Europees parlement bezorgd over Chinese IT-aanwezigheid in de EU

Het Europees parlement heeft een resolutie goedgekeurd die de Europese Commissie en lidstaten tot actie maant tegen mogelijke veiligheidsrisico’s als gevolg van de groeiende technologische aanwezigheid van China in de EU. Dat gebeurde in de marge van de stemming van de EU Cybersecurity Act, die met een overtuigde meerderheid werd aangenomen.

De Europarlementariërs uitten hun bezorgdheid over recente aantijgingen – voornamelijk vanuit de Verenigde Staten – dat 5G-apparatuur van Chinese leveranciers mogelijk ingebouwde achterdeurtjes bevat, die China ongeoorloofde toegang geven tot persoonlijke gegevens en telecommunicatie van Europese burgers en instellingen.

Het Parlement roept de Commissie en de lidstaten op om richtlijnen vast te leggen over de aanpak van cyberdreigingen en -kwetsbaarheden bij de aanschaf van 5G-apparatuur. Dat kan bijvoorbeeld door te diversifiëren in leveranciers, gefaseerde inkoopprocessen in te voeren of een strategie te bepalen om de Europese afhankelijkheid van buitenlandse cybersecuritytechnologie te verminderen.

Verder wordt erop aangedrongen dat de Commissie een mandaat geeft aan ENISA, het Europese cybersecurityagentschap, om een certificering vast te leggen voor de uitrol van 5G in de EU, die “aan de hoogste securitystandaarden voldoet”. Huawei, kop van jut in de hele discussie rond Chinese 5G-apparatuur in het Westen, roept al enige tijd op om gezamenlijk als industrie aan zo’n standaarden te werken.

EU Cybersecurity Act

Zo’n certificering zou kunnen passen binnen de EU Cybersecurity Act, die vandaag eveneens werd gestemd. Met 586 stemmen voor, 44 stemmen tegen en 36 onthoudingen werd de wetgeving – waar al een informeel akkoord over bestond – met weinig weerstand aangenomen.

De EU Cybersecurity Act legt de basis voor een Europese cyberveiligheidscertificering, zodat gecertificeerde producten, processen en diensten die binnen de Europese Unie worden verhandeld, altijd aan dezelfde securitystandaarden voldoen. Daarnaast kan ook kritieke infrastructuur op een gelijkaardige manier worden gecertificeerd.

“De certificering wordt niet verplicht opgelegd, maar moet vanuit de markt komen om Europese certificaten te creëren die in alle lidstaten geldig zijn en gebaseerd zijn op internationale standaarden”, verduidelijkte Despina Spanou, Director for Cybersecurity bij de Europese Commissie, vorig jaar tijdens een presentatie op de Belgian Cyber Security Convention. “Alleen zo biedt het een globale meerwaarde voor bedrijven en consumenten.”

De tekst geeft in de eerste plaats consumenten bepaalde garanties over de veiligheid van de producten en diensten die ze kopen. Daarnaast moet het voor bedrijven de drempel verlagen om nieuwe markten te betreden, doordat ze in één keer een certificaat kunnen behalen dat Europees geldt. Tegen 2023 evalueert de Europese Commissie of bepaalde vrijwillige certificaten alsnog verplicht moeten worden gemaakt.

De EU Cybersecurity Act gaat nu nog naar de Europese Raad voor formele goedkeuring. De wetgeving treedt twintig dagen na publicatie in werking.

Gerelateerd: Cybersecurity in Europa: hoe de EU een internationale security-aanpak uitbouwt