Staatssecretaris Keijzer stuurt de Tweede Kamer, mede namens minister Grapperhaus, een overzicht van de genomen en geplande stappen om de veiligheid en integriteit van mobiele telecommunicatienetwerken beter te beschermen tegen actuele statelijke dreigingen.
Geachte Voorzitter,
Mede namens de minister van Justitie en Veiligheid treft u hierbij een overzicht aan van de genomen en geplande stappen om de veiligheid en integriteit van mobiele telecommunicatienetwerken beter te beschermen tegen actuele statelijke dreigingen. Daarmee kom ik tegemoet aan mijn toezegging op vragen van het lid Van Ginneken (D66), zoals gedaan tijdens het Commissiedebat Telecom van 20 mei jl.
De Taskforce Economische Veiligheid (TFEV) heeft in 2019 een risicoanalyse uitgevoerd naar de kwetsbaarheid van mobiele telecommunicatienetwerken voor misbruik via leveranciers van technologie. Deze risicoanalyse heeft ertoe geleid dat het kabinet in juli 2019 een stevig pakket aanvullende maatregelen heeft aangekondigd om de weerbaarheid van genoemde netwerken tegen deze dreiging te verhogen (Kamerstuk 30821, nr. 92).
Zoals aangekondigd in voornoemde Kamerbrief van juli 2019 is een algemene maatregel van bestuur (amvb) tot stand gebracht die de grondslag biedt voor het stellen van aangescherpte eisen aan de veiligheid en integriteit van de mobiele telecommunicatienetwerken. Deze amvb, het Besluit veiligheid en integriteit telecommunicatie, is in december 2019 gepubliceerd (Staatsblad 2019, 457) en in werking getreden. Deze amvb vormt de grondslag voor de volgende twee maatregelen. Bij de nadere invulling van die maatregelen zijn de mobiele netwerkoperators nauw betrokken.
Ten eerste zijn mobiele netwerk operators (MNO’s) onlangs bij beschikking verplicht om in de kritieke onderdelen van hun netwerken uitsluitend gebruik te maken van producten en diensten van andere partijen dan de daarin genoemde leveranciers. Voor zover de MNO’s momenteel gebruik maken van producten of diensten van laatstbedoelde leveranciers in de kritieke onderdelen, is in deze beschikkingen met het oog op de continuïteit van dienstverlening een termijn opgenomen waarbinnen deze reeds in gebruik zijnde producten of diensten dienen te worden vervangen respectievelijk beëindigd. U heeft kennis kunnen nemen van de beschikkingen en de daarin gehanteerde termijnen via de vertrouwelijke ter inzagelegging voor uw Kamer van 26 april t/m 14 mei 2021 en via de vertrouwelijke briefing van 18 mei 2021.
Ten tweede worden aan MNO’s bij ministeriële regeling nadere eisen opgelegd ten aanzien van te treffen technische en organisatorische beveiligingsmaatregelen om de weerbaarheid van hun netwerken te verhogen. In de regeling staan vijf categorieën maatregelen. Het gaat ten eerste om de veilige configuratie van technische apparatuur, zoals het reguleren en tot een minimum beperken van alle toegang die voor beheerdoeleinden tot apparatuur en software van de netwerkaanbieder wordt verleend. Tweede categorie is de veilige configuratie van netwerken, zoals netwerksegmentering en het gericht versleutelen van kritieke gegevens. De derde set maatregelen betreft de bewaking van technische infrastructuur, zoals het kunnen detecteren van geavanceerde dreigingsactoren. Vierde onderdeel is de veiligheidsborging op software en beheerdiensten, zoals het door een telecomaanbieder aan haar leveranciers per contract opleggen van vergelijkbare strenge beveiligingseisen en de plicht daarop toe te zien. Tot slot gaan maatregelen gelden zoals screening van mensen die beheerwerkzaamheden uitvoeren en toegang hebben tot de infrastructuur.
Er heeft eind vorig jaar een internetconsultatie plaatsgevonden (1) van deze regeling en Agentschap Telecom heeft een uitvoerings- en handhaafbaarheidstoets gedaan. De planning is dat de ministeriële regeling na het doorlopen van de notificatieprocedure bij de Europese Commissie (juni t/m augustus 2021) eind september 2021 wordt gepubliceerd en inwerking treedt. In de voorliggende ministeriële regeling is opgenomen dat deze maatregelen op 1 oktober 2022 geïmplementeerd moeten zijn.
Tenslotte heeft het kabinet naar aanleiding van de eerder genoemde risicoanalyse van de TFEV ook besloten tot de inrichting van een structureel proces waarbinnen betrokken overheidsorganisaties en telecomaanbieders doorlopend nieuwe informatie over dreigingen en technologie delen en op risico’s beoordelen. Waar nodig kunnen er op basis hiervan aanvullende veiligheidsmaatregelen genomen worden.
Hoogachtend,
mr. drs. M.C.G. Keijzer
Staatssecretaris van Economische Zaken en Klimaat
(1) https://www.rijksoverheid.nl/actueel/nieuws/2020/11/11/aanvullende-beveiligingsmaatregelen-voor-aanbieders-mobiele-netwerken-in-consultatie
