Schriftelijke vragen aan de Europese Commissie over Europese cyberveiligheidsstrategie en een certificeringsstelsel voor ICT-producten en -diensten

De cyberveiligheidsmarkt biedt voor Europa een enorme kans koploper te worden op het gebied van ICT-veiligheid en tevens de Europese digitale infrastructuur weerbaarder te maken tegen hacks, ransomware en DDOS-aanvallen.

In Nederland heeft de Cyber Security Raad (CSR) een rapport gepubliceerd waarin wordt aangegeven dat met name “Internet of Things”-apparaten kwetsbaar zijn voor cyberaanvallen. IoT-toepassingen zijn op dit moment vaak slecht beveiligd en daarmee een bedreiging voor onze veiligheid en privacy. De CSR doet een zestal aanbevelingen om deze veiliger te maken, waaronder minimumeisen voor IoT-apparaten via een Europees certificeringsstelsel .

1. Hoe reageert de Commissie op de analyse van de CSR dat slecht beveiligde IoT-apparaten een bedreiging vormen voor de veiligheid en privacy van consumenten en bedrijven, en op de suggestie om minimumveiligheidseisen te stellen voor in ieder geval IoT-apparaten?

2. Acht de Commissie het realistisch dat een vrijwillig certificeringssysteem voor ICT-diensten en producten de veiligheidsrisico’s zal verminderen, en is het niet een logisch gevolg van een vrijwillig stelsel dat veel ICT-producten en diensten, zoals IoT-apparaten, niet zullen meedoen en daarmee potentieel onveilig zijn waardoor er een grotere kans is dat aanvallen zoals die van het Mirai-botnet zullen plaatsvinden?

3. Is de Commissie het met ons eens dat de enige optie is het certificeringsstelsel verplicht te maken voor ICT-producten en diensten binnen de Europese Unie? Zo niet, waarom niet?

De Europese Commissie antwoordde dat het internet der dingen (IoT) de volgende stap vertegenwoordigt naar de digitalisering van de samenleving en de economie. Er wordt verwacht dat tegen 2020 tientallen miljarden IoT-apparaten verbonden zullen zijn met het internet. In het licht van dit scenario is de Commissie van mening dat slecht beveiligde IoT-apparaten een bedreiging kunnen vormen voor de veiligheid en privacy van consumenten en bedrijven. Het is daarom van belang ervoor te zorgen dat cyberbeveiliging en privacyaspecten centraal staan bij het ontwerp van deze toestellen. In de gezamenlijke mededeling van september 2017 wees de Commissie op bepaalde prioritaire gebieden voor de ontwikkeling van toekomstige certificeringsregelingen, zoals de onderling verbonden apparaten die deel uitmaken van het internet der dingen. Een toekomstige regeling als zodanig binnen het voorgestelde certificeringskader in de cyberbeveiligingsverordening zou beveiligingseisen voor specifieke IoT-apparaten kunnen groeperen, rekening houdend met hun beoogde gebruik en toepassingsgebied.

De Commissie is van mening dat het gebruik van toekomstige certificeringsregelingen in het in de cyberbeveiligingsverordening voorgestelde kader vrijwillig moet blijven. Een dergelijke vrijwillige aanpak zou het bedrijfsleven de gelegenheid bieden om de ontwerp- en ontwikkelingsprocessen aan te passen met het oog op betere cyberbeveiliging.

In de cyberbeveiligingsverordening is ook bepaald dat het Unierecht in verplichte certificering op gerechtvaardigde gebieden zou voorzien zodra de regelingen zijn vastgesteld, met voorbehoud van passende effectbeoordelingen en voorbereidende wetgevingsprocedures.

De Commissie is van mening dat deze stapsgewijze aanpak het best tegemoetkomt aan de behoefte aan betere cyberbeveiliging van ICT-producten en -diensten en, waar nodig, een rechtstreekse interventie op de markt mogelijk maakt, zonder onevenredige lasten voor het bedrijfsleven.