De Europese Commissie heeft ingrijpende herzieningen van haar Cybersecurity Act voorgesteld, met als doel het toezicht op risicovolle technologieleveranciers die binnen de EU actief zijn, te versterken. Deze stap komt te midden van escalerende cyberaanvallen en langdurige zorgen over de afhankelijkheid van leveranciers uit landen waarvan wordt aangenomen dat ze nationale veiligheidsrisico’s met zich meebrengen – met name Chinese bedrijven als Huawei en ZTE.
Toenemende cyberdreigingen stimuleren actie
Cyberaanvallen in de hele EU worden steeds frequenter en geavanceerder. Uit recente gegevens blijkt dat er alleen al in de afgelopen week ongeveer 150 incidenten zijn gemeld, waaronder ransomware, spionage en aanvallen op kritieke infrastructuur. Deze toename van de activiteit onderstreept de urgentie van een meer gecoördineerde aanpak van de beveiliging van de toeleveringsketen.
Jarenlang heeft Brussel zijn frustratie geuit over het vrijwillige karakter van de 5G Security Toolbox van 2020, die de lidstaten aanmoedigde maar niet de opdracht gaf om leveranciers met een hoog risico te beperken. Technologiecommissaris Henna Virkkunen heeft herhaaldelijk benadrukt dat vrijwillige maatregelen onvoldoende zijn, aangezien leveranciers met een hoog risico ingebed blijven in de Europese 5G-netwerken.
Nieuwe bevoegdheden voor de Commissie en ENISA
Onder het herziene kader zou de Commissie de bevoegdheid krijgen om risicobeoordelingen op EU-niveau uit te voeren, wat mogelijk zou kunnen leiden tot beperkingen of verboden op apparatuur die in gevoelige infrastructuur wordt gebruikt. Bij de beoordelingen wordt rekening gehouden met het land van herkomst van een leverancier en de impact ervan op de nationale veiligheid, hoewel het proces in principe landneutraal moet zijn – wat betekent dat Amerikaanse bedrijven onder bepaalde omstandigheden ook aan onderzoek kunnen worden onderworpen.
Ook het EU-Agentschap voor Cybersecurity (ENISA) zal zijn rol aanzienlijk uitgebreid zien. ENISA zal vroegtijdige waarschuwingen geven over opkomende dreigingen, de reacties op grote incidenten (zoals ransomware-aanvallen) coördineren in samenwerking met Europol en de nationale autoriteiten, en toezicht houden op een gecentraliseerd EU-systeem voor het melden van incidenten.
Transitie- en nalevingskosten
De Commissie erkent dat het uitfaseren van leveranciers met een hoog risico economische kosten met zich mee zal brengen. Telecomexploitanten zullen een aantal jaren de tijd krijgen om van deze leveranciers af te stappen, terwijl de Commissie belooft de certificeringsprocedures te stroomlijnen en de nalevingslasten te verminderen voor bedrijven die in meerdere lidstaten actief zijn. Deze vereenvoudigingsagenda heeft tot doel de veiligheidsoverwegingen in evenwicht te brengen met de economische realiteit.
Politieke hindernissen en vertragingen bij de implementatie
Het voorstel wordt nu geconfronteerd met onderhandelingen met het Europees Parlement en de EU-regeringen, waar weerstand wordt verwacht van hoofdsteden die aarzelen om de controle over nationale veiligheidsbeslissingen aan Brussel af te staan. Gezien deze tegenstand en de complexiteit van de implementatie is het onwaarschijnlijk dat de herziene Cybersecurity Act binnen enkele jaren volledig operationeel zal zijn.
Deze vertraging roept vragen op over het vermogen van de EU om bestaande buitenlandse inmenging in kritieke infrastructuur effectief tegen te gaan. Hoewel het nieuwe raamwerk een belangrijke stap betekent in de richting van het versterken van het toezicht op cyberveiligheid, zal de effectiviteit ervan op de lange termijn afhangen van snelle en gezamenlijke actie van de lidstaten.
