De Europese Commissie stuurt niet aan op een verbod op Chinese leveranciers voor 5G-netwerken. In plaats daarvan wil de Commissie dat alle lidstaten gezamenlijk de veiligheidsrisico's beoordelen, op basis van de geldende regelgeving rondom netwerk- en informatiebeveiliging. Eind dit jaar moet worden besloten of er actie nodig is. Het besluit volgt op druk vanuit de VS om op te treden tegen leveranciers zoals Huawei en ZTE, die volgens de Amerikanen 5G-netwerkapparatuur zouden kunnen misbruiken om gegevens te delen met de Chinese staat.
De Europese Raad op 22 maart en het Europees Parlement eerder deze maand hebben de Europese Commissie opgeroepen om stappen te coördineren, te midden van een lobby vanuit de VS en landen zoals Australië die Huawei verbieden. Verschillende EU-lidstaten hebben al onderzoek gedaan en werken aan een eisenpakket voor 5G-netwerkoperators. Duitsland is een van die landen, het heeft extra voorwaarden verbonden aan de nu lopende spectrumveiling.
Risicoanalyses eind juni klaar
De Europese Commissie wil dat de EU-leden een gecoördineerde aanpak volgen en zal een plan opstellen om tegen het einde van 2019 maatregelen te nemen. Elke lidstaat moet uiterlijk in juni een landelijke risicoanalyse opleveren en de nationale veiligheidsvoorschriften aanscherpen als dat nodig is. De Commissie en het Europees Agentschap voor cyberbeveiliging (Enisa) willen de nationale beoordelingen uiterlijk op 15 juli ontvangen.
Tegelijkertijd zal de Commissie met de lidstaten en Enisa samenwerken via de NIS Cooperation Group, een overlegstructuur die is opgetuigd onder de richtlijn netwerk- en informatiesystemen (NIS), die vorig jaar in de EU van kracht werd. Enisa zal een 5G-dreigingsanalyse maken als bouwsteen van een EU-brede risicoanalyse. Die grote analyse moet op 1 oktober gereed zijn. Nog voor het eind van het jaar moet de NIS Cooperation Group afspraken maken over eventuele mitigerende maatregelen die nodig zijn om de cyberbeveiligingsrisico's aan te pakken die op nationaal en EU-niveau zijn vastgesteld.
De Cybersecurity Act, waarvan wordt verwacht dat deze in de komende weken in de EU van kracht wordt, biedt een extra hulpmiddel om een EU-breed certificeringskader op te zetten. De Commissie roept de EU-leden op om prioriteit te geven aan het opzetten van een dergelijk kader voor 5G-netwerken en -apparatuur. Enisa en de Commissie zouden hierin het voortouw nemen.
De evaluatie van alle maatregelen van dit jaar moet in oktober 20202 worden uitgevoerd.
Telco's verwelkomen 'Fact-based' benadering
De aanbeveling van de Commissie is verwelkomd door ETNO, de vereniging van Europese telecomnetwerkexploitanten. ETNO steunt een "geharmoniseerde en op feiten gebaseerde aanpak van de beveiliging van digitale netwerken". Sommige leden van ETNO hebben gewaarschuwd tegen een volledig verbod op Chinese leveranciers, dat 5G-uitrol en innovatie zou kunnen vertragen.
ETNO merkt verder op dat er sowieso al hoge veiligheidseisen gelden voor telecom, wat heeft bijgedragen aan een 5G-ecosysteem dat is ontworpen om "betrouwbaar" te zijn en nieuwe mogelijkheden biedt om netwerken te beveiligen, inclusief netwerk slicing, netwerkvirtualisatie, authenticatie en encryptie. Gezien de aanzienlijke investeringen in 5G en de cruciale rol van 5G in de samenleving, pleit ETNO voor een geharmoniseerde Europese aanpak en een snelle benadering met voorspelbare regels.
