De Europese Commissie, het uitvoerend orgaan van de Europese Unie (EU), heeft nieuwe cyberbeveiligingswetgeving voorgesteld die lidstaten zou verplichten om “hoog-risico” buitenlandse leveranciers uit kritieke informatie- en communicatietechnologie (ICT)-infrastructuur te verwijderen, met name in telecommunicatienetwerken. De herziening is bedoeld om de verdediging tegen cyberdreigingen te versterken en de toeleveringsketens voor belangrijke infrastructuur in het hele blok te beveiligen.
Volgens het voorstel zou de EU gezamenlijke risicobeoordelingen uitvoeren bij leveranciers en zou zij beperkingen of verboden kunnen opleggen aan apparatuur en diensten die zorgen vormen voor de nationale veiligheid. De nieuwe regels zouden ongeveer 18 kritieke sectoren dekken, waaronder mobiele netwerken, clouddiensten, medische apparaten en grensbeveiligingssystemen, en de Commissie de bevoegdheid geven om risicobeoordelingen tussen lidstaten te coördineren.
De wetgeving bouwt voort op eerdere EU-initiatieven zoals de 5G Security Toolbox, een vrijwillig kader dat in 2020 werd geïntroduceerd en lidstaten aanmoedigde om de afhankelijkheid van leveranciers die als “hoogrisico” worden beschouwd, te beperken zonder juridisch bindende vereisten. Functionarissen hebben eerder zorgen geuit over mogelijke risico’s die verband houden met technologische producten van bepaalde bedrijven uit derde landen, hoewel specifieke bedrijven niet worden genoemd in de concepttekst.
Telecommunicatie-operators en andere infrastructuuraanbieders krijgen overgangsperiodes om apparatuur die als hoog risico is geïdentificeerd te verwijderen of te vervangen zodra er volgens de wet een leverancierslijst is vastgesteld. In voorstellen die door nieuwsorganisaties worden ingenomen, hebben lidstaten tot 36 maanden de tijd om dergelijke apparatuur uit te faseren in mobiele netwerken na publicatie van de lijst.
De herziening zou ook de bestaande EU-cybersecuritywet herzien, die cybersecuritycertificeringskaders en -rollen vastlegt voor het Europees Agentschap voor Cyberbeveiliging (ENISA), en deze uitbreiden met verplichte leveranciersbeperkingen als onderdeel van bredere inspanningen om ICT-toeleveringsketens te beveiligen.
Europese beleidsmakers hebben de veranderingen beschreven als onderdeel van inspanningen om de “technologische soevereiniteit” te versterken en de afhankelijkheid van externe leveranciers met mogelijke banden met buitenlandse overheden of geopolitiek risico te verminderen. Voorstanders stellen dat uitgebreide risicobeoordelingen en gecoördineerde maatregelen de veerkracht tegen cyberaanvallen en druk in de toeleveringsketen zullen verbeteren.
Critici van de geplande hervorming hebben zorgen geuit over mogelijke handels- en juridische implicaties, en wijzen erop dat beperkingen op basis van land van herkomst kunnen worden aangevochten onder de regels van de Wereldhandelsorganisatie als ze niet gebaseerd zijn op technisch risicobewijs. Het voorstel moet worden beoordeeld en goedgekeurd door het Europees Parlement en de EU-lidstaten voordat het wet wordt.