Brussel bant hoog-risico tech uit kritieke industrie

De kern van het voorstel is een herziening van de Cybersecurity Act (CSA). Waar de focus voorheen vooral lag op 5G-netwerken (via de zogenaamde 5G-Toolbox), breidt Brussel de regels nu uit naar de volledige toeleveringsketen van informatie- en communicatietechnologie (ICT) binnen de gehele EU, de drie EER-landen en Zwitserland zo meldt Strand Consult.

18 sectoren onder de loep

De Europese Commissie maakt onderscheid tussen twee groepen industrieën die onder de nieuwe wetgeving vallen. Deze indeling sluit nauw aan bij de bestaande NIS2-richtlijn:

11 sectoren met 'zeer hoge kritikaliteit': Energie, Transport, Bankwezen, Financiële marktinstellingen, Gezondheidszorg, Drinkwater, Afvalwater, Digitale infrastructuur, Overheidsdiensten, Ruimtevaart en Telecommunicatie.

7 overige kritieke sectoren: Post- en koeriersdiensten, Afvalbeheer, Chemie, Voedselvoorziening, Maakindustrie, Digitale aanbieders en Onderzoek.

De kosten van veiligheid: 7 euro per gebruiker

Critici en leveranciers zoals Huawei en ZTE hebben in het verleden gewaarschuwd dat het bannen van hun apparatuur tot enorme vertragingen en miljardenkosten zou leiden. Onderzoek van Strand Consult en de officiële Impact Assessment van de Europese Commissie nuanceren dit beeld echter aanzienlijk.

De eenmalige kosten voor het vervangen van apparatuur van hoog-risico leveranciers worden geschat op 3,4 tot 4,3 miljard euro voor de gehele EU. Wanneer dit wordt omgeslagen over de consumenten, komt dit neer op een bedrag van circa 6,50 tot 8,30 euro per mobiele abonnee over een periode van drie jaar. Ter vergelijking: in Denemarken, waar de twee grootste 4G-netwerken op Huawei draaiden, is de overstap naar vertrouwde leveranciers (zoals Ericsson en Nokia) al voltooid zonder dat dit leidde tot hogere prijzen of tragere uitrol. Denemarken heeft momenteel zelfs de beste 5G-dekking van de EU.

De 'zorgenkindjes': Duitsland, Italië en Spanje

Uit data van de 5G Observatory blijkt dat de resterende risico's in Europa zeer geconcentreerd zijn. Ongeveer 55% van de nog te vervangen apparatuur bevindt zich in slechts drie landen: Duitsland, Italië en Spanje.

Vooral grote spelers zoals Deutsche Telekom (DT) en Vodafone zijn nog sterk afhankelijk van Chinese technologie. Zo draait het netwerk van DT in landen als Griekenland, Oostenrijk en Tsjechië voor 100% op Huawei. Ook binnen het NAVO-gebied is de blootstelling groot: ongeveer een kwart van de Europese 4G/5G-infrastructuur is van Chinese makelij, waarbij Duitsland alleen al verantwoordelijk is voor 25% van dat risico.

De urgentie van de CSA wordt gedreven door de voortdurende oorlog in Oekraïne en de nauwe banden tussen Rusland en China. De Europese Commissie stelt dat kwetsbaarheden in kritieke infrastructuur kunnen worden misbruikt voor spionage, sabotage van vitale diensten of het ondermijnen van de collectieve defensie.

De nieuwe regels gelden ook als voorwaarde voor financiële steun vanuit de EU aan partnerlanden. Landen als Moldavië, Georgië en Oekraïne moeten aantonen dat zij voldoen aan de EU-cyberstandaarden (waaronder de 5G-Toolbox) om in aanmerking te komen voor investeringen in digitale infrastructuur.

Tijdlijn en implementatie

Zodra het voorstel is aangenomen (verwacht medio 2027), krijgen telecombedrijven en de andere 17 sectoren drie jaar de tijd om de nieuwe regels te implementeren. In de praktijk betekent dit dat bedrijven die momenteel nog hoog-risico leveranciers gebruiken, minder dan vijf jaar hebben om deze apparatuur uit te faseren. Voor veel hardware is dat gunstig, aangezien deze dan vaak al aan het einde van de natuurlijke levenscyclus is.

Brussel verwacht dat de gestroomlijnde regels en verbeterde cyberhouding de Europese economie op termijn juist geld gaan besparen: een geschatte 15,3 miljard eur0 over vijf jaar door minder schade door cyberaanvallen en een sterkere soevereiniteit.