Brief regering : Maatregelen bescherming telecomnetwerken en 5G

Nr. 92
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID EN STAATSSECRETARIS VAN ECONOMISCHE
ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 juli 2019

Inleiding

Mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties informeren wij
uw Kamer over het volgende. Digitale connectiviteit is onmisbaar in onze huidige samenleving.
We maken steeds meer gebruik van mobiel en vast internet. Nederland beschikt over
een hoogwaardige infrastructuur.1 Zo heeft Nederland meerdere mobiele 4G-netwerken en twee vaste netwerken. Deze netwerken
zijn aangemerkt als vitaal proces en leveren een belangrijke bijdrage aan het gunstige
ondernemings- en vestigingsklimaat in Nederland. Het is van belang die sterke positie
ook in de toekomst te behouden. Dit past ook binnen de ambities van dit kabinet om
digitaal koploper van Europa te zijn. Daar is de uitrol van 5G-netwerken voor nodig.
Telecombedrijven bereiden zich voor op deze nieuwe 5G-toepassingen. Denk hierbij aan
de zelfrijdende auto, medische operaties op afstand en het verder optimaliseren van
productieprocessen. Deze 5G-netwerken hebben onder meer hogere pieksnelheden en lagere
reactietijden dan de 4G-netwerken. De 5G-netwerken zijn geen geïsoleerd netwerk, maar
bouwen verder op de bestaande netwerken.2

Er bestaat, ook bij uw Kamer, ongerustheid over risico’s bij de uitrol van 5G die
samenhangen met toeleveranciers van technologie voor deze telecommunicatienetwerken.
Er zijn meerdere moties door uw Kamer ingediend over dit onderwerp, waarin u onder
andere de urgentie van de aanpak van deze problematiek en de noodzaak voor een gecoördineerde
EU aanpak benadrukt.3 Ook is door uw Kamer eerder gevraagd om een reactie op de artikelen «Expert: angst
voor gluurgevaar uit Azië is terecht» en «VS waarschuwt providers in andere landen
voor Huawei».4 Verder heeft lid Klaver (GroenLinks) tijdens de Regeling van Werkzaamheden op 3 april
2019 (Handelingen II 2018/19, nr. 70, item 4) verzocht om een debat te voeren over onder andere de uitrol van 5G, voordat onomkeerbare
besluiten worden genomen.

Deze brief geeft nadere invulling aan deze moties en verzoeken uit de Kamer en informeert
u over de uitkomsten van de Taskforce Economische Veiligheid zoals toegezegd aan uw
Kamer.5

Nationale Veiligheid en 5G

Het kabinet deelt de zorgen van uw Kamer waar het gaat om toenemende risico’s en dreigingen
vanuit statelijke actoren, zoals eerder al gemeld aan uw Kamer.6 De inlichtingen- en veiligheidsdiensten verwijzen ook in hun laatste jaarverslagen
naar de dreigingen die uitgaan van spionage en sabotage door statelijke actoren. In
de afgelopen jaren zien de AIVD en de MIVD een toename van het aantal «supply chain attacks» door statelijke actoren. In diverse publicaties, al dan niet gerubriceerd, zijn de
AIVD en de MIVD ingegaan op de dreigingen van statelijke actoren, gebaseerd op een
eigenstandige informatie positie, gericht op de telecomsector, waarbij specifiek is
ingegaan op de mogelijke risico’s van de introductie van 5G in relatie tot de nationale
veiligheid. Bij supply chain attacks worden dienstverleners, zoals internet service providers, telecomproviders en managed
service providers, ingezet als springplank om doelwitorganisaties te infiltreren.
Er wordt dan misbruik gemaakt van de hard- en software van deze dienstverleners om
zo toegang te krijgen tot het netwerk van doelwitorganisaties. Het misbruiken van
de hard- en software van deze dienstverleners is interessant voor statelijke actoren,
omdat het omvangrijke, diepgravende en structurele toegang geeft tot data(stromen)
in de netwerken van de doelwitorganisaties. Dit biedt spionagemogelijkheden door zo
op grote schaal persoons-, technisch-wetenschappelijke, financieel-economische, militaire
en politiek-bestuurlijke gegevens van zowel publieke, militaire en private organisaties
te vergaren.

De AIVD en de MIVD hebben vastgesteld dat infiltratie van de dienstverleners door
statelijke actoren spionage faciliteert. Tevens kan het een risico vormen voor innesteling
in de Nederlandse vitale infrastructuur voor mogelijke sabotagedoeleinden. Hierdoor
kunnen de aan het internet gekoppelde besturings- en controlesystemen van vitale infrastructuren,
zoals drinkwatervoorziening, elektriciteitsdistributie en betalingsverkeer, verstoord
worden. Daar bovenop komt dat diverse landen nationale wet- en regelgeving hebben
om dienstverleners te dwingen tot medewerking aan inlichtingenactiviteiten. Er wordt
dan door statelijke actoren gebruik gemaakt van de legitieme toegang die de dienstverlener
heeft binnen de netwerken van doelwitorganisaties, waardoor preventie en detectie
van misbruik bemoeilijkt wordt. De risico’s voor de nationale veiligheid worden significant
vergroot als deze dienstverleners ook nog eens afkomstig zijn uit landen die een offensief
cyberprogramma voeren tegen de Nederlandse belangen.

5G faciliteert naar verwachting een significante toename van de aan het internet gekoppelde
hard- en software in de persoonlijke levenssfeer van burgers, het bedrijfsleven, de
vitale infrastructuur, Defensie en de (Rijks)overheid. Daardoor zal het goed functioneren
van de Nederlandse maatschappij steeds meer afhankelijk zijn van 5G. De keerzijde
van deze afhankelijkheid is dat we als gehele Nederlandse samenleving in toenemende
mate kwetsbaar zijn bij potentieel misbruik door digitale spionage en sabotage. Hierdoor
creëert de introductie van 5G substantiële risico’s voor de privacy van burgers en
voor de vertrouwelijkheid van gevoelige bedrijfs- en overheidsinformatie. Daarnaast
is de continuïteit en beschikbaarheid van het bedrijfsleven en de vitale infrastructuur
en de dienstverlening van de (Rijks)overheid in het geding. In potentie zal misbruik
ertoe kunnen leiden dat grote delen van de Nederlandse samenleving kunnen uitvallen.

Werkwijze en bevindingen Taskforce Economische Veiligheid

Vanwege deze dreiging is onder leiding van de Nationaal Coördinator Terrorismebestrijding
en Veiligheid (NCTV) een interdepartementale Taskforce Economische Veiligheid opgericht
met vertegenwoordigers van de Ministeries van J&V (NCTV), EZK, BZK, BZ, BHOS, Defensie,
Fin en de AIVD en MIVD om te adviseren over deze problematiek.7 De Taskforce is voor wat betreft samenstelling en activiteiten zo opgezet dat evenwichtige
besluitvorming kan plaatsvinden waarbij zowel rekening wordt gehouden met veiligheids-
als economische belangen. Het advies van de Taskforce is mede gebaseerd op (dreigings)analyses
van de AIVD en de MIVD. De door alle partijen onderschreven voorgestelde maatregelen
van de Taskforce geven een adequaat antwoord op de dreiging.

De Taskforce heeft met medewerking van de drie grote telecomaanbieders (KPN, T-Mobile
en VodafoneZiggo) een risicoanalyse uitgevoerd naar de kwetsbaarheid van telecommunicatienetwerken
voor misbruik via leveranciers van technologie. Telecomaanbieders treffen al verscheidene
maatregelen hiertegen. Op basis van deze analyse zullen telecomaanbieders worden verplicht
om aanvullende beveiligingsmaatregelen te nemen om de weerbaarheid tegen bovenbedoelde
dreiging te verhogen.

Een van de maatregelen die wordt genomen is dat extra hoge eisen worden gesteld aan
leveranciers van diensten en producten in de kritieke onderdelen in het telecomnetwerk.
De kritieke onderdelen zijn geïdentificeerd op basis van de risicoanalyse. Hiermee
wordt de kwetsbaarheid van de telecommunicatienetwerken voor misbruik via leveranciers
van technologie voor deze netwerken verder verminderd. De noodzakelijke aanscherpingen
van de eisen die worden gesteld aan de veiligheid en integriteit van de mobiele telecommunicatienetwerken
zullen worden vastgelegd in een algemene maatregel van bestuur, die dit najaar zal
worden gepubliceerd. Vanwege risico’s voor de nationale veiligheid zal de Kamer in
een vertrouwelijke setting nader worden geïnformeerd over de bevindingen van de Taskforce.

De 5G netwerken bouwen voort op het huidige netwerk en dat maakt dat de voor het huidige
netwerk uitgevoerde risico analyse ook van belang is voor het toekomstige 5G netwerk.
Een structurele aanpak is nodig omdat er continu ontwikkelingen zijn in het dreigingsbeeld,
technologische ontwikkelingen binnen de telecomsector razendsnel gaan en het belangrijk
is om goed zicht te hebben op de (technische) werking van de telecomnetwerken om te
identificeren waar maatregelen nodig zijn. In samenwerking met de telecomaanbieders
wordt een structureel proces ingericht, waarbij ontwikkelingen in dreiging en techniek
in samenhang worden bezien, passend bij de huidige verantwoordelijkheden en rollen.
Voor zover de nationale veiligheid hierdoor niet in het geding komt wordt zo veel
mogelijk rekening gehouden met de bedrijfseconomische aspecten.

Het kabinet steunt een gezamenlijke Europese aanpak

De veiligheid van de 5G-telecommunicatienetwerken staat Europees op de agenda. Een
Europese aanpak kan bijdragen aan de effectiviteit van de maatregelen. Zoals aangegeven
in de Nederlandse Cybersecurity Agenda8 maakt het grensoverschrijdende karakter van cybersecurity internationale samenwerking
door bijvoorbeeld internationale wetgeving, coalitievorming of internationale ontwikkeling
van normen en standaarden, in het bijzonder in Europees verband, noodzakelijk. Daarom
heeft het kabinet conform de moties Weverling en Van den Berg9 gepleit voor meer Europese samenwerking op het gebied van 5G veiligheid. Het kabinet
is daarom verheugd dat de Europese Commissie dit onderwerp actief oppakt, middels
de aanbeveling «Cyberbeveiliging van 5G-netwerken», van 26 maart jongstleden.10

Het kabinet steunt dan ook een gezamenlijke Europese aanpak die via deze aanbeveling
vorm krijgt. Er wordt daarbij vooral toegevoegde waarde gezien in het uitwisselen
van risicoanalyses en het delen van oplossingsrichtingen tussen lidstaten. Nederland
zal aan het Europese traject voortvloeiend uit deze aanbeveling een actieve bijdrage
leveren, en daarbij zijn ervaringen uitdragen. De aanbeveling stelt dat eind 2019
het EU traject moet resulteren in een instrumentarium dat maatregelen bevat om (nationaal)
geïdentificeerde risico’s te kunnen aanpakken. Het BNC-fiche, dat het gedetailleerde
kabinetsstandpunt over deze aanbeveling bevat, ontvangt u separaat.

Ter afsluiting

Het adresseren van de zorgen rondom kwetsbaarheden in de telecomsector past binnen
de bredere aanpak op het tegengaan van statelijke dreigingen en het bevorderen van
cybersecurity zoals met uw Kamer gedeeld.11 Naast de telecomsector spelen ook in andere vitale diensten en processen zorgen over
dreigingen die uitgaan van statelijke actoren. Het kabinet acht het van groot belang
dat bij het toetsen van nationale veiligheidsrisico’s in relatie tot de vitale infrastructuur,
gebruik wordt gemaakt van consistente, op dreiging gebaseerde en technische up to
date zijnde criteria, en dat, omwille van het tijdig anticiperen op ontwikkelingen,
inzichtelijk is hoe de Nederlandse vitale infrastructuur zich technisch en organisatorisch
ontwikkelt. Zoals aangegeven in de Nationale Veiligheid Strategie zal het kabinet
daarom, in samenwerking met al deze partijen, een versterkte aanpak van bescherming
van de vitale infrastructuur ontwikkelen. Onderdeel van deze aanpak is een structuur
om kennis, kunde en expertise te bundelen om nationale veiligheidsrisico’s ten behoeve
van de vitale infrastructuur, nu en in de toekomst, adequaat te adresseren.12

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus

De Staatssecretaris van Economische Zaken en Klimaat,
M.C.G. Keijzer