standaardregelingen ontwikkelbaar zijn. ENISA-certificeringen worden een praktisch, vrijwillig bewijs voor naleving, met bredere reikwijdte (producten, diensten, processen, beheerde securitydiensten en organisatorisch cybergedrag) en lagere administratieve lasten.

Op nationaal niveau is voorbeeldig: KPN is minder afhankelijk van Huawei dan vroeger, maar de Chinese leverancier levert nog antennes en radio-units en is in sommige toegangsdelen en eerdere systemen (zoals C2000) betrokken geweest.