Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 15 juni 2021
Mede namens de Minister van Justitie en Veiligheid treft u hierbij een overzicht aan
van de genomen en geplande stappen om de veiligheid en integriteit van mobiele telecommunicatienetwerken
beter te beschermen tegen actuele statelijke dreigingen. Daarmee kom ik tegemoet aan
mijn toezegging op vragen van het lid Van Ginneken (D66), zoals gedaan tijdens het
Commissiedebat Telecom van 20 mei jl.
De Taskforce Economische Veiligheid (TFEV) heeft in 2019 een risicoanalyse uitgevoerd
naar de kwetsbaarheid van mobiele telecommunicatienetwerken voor misbruik via leveranciers
van technologie. Deze risicoanalyse heeft ertoe geleid dat het kabinet in juli 2019
een stevig pakket aanvullende maatregelen heeft aangekondigd om de weerbaarheid van
genoemde netwerken tegen deze dreiging te verhogen (Kamerstuk 30 821, nr. 92).
Zoals aangekondigd in voornoemde Kamerbrief van juli 2019 is een algemene maatregel
van bestuur (amvb) tot stand gebracht die de grondslag biedt voor het stellen van
aangescherpte eisen aan de veiligheid en integriteit van de mobiele telecommunicatienetwerken.
Deze amvb, het Besluit veiligheid en integriteit telecommunicatie, is in december
2019 gepubliceerd (Stb. 2019, nr. 457) en in werking getreden. Deze amvb vormt de grondslag voor de volgende twee maatregelen.
Bij de nadere invulling van die maatregelen zijn de mobiele netwerkoperators nauw
betrokken.
Ten eerste zijn mobiele netwerk operators (MNO’s) onlangs bij beschikking verplicht
om in de kritieke onderdelen van hun netwerken uitsluitend gebruik te maken van producten
en diensten van andere partijen dan de daarin genoemde leveranciers. Voor zover de
MNO’s momenteel gebruik maken van producten of diensten van laatstbedoelde leveranciers
in de kritieke onderdelen, is in deze beschikkingen met het oog op de continuïteit
van dienstverlening een termijn opgenomen waarbinnen deze reeds in gebruik zijnde
producten of diensten dienen te worden vervangen respectievelijk beëindigd. U heeft
kennis kunnen nemen van de beschikkingen en de daarin gehanteerde termijnen via de
vertrouwelijke ter inzagelegging voor uw Kamer van 26 april t/m 14 mei 2021 en via
de vertrouwelijke briefing van 18 mei 2021.
Ten tweede worden aan MNO’s bij ministeriële regeling nadere eisen opgelegd ten aanzien
van te treffen technische en organisatorische beveiligingsmaatregelen om de weerbaarheid
van hun netwerken te verhogen. In de regeling staan vijf categorieën maatregelen.
Het gaat ten eerste om de veilige configuratie van technische apparatuur, zoals het
reguleren en tot een minimum beperken van alle toegang die voor beheerdoeleinden tot
apparatuur en software van de netwerkaanbieder wordt verleend. Tweede categorie is
de veilige configuratie van netwerken, zoals netwerksegmentering en het gericht versleutelen
van kritieke gegevens. De derde set maatregelen betreft de bewaking van technische
infrastructuur, zoals het kunnen detecteren van geavanceerde dreigingsactoren. Vierde
onderdeel is de veiligheidsborging op software en beheerdiensten, zoals het door een
telecomaanbieder aan haar leveranciers per contract opleggen van vergelijkbare strenge
beveiligingseisen en de plicht daarop toe te zien. Tot slot gaan maatregelen gelden
zoals screening van mensen die beheerwerkzaamheden uitvoeren en toegang hebben tot
de infrastructuur.
Er heeft eind vorig jaar een internetconsultatie plaatsgevonden1 van deze regeling en Agentschap Telecom heeft een uitvoerings- en handhaafbaarheidstoets
gedaan. De planning is dat de ministeriële regeling na het doorlopen van de notificatieprocedure
bij de Europese Commissie (juni t/m augustus 2021) eind september 2021 wordt gepubliceerd
en inwerking treedt. In de voorliggende ministeriële regeling is opgenomen dat deze
maatregelen op 1 oktober 2022 geïmplementeerd moeten zijn.
Tenslotte heeft het kabinet naar aanleiding van de eerder genoemde risicoanalyse van
de TFEV ook besloten tot de inrichting van een structureel proces waarbinnen betrokken
overheidsorganisaties en telecomaanbieders doorlopend nieuwe informatie over dreigingen
en technologie delen en op risico’s beoordelen. Waar nodig kunnen er op basis hiervan
aanvullende veiligheidsmaatregelen genomen worden.
De Staatssecretaris van Economische Zaken en Klimaat,
M.C.G. Keijzer