Advies van het Europees Economisch en Sociaal Comité over de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Uitrol van beveiligde 5G in de EU — Uitvoering van de EU-toolbox (COM(2020) 50 final)

11.12.2020

Publicatieblad van de Europese Unie

C 429/281

Advies van het Europees Economisch en Sociaal Comité over de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Uitrol van beveiligde 5G in de EU — Uitvoering van de EU-toolbox

(COM(2020) 50 final)

(2020/C 429/37)

Rapporteur:	Alberto MAZZOLA
Corapporteur:	Dumitru FORNEA

Raadpleging	Europese Commissie, 9.3.2020
Rechtsgrondslag	Artikel 304 van het Verdrag betreffende de werking van de Europese Unie
Bevoegde afdeling	Vervoer, Energie, Infrastructuur en Informatiemaatschappij
Goedkeuring door de afdeling	3.9.2020
Goedkeuring door de voltallige vergadering	16.9.2020
Zitting nr.	554
Stemuitslag (voor/tegen/onthoudingen)	217/0/2

1. Conclusies en aanbevelingen

1.1.

Het Europees Economisch en Sociaal Comité (EESC) is ingenomen met het initiatief van de lidstaten en de Europese Commissie om te controleren of en hoe de lidstaten de reeks maatregelen die worden aanbevolen in de conclusies van de toolbox uitvoeren. Deze omvat naast strategische en technische maatregelen ook essentiële veiligheidsmaatregelen bij de uitrol van het 5G-ecosysteem.

1.2.

Gezien de toenemende complexiteit en verscheidenheid van 5G-toepassingen (de Commissie heeft de volgende connectiviteitsdoelen gesteld voor 2025: scholen, universiteiten, onderzoekscentra, ziekenhuizen, grote openbare dienstverleners en ondernemingen die in sterke mate digitaal werken moeten via internet toegang hebben tot gegevensdownload- en -uploadsnelheden van één gigabit per seconde; gezinnen in steden en op het platteland moeten toegang hebben tot connectiviteit met een downloadsnelheid van ten minste 100 megabit per seconde; stedelijke gebieden, hoofdwegen en spoorwegen moeten ononderbroken 5G-dekking hebben) is het EESC van mening dat bij deze controle van het 5G-ecosysteem, alsook van de maatregelen binnen de bevoegdheid van de Commissie om de cyberbeveiliging van 5G-netwerken en een gediversifieerde 5G-waardeketen te beschermen, van de technische standaardisatie en certificatie, van de buitenlandse directe investeringen en de bescherming van handel en concurrentie, en van aanbestedingen en IT-diplomatie, rekening moet worden gehouden met geopolitieke veiligheid, beveiliging van infrastructuur en gegevens, en bescherming van de gezondheid, ook in de zin van artikel 168, lid 1, van het VWEU.

1.3.

Volgens het EESC is het belangrijk dat het Europese 5G-ecosysteem zorgt voor integriteit, vertrouwelijkheid, management- en operationele verantwoordelijkheid, veiligheid, leverbaarheid, interoperabiliteit van hardware- en softwarecomponenten, gemeenschappelijke technisch-normatieve standaarden, continuïteit van de dienstverlening, betrouwbaarheid van de stroom en bescherming van de gegevens, dekking in alle, ook dunbevolkte gebieden, duidelijke communicatie met de gebruiker als actieve entiteit op de digitale markt, en dynamische naleving van de ICNIRP-richtlijnen voor de bescherming van de gezondheid van de bevolking. Dienovereenkomstig heeft de ICNIRP het onderdeel over de radiofrequentie van elektromagnetische velden uit de richtlijnen van 1998 geactualiseerd. In dit document worden deze herziene richtlijnen besproken, die mensen beschermen tegen blootstelling aan elektromagnetische velden van 100 kHz tot 300 GHz. Health Phys. 118(5):483-524; 2020, maart 2020. De ICNIRP heeft in 2020 een aantal wijzigingen doorgevoerd om ervoor te zorgen dat nieuwe technologieën zoals 5G geen schade kunnen veroorzaken, ongeacht onze huidige verwachtingen.

1.4.

Het EESC roept de Commissie op de voortgang bij de uitrol en het daadwerkelijke gebruik van 5G nauwlettend te monitoren en verzoekt de lidstaten het proces verder te versnellen en daarbij rekening te houden met alle veiligheids- en beveiligingsaspecten, met inbegrip van aspecten met betrekking tot de impact van 5G-technologieën op de gezondheid van de bevolking en levende ecosystemen, alsook met de gevolgen op sociaal-economisch vlak, voor de mededinging, voor onderwijs en opleiding, en voor de eerbiediging van de grondrechten.

1.5.

Het EESC roept de EU op om wereldleider te worden in de volgende generatie mobiele technologie (5G) met een veilige digitale infrastructuur, als solide bouwsteen voor Europa’s nieuwe moderne industriële strategie. Hiertoe moet de mobiele connectiviteit radicaal veranderen, maar dit biedt wel een enorm dynamisch potentieel om de productiviteit te vergroten en de economie en de diensten voor de burger te laten groeien.

1.6.

Het EESC is met name van mening dat het essentieel is het risicoprofiel van aanbieders te beoordelen en naar aanleiding daarvan beperkingen op te leggen aan aanbieders met een hoog risico. Dit omvat onder meer uitsluitingen die nodig zijn om risico’s voor de belangrijkste in de gecoördineerde EU-risicobeoordeling als cruciaal en gevoelig aangewezen voorzieningen op doeltreffende wijze in te perken.

1.7.

1.8.

De veiligheid van alle lidstaten moet worden gegarandeerd, ook door onderzoekscentra in een groot aantal gebieden van de EU aan te houden. Het EESC is het ook eens met het voorstel om voor elk land minstens twee leveranciers te hebben, waarvan er minstens één Europees is. Zo moet het beleid ten aanzien van de veiligheid van gegevens en de naleving van beperkingen omwille van de gezondheid worden gewaarborgd.

1.9.

Volgens het EESC zou er, naast de terechte aandacht voor juiste maatregelen met betrekking tot de macht van nationale regelgevers en de rol van telecommunicatie-exploitanten, meer nadruk moeten worden gelegd op instrumenten voor gebruikers, burgers en relevante maatschappelijke organisaties die nu nog beperkt en niet efficiënt genoeg zijn, met als doel consumenten in staat te stellen proactieve marktdeelnemers te worden.

1.10.

De Commissie, het Europees Parlement, de Raad en de regeringen en parlementen van de lidstaten moeten zorgen voor een democratisch overlegkader, waarin wetenschappelijke of technologische onderwerpen, juridische garanties en de antwoorden van de bevoegde instanties op maatschappelijke vragen kunnen worden gepresenteerd aan het publiek.

1.11.

Het EESC beveelt aan de Europese technologische diplomatie te versterken, zodat de EU kan zorgen voor meer evenwichtige en wederzijdse voorwaarden voor handel en investeringen, met name wat betreft de markttoegang voor bedrijven, subsidies, openbare aanbestedingen, technologieoverdracht, industrieel eigendom en sociale en milieunormen.

2. Inleiding

2.1.

De beveiliging van 5G-netwerken is van strategisch belang voor burgers en bedrijven, de gehele interne markt en de technologische soevereiniteit van de EU. Al in 2013 heeft de Commissie een EU-vlaggenschipinitiatief gelanceerd om een publiek-privaat partnerschap op het gebied van 5G (het “5G-PPP”) op te zetten om onderzoek naar en innovatie in 5G-technologie te versnellen.

2.2.

Naar verwachting zal de wereldwijde opbrengst van 5G in 2025 meer dan 100 miljard EUR bedragen. Daarom is 5G voor Europa een belangrijke troef om op de wereldmarkt te kunnen concurreren en is de cyberbeveiliging ervan cruciaal voor de strategische autonomie van de Unie.

2.3.

5G-netwerken, die zijn gebaseerd op de huidige 4e generatie van netwerktechnologieën (4G) en op glasvezelinfrastructuur, zijn in staat meer servicecapaciteit te leveren. Deze netwerken moeten de centrale infrastructuur van de economie van de Unie en een belangrijke ondersteunende factor daarvoor gaan worden, waardoor zij de ondersteunende structuur kunnen vormen voor een breed scala aan essentiële diensten voor het functioneren van de interne markt en voor het onderhoud en beheer van vitale economische en sociale functies, zoals energie, transport, bank- en gezondheidsdiensten en de productie-, distributie- en consumptiesystemen voor landbouw en industrie.

2.4.

Gezien de centrale rol van 5G-netwerken bij het tot stand brengen van de digitale transformatie van de economie en de samenleving van de EU en gezien het onderling verbonden en transnationale karakter van de infrastructuur die ten grondslag ligt aan het digitale ecosysteem en het grensoverschrijdende karakter van de bedreigingen in kwestie, kunnen eventuele significante kwetsbaarheden en/of incidenten ten aanzien van de cyberbeveiliging van 5G-netwerken in één lidstaat gevolgen hebben voor de Unie als geheel. Daarom moeten er maatregelen worden getroffen die de basis vormen van een hoog gemeenschappelijk niveau van cyberbeveiliging van 5G-netwerken.

2.5.

In het kader van een aantal initiatieven — te beginnen met de mededeling over gigabyte-connectiviteit voor een concurrerende digitale eengemaakte markt ⁽¹⁾⁽²⁾, en met inbegrip van een hervorming van het regelgevingskader voor elektronische communicatie ⁽³⁾ en van de functies van het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec) ⁽⁴⁾, prioriteiten voor ICT-normalisatie voor de digitale eengemaakte markt ⁽⁵⁾ en maatregelen ter bevordering van internetconnectiviteit in lokale gemeenschappen ⁽⁶⁾ — heeft de Commissie in 2016 een 5G-actieplan voor de EU aangenomen ⁽⁷⁾, waarover het EESC zich positief heeft uitgesproken ⁽⁸⁾, om de inspanningen van de EU voor de verbreiding van 5G-infrastructuur en -diensten in de digitale eengemaakte markt te versterken met een routekaart voor openbare en particuliere investeringen in 5G-infrastructuur in de EU en de doelstelling de commerciële 5G-netwerken uiterlijk in 2020 te lanceren.

2.6.

Volgens de definitie in de aanbeveling van de Commissie ⁽⁹⁾ is een “5G-netwerk”“een reeks van alle relevante infrastructuurelementen voor mobiele en draadloze communicatietechnologie, die wordt gebruikt voor connectiviteit en diensten met toegevoegde waarde met geavanceerde prestatiekenmerken, zoals zeer hoge transmissiesnelheden en -capaciteit, een lage latentie, een zeer hoge betrouwbaarheid, of voor de ondersteuning van een groot aantal aangesloten apparaten”.

2.7.

In de aanbeveling wordt gespecificeerd dat de Commissie de uitvoering van een EU-aanpak van 5G-cyberbeveiliging zal ondersteunen en, zoals door de lidstaten gevraagd, zich zal inspannen om de veiligheid van de 5G-infrastructuur en de toeleveringsketen te waarborgen met alle hulpmiddelen waarover zij beschikt:

—	voorschriften met betrekking tot telecommunicatie, multimedia en cyberbeveiliging;

—	coördinatie inzake normering en certificering op EU-niveau;

—	kader voor het beheersen van buitenlandse directe investeringen om de Europese 5G-toeleveringsketen te beschermen;

—	handelsbeschermingsinstrumenten;

—	mededingingsregels;

—	openbare aanbestedingen, waarbij ervoor moet worden gezorgd dat naar behoren rekening wordt gehouden met veiligheidsaspecten;

—	EU-financieringsprogramma’s om ervoor te zorgen dat de begunstigden voldoen aan de relevante beveiligingseisen.

2.8.

In juli 2019 presenteerden de lidstaten de resultaten van hun nationale risicobeoordelingen aan de samenwerkingsgroep overeenkomstig de NIS-richtlijn ⁽¹⁰⁾ (samengesteld uit vertegenwoordigers van elke lidstaat), aan de Commissie en aan het Enisa en verschaften ze informatie over de belangrijkste activiteiten, bedreigingen en kwetsbaarheden volgens de ISO/IEC 27005-standaard met betrekking tot 5G-infrastructuur en de belangrijkste risicoscenario’s, met een beschrijving van de mogelijke manieren waarop bedreigingsactoren bepaalde kwetsbaarheden van een activiteit kunnen misbruiken. Deze nationale beoordelingen vormden de basis voor een volgende gecoördineerde beoordeling en een gemeenschappelijke toolbox van mogelijke risicobeperkende maatregelen.

2.9.

In oktober 2019 presenteerde de NIS-samenwerkingsgroep, met hulp van de Commissie en het Enisa, een verslag over de EU-brede gecoördineerde beoordeling van de cyberbeveiligingsrisico’s van de 5G-netwerken, waarin verschillende belangrijke uitdagingen werden geïdentificeerd voor de beveiliging van de belangrijkste technologische software-innovaties, -applicaties en -diensten, en in verband met de rol van leveranciers bij het creëren en gebruiken van 5G-netwerken en de mate van afhankelijkheid van individuele leveranciers:

—	een grotere blootstelling aan aanvallen en een toename van het aantal potentiële toegangspunten voor daders van dergelijke aanvallen;

—	verhoogde gevoeligheid voor de nieuwe architectonische kenmerken en functionaliteiten van 5G-netwerken;

—	risico’s in verband met de afhankelijkheid van mobiele netwerkexploitanten van leveranciers, met een toename van het aantal aanvalspaden die door bedreigingsactoren kunnen worden gebruikt;

—	relevantie van het risicoprofiel van de individuele leveranciers voor mogelijke inmenging van buiten de EU;

—	toename van de risico’s als gevolg van een sterke afhankelijkheid van leveranciers voor mogelijke onderbrekingen van de levering als gevolg van commerciële of andere spanningen;

—	bedreigingen voor de beschikbaarheid en integriteit van netwerken op het gebied van beveiliging, vertrouwelijkheid en privacybescherming.

2.10.

Al deze uitdagingen creëren een nieuw beveiligingsparadigma waardoor het nodig is het huidige beleids- en beveiligingskader voor de sector en zijn ecosysteem te herzien, en waardoor de lidstaten de nodige beperkende maatregelen moeten nemen.

2.11.

Op 21 november 2019 publiceerde het Enisa een verslag over de bedreigingen voor 5G-netwerken (ENISA threat landscape for 5G Networks), waarin de beoordeling van de bedreigingen met betrekking tot de vijfde generatie mobiele telecommunicatienetwerken wordt gepresenteerd en waarin ook het verslag van de EU-lidstaten is verwerkt.

2.12.

Op 29 januari 2020 publiceerde de NIS-samenwerkingsgroep het document Cybersecurity of 5G networks — EU toolbox of risk mitigating measures⁽¹¹⁾ met een reeks mogelijke gemeenschappelijke maatregelen waarmee de belangrijkste cyberveiligheidsrisico’s van 5G-netwerken kunnen worden verkleind en richtsnoeren voor de selectie van maatregelen die prioriteit moeten krijgen in plannen voor beperking van de risico’s op nationaal en EU-niveau. Op dezelfde dag keurde de Commissie een mededeling goed ter ondersteuning van de toolbox ⁽¹²⁾ en die mededeling is het onderwerp van dit advies.

2.13.

De belangrijkste belanghebbenden van de 5G-netwerkinfrastructuur zijn:

—	burgers, consumenten en eindgebruikers van 5G;

—	exploitanten van mobiele netwerken: entiteiten die mobiele netwerkdiensten aanbieden aan gebruikers en die hun netwerk beheren met behulp van derden;

—

leveranciers van exploitanten van mobiele netwerken: entiteiten die diensten of infrastructuren aan de exploitanten leveren om hun netwerken te bouwen en/of te beheren. Deze categorie omvat: fabrikanten van telecommunicatieapparatuur; andere externe leveranciers, zoals leveranciers van cloudinfrastructuur, systeemintegrators, beveiligings- en onderhoudsaannemers, fabrikanten van transmissieapparatuur;

—

fabrikanten van verbonden apparaten en aanverwante dienstverleners: entiteiten die objecten of diensten leveren die verbinding zullen maken met 5G-netwerken (bijv. smartphones, verbonden voertuigen, apparaten voor e-gezondheid) en gerelateerde servicecomponenten die worden gehost in het 5G-controleplan als bepaald in de architectuur van de dienst of architectuur op basis van mobile edge computing;

—	andere belanghebbenden, waaronder dienstverleners en contentproviders.

Al deze belanghebbenden zijn belangrijke partijen op het gebied van beveiliging. Ze kunnen zowel bijdragen aan de cyberbeveiliging van 5G-netwerken als toe- of ingangspunten vormen voor aanvallen. Daarom is het belangrijk de risico’s in verband met hun positie in het 5G-ecosysteem te beoordelen.

2.14.

De voornaamste traditionele categorieën bedreigingen houden verband met het in gevaar brengen van vertrouwelijkheid, integriteit en beschikbaarheid. Meer specifiek is vastgesteld dat een aantal bedreigingsscenario’s gericht op 5G-netwerken met name betrekking heeft op:

—	verstoring van het lokale of wereldwijde 5G-netwerk (beschikbaarheid);

—	spionage van het dataverkeer in de 5G-netwerkinfrastructuur (vertrouwelijkheid);

—	wijziging of omleiding van dataverkeer in de 5G-netwerkinfrastructuur (integriteit en/of vertrouwelijkheid);

—	vernietiging of wijziging van andere digitale infrastructuren of informatiesystemen via 5G-netwerken (integriteit en/of beschikbaarheid).

2.15.

Bedreigingen door staten of door actoren die door een staat worden gesteund, worden als van het allergrootste belang beschouwd omdat ze feitelijk de meest serieuze en meest waarschijnlijke actoren in de dreiging vertegenwoordigen, aangezien ze motivaties, intenties en vooral het vermogen kunnen hebben aanhoudende en geavanceerde aanvallen op de beveiliging van 5G-netwerken uit te voeren.

Hoewel veel van de kwetsbaarheden niet specifiek zijn voor 5G-netwerken, zullen hun aantal en betekenis waarschijnlijk toenemen door de invoering van 5G, als gevolg van de grotere complexiteit van de technologie en de toenemende mate waarin economieën en bedrijven in de toekomst afhankelijk zullen zijn van deze infrastructuur.

2.16.

Met name omdat 5G-netwerken grotendeels op software gebaseerd zullen zijn, kunnen grote beveiligingsfouten, bijvoorbeeld als gevolg van slechte softwareontwikkelingsprocessen bij de leveranciers van apparatuur, het voor actoren gemakkelijker maken opzettelijk achterdeurtjes in de producten in te bouwen die nog moeilijker te ontdekken zijn. Als deze situatie wordt uitgebuit, zou dit de kans op bijzonder ernstige en grootschalige gevolgen vergroten. Terwijl de cyberbeveiligingskwesties van 4G nog niet volledig zijn opgelost, kunnen de problemen met 5G al exponentieel toenemen.

2.17.

Er moet ook rekening worden gehouden met kwetsbaarheden in het proces of de configuratie:

—	gebrek aan gespecialiseerd en geschoold personeel om 5G-netwerken te beveiligen, te monitoren en te onderhouden;

—	onvoldoende geschikte interne beveiligingscontroles, monitoringpraktijken of beveiligingsbeheersystemen, en onvolkomenheden in de risicobeheerpraktijken;

—	ontoereikendheid van de beveiligings- of operationele onderhoudsprocedures, zoals software-updates of patching van 5G-netwerken;

—	niet-naleving van 3GPP-normen of onjuiste implementatie daarvan;

—	tekortkomingen in het ontwerp of de architectuur van het netwerk, waaronder het ontbreken van effectieve nood- en continuïteitsmechanismen, onvoldoende of onjuiste configuratie, bijvoorbeeld in de virtualisatie of in de administratie- of toegangsrechten;

—	ongeschikte criteria voor lokale toegang en toegang op afstand tot netwerkcomponenten;

—	ontoereikende beveiligingseisen in het toeleveringsproces: deze kwetsbaarheid kan de vorm aannemen van ongeschikte strategieën om leveranciers te selecteren of het onvoldoende prioriteit toekennen aan beveiliging ten opzichte van andere aspecten.

2.18.

De risicoprofielen van individuele leveranciers moeten worden beoordeeld op basis van verschillende factoren, met name: de kans dat de leverancier wordt blootgesteld aan inmenging van een niet-EU-land, wordt groter door sterke banden tussen de leverancier en een regering van een specifiek derde land; wetgeving van derde landen, met name wanneer er geen wetgevende of democratische checks and balances bestaan en wanneer bijgevolg de dochtermaatschappijen van een onderneming die binnen de EU opereren ervan zouden kunnen worden weerhouden de EU-wetgeving na te leven, of wanneer er geen overeenkomsten inzake beveiliging of gegevensbescherming bestaan tussen de EU en het betrokken derde land; kenmerken van de eigendomsstructuur van de leverancier; mogelijkheid voor een derde land om enige vorm van druk uit te oefenen, ook met betrekking tot de plaats van productie van de apparatuur; algemene kwaliteit van de producten en cyberbeveiligingspraktijken van de leverancier, met inbegrip van de mate van controle over de toeleveringsketen en voldoende prioriteit voor veiligheidsmaatregelen.

2.19.

De lidstaten hebben afgesproken te zorgen voor maatregelen om adequaat en evenredig te reageren op de reeds geïdentificeerde risico’s en mogelijke toekomstige risico’s. In het bijzonder hebben zij afgesproken dat zij ervoor zorgen dat zij op basis van een risicogebaseerde aanpak specifieke eisen en voorwaarden voor de levering, distributie en exploitatie van 5G-netwerkapparatuur kunnen beperken, verbieden en/of opleggen.

2.20.

Daarom moeten de lidstaten zorgen voor:

—	beveiligingseisen voor exploitanten van mobiele netwerken, zoals strikte toegangscontroles, regels voor veilige exploitatie en monitoring, beperkingen voor de uitbesteding van specifieke functies;

—

beoordelingen van het risicoprofiel van leveranciers op basis van objectieve en duidelijke criteria; bijgevolg moeten de uit de beginselen van evenredigheid en rechtszekerheid voortvloeiende beperkingen worden toegepast op leveranciers met een hoog risico, met inbegrip van de uitsluitingen die nodig zijn om de risico’s voor de belangrijkste in de gecoördineerde EU-risicobeoordeling als cruciaal en gevoelig aangewezen voorzieningen op doeltreffende wijze in te perken;

—	de vaststelling van wereldwijd erkende en gebruikte en op consensus gebaseerde beveiligingsnormen en beste praktijken;

—	een adequate en op verschillende leveranciers gebaseerde strategie bij elke exploitant om elke vorm van grote afhankelijkheid van een individuele leverancier of leveranciers met een vergelijkbaar risicoprofiel te voorkomen of te beperken;

—

strikte toegangscontrole, veilig beheer en veilige bediening en monitoring van het netwerk en het gebruik van certificering voor componenten en/of processen van het 5G-netwerk. Deze strategie moet gebaseerd zijn op een door de lidstaten en exploitanten uitgevoerde risicoanalyse zodat de keuze voor een op verschillende leveranciers gebaseerde strategie het risiconiveau voor het netwerk van de exploitant niet verhoogt;

—	een passend evenwicht tussen leveranciers op nationaal niveau en het voorkomen van afhankelijkheid van leveranciers die als een hoog risico worden beschouwd, ook door een grotere interoperabiliteit van de apparatuur te bevorderen;

—

het onderhouden van een gediversifieerde en duurzame 5G-toeleveringsketen om afhankelijkheid op lange termijn te voorkomen, waarbij volledig gebruik wordt gemaakt van de EU-instrumenten voor controle op buitenlandse directe investeringen, handelsbeschermingsinstrumenten, concurrentieregels en de aanbestedingswetgeving van de EU;

—

versterking van de interne capaciteit van de EU wat betreft 5G- en post-5G-technologieën door gebruik te maken van relevante EU-programma’s en financiering, coördinatie tussen de lidstaten wat betreft normering en versterking van de test- en auditcapaciteit teneinde specifieke beveiligingsdoelstellingen te bereiken en relevante EU-certificeringssystemen zoals bedoeld in de IT-beveiligingswetgeving te ontwikkelen, en bevordering van interoperabiliteit.

2.21.

Zoals de Commissie meermaals heeft benadrukt, is en blijft de Europese interne markt open voor partijen die naar Europa willen komen, zolang iedereen de duidelijke, strikte en op objectieve criteria gebaseerde regels naleeft.

2.22.

De Raad heeft op 6 juni 2020 benadrukt dat het belangrijk is de digitale soevereiniteit en samenwerking in de EU te versterken en synergieën tot stand te brengen via EU-programma’s zoals de Connecting Europe Facility en het programma Digitaal Europa voor de ontwikkeling van digitale vaardigheden. Daarnaast benadrukte de Raad het belang van de ontwikkeling van de data-economie, van kunstmatige intelligentie en van IT-beveiliging, en wees de Raad op de een belangrijke rol van digitale technologieën bij het bereiken van de doelstellingen van de Green Deal.

3. De mededeling van de Commissie

3.1.

Naar aanleiding van de security toolbox van de NIS-samenwerkingsgroep:

—	spant de Commissie zich in, zoals door de lidstaten gevraagd, om de beveiliging van de 5G-infrastructuur en de toeleveringsketen te waarborgen, indien nodig met alle middelen waarover zij beschikt;

—	verzoekt de Commissie de lidstaten en instellingen te zorgen voor de invoering van doeltreffende risicobeperkende strategieën en verdere stappen op EU-niveau te ondernemen om voor een gecoördineerde aanpak van 5G-cyberbeveiliging te zorgen;

—

verzoekt de Commissie de lidstaten stappen te zetten om de in de conclusies van de EU-toolbox aanbevolen reeks kernmaatregelen te nemen en een gezamenlijk verslag over de uitvoering ervan op te stellen, terwijl de NIS-samenwerkingsgroep haar werkzaamheden voortzet om de uitvoering van de toolbox te ondersteunen;

—

voorziet de Commissie, binnen het kader van haar bevoegdheden, in maatregelen ter waarborging van de cyberbeveiliging van 5G-netwerken en een gediversifieerde 5G-waardeketen en maatregelen ten aanzien van technische standaardisatie en certificering, buitenlandse directe investeringen en de bescherming van handel en concurrentie, aanbestedingen, IT-diplomatie en haar eigen programma’s en fondsen, vooral die welke relevant zijn voor O&I, cohesie en ontwikkeling.

4. Algemene opmerkingen

4.1.

Het EESC is ervan overtuigd dat nieuwe 5G-technologieën kunnen veranderen hoe we met de wereld omgaan en kansen bieden voor nieuwe toepassingen, bedrijfsmodellen, nieuwe levenswijzen, intelligente fabrieken, verhoogde productiviteit en nieuwe kwalitatief hoogwaardige diensten voor de burger. Hierdoor kunnen deuren worden geopend voor revolutionaire technologieën zoals geautomatiseerde auto’s en geavanceerde productie- en distributiesystemen, en kunnen vele duizenden onderling verbonden apparaten onze dagelijkse wereld binnenkomen als onderdeel van het internet der dingen (Internet of Things, IoT). Niettemin hoopt het EESC dat de Commissie meer impact- en haalbaarheidsstudies en kostenbatenanalyses zal laten uitvoeren van 5G in vergelijking met het gebruik van 4G-technologie of telecommunicatie via glasvezel. Voor het EESC is het van essentieel belang dat 5G gericht is op een beter circulair gebruik van middelen en de verkleining van de grote energiegerelateerde koolstofvoetafdruk. Het EESC benadrukt dat het belangrijk is op structurele maatschappelijke veranderingen in te spelen door een eerlijke en vlotte transitie mogelijk te maken en de vaardighedenkloof aan te pakken om beter betaalde, flexibele en hooggekwalificeerde banen te scheppen.

4.2.

Het drievoudige risico van ongecontroleerde pandemieën, ontoereikende economische beleidsinstrumenten en geopolitieke “zwarte zwanen” kan de wereldeconomie in een langdurige depressie storten met kelderende financiële markten, uitgerekend op een moment waarop bij alle geledingen van de Europese samenleving steeds meer het besef groeit dat voor een duurzame economische ontwikkeling en voor de huidige digitale revolutie, waarvoor 5G een van de belangrijkste instrumenten vormt, modellen nodig zijn die tegelijkertijd inzetten op technologie, productiviteitswinsten en een efficiënter gebruik van hulpmiddelen en die worden geschraagd door een adequaat wettelijk-regelgevend en economisch-financieel kader.

4.3.

Het EESC dringt er bij de EU-instellingen en de lidstaten op aan de digitale eengemaakte markt te voltooien, met inbegrip van de opbouw van de capaciteit voor de integratie en het gebruik van 5G-diensten, om het concurrentievermogen van de Europese industrieën te beschermen en te verbeteren. Daarnaast roept het EESC de Commissie op de voortgang met de invoering en het daadwerkelijke gebruik van 5G nauwlettend te volgen, en verzoekt het de lidstaten dit proces verder te versnellen, rekening houdend met alle veiligheids- en beveiligingsaspecten, met inbegrip van aspecten met betrekking tot de impact van 5G-technologieën op de gezondheid van de bevolking en levende ecosystemen, alsook met de gevolgen op sociaal-economisch vlak, voor de mededinging, voor onderwijs en opleiding, en voor de eerbiediging van de grondrechten, zoals het recht op eigendom of het recht op privacy en beveiliging van persoonsgegevens.

4.4.

Het EESC roept de EU op om wereldleider te worden in de volgende generatie mobiele technologie (5G) met een veilige digitale infrastructuur, als solide bouwsteen voor Europa’s nieuwe moderne industriële strategie. Hiertoe moet de mobiele connectiviteit radicaal veranderen, maar dit biedt wel een enorm dynamisch potentieel om de productiviteit te vergroten, de economie en de diensten voor de burger te laten groeien en het welzijn van burgers en de bescherming van het klimaat en het milieu te bevorderen door de EU in de voorhoede van de 5G-revolutie te plaatsen.

4.5.

Aangezien cyberveiligheid en nationale veiligheid onlosmakelijk met elkaar verbonden zijn, is het EESC van mening dat elk besluit over de nationale veiligheid van een EU-lidstaat in EU-verband moet worden genomen, en dat niet-technische aspecten objectief moeten worden beoordeeld op basis van op Europees niveau vastgestelde risicobeoordelingscriteria, die nodig zijn om te zorgen voor een voorspelbare en geharmoniseerde regelgeving in heel Europa waarmee volledige interoperabiliteit wordt gewaarborgd.

4.6.

Het EESC is van mening dat de kwaliteit van de informatie en de communicatiemethoden — het zogeheten framingeffect, het effect van de context, of de relevantie van de positie — de gedragskeuzes van de ontvangers aanzienlijk beïnvloeden. Het doel om de zeggenschap van de consument te bevorderen, vertaalt zich daarom in de identificatie van instrumenten om de consument op te leiden en zijn mogelijkheden te vergroten, waardoor hij een actieve speler op de digitale markt wordt. Het EESC erkent de noodzaak om burgers actuele en correcte informatie te verstrekken over de voordelen en risico’s van 5G op basis van de consensus van de grote meerderheid van de wetenschappelijke gemeenschap, en om aan te geven op welke aspecten deze consensus onzeker is.

4.7.

Het EESC is ervan overtuigd dat de toegang tot de Europese digitale markt zonder discriminatie open moet blijven voor elk bedrijf, maar dat een Europees kader van vaste en duidelijke regels, normen en evaluatie- en veiligheidscriteria moet worden nageleefd. Zo moeten het herstel en de opleving van de Europese technologische soevereiniteit centraal komen te staan in de Europese strategie.

4.8.

Hoewel de top vijf van infrastructuurleveranciers bestaat uit twee Europese leveranciers, twee Chinese en één Koreaanse leverancier ⁽¹³⁾, behoort geen enkel groot Europees bedrijf tot de eerste die 5G-apparaten en -chipsets vervaardigen. Het EESC is ervan overtuigd dat de aanwezigheid van meerdere leveranciers moet worden gewaarborgd, waarvan er ten minste één in Europese handen is, en dat er moet worden gewerkt aan een kader voor interoperabiliteit en volledige functionaliteit van de hardware- en softwarecomponenten, ook om te zorgen voor volledige Europese technologische soevereiniteit binnen een sterke internationale samenwerking en met volledige wederkerigheid van openheid, toegang en operationaliteit op de markten. Een dergelijke diversificatie kan worden toegepast zolang de interoperabiliteit van de diensten mogelijk is en de cyberbeveiligingsrisico's niet toenemen als gevolg van de diversiteit.

4.9.

Het EESC is van mening dat het van essentieel belang is dat Europa op middellange termijn aandacht besteedt aan autonomie en zelfvoorziening op dit gebied door onderzoek sterk te bevorderen en de diversiteit van Europese bedrijven krachtig te ondersteunen. Het EESC is ingenomen met het pakket maatregelen dat door de lidstaten is overeengekomen voor het aanpakken van de veiligheids- en beveiligingsrisico’s in verband met de introductie van 5G-technologie die al in de Europese beoordeling zijn geïdentificeerd. Het is echter van mening dat de strikte en veilige blootstellingslimieten voor elektromagnetische velden zoals aanbevolen op EU-niveau en gebaseerd op bijgewerkte indicaties van de Internationale Commissie voor bescherming tegen niet-ioniserende straling (ICNIRP), zoals erkend door de Wereldgezondheidsorganisatie (WHO), van toepassing moeten zijn voor alle frequentiebanden die worden overwogen voor 5G ⁽¹⁴⁾. De ICNIRP-limieten zijn gebaseerd op het voorzorgsbeginsel, aangezien ze 50 keer lager zijn dan de niveaus waarop gezondheidseffecten optreden, die zijn vastgesteld op basis van de beschikbare wetenschappelijke gegevens.

4.10.

Het EESC merkt echter op dat de ICNIRP-limieten niet door de hele gemeenschap worden erkend. Sommige wetenschappers pleiten volgens het alara-beginsel (as low as reasonably achievable) voor veel strengere drempels voor de blootstelling van de bevolking. Mogelijke oplossingen ter aanvulling van de 5G-communicatie-infrastructuur zijn de benutting van vaste dataverbindingen voor bestaande niet-radiotechnieken (Ethernetkabels, glasvezel enz.) in situaties waar het gebruik vast is (dus niet mobiel; bijv. geldautomaten, POS voor banken, industriële robots, op afstand bestuurde medische robots enz.) en waar grote gebruikers van datatransmissie opereren (digitaledienstverleners, bedrijven/ondernemingen enz.) alsmede bij IoT-toepassingen op vaste (niet-mobiele) locaties (intelligente huizen, slimme steden, sensoren op nutsapparatuur enz.).

4.11.

4.12.

4.13.

Het EESC erkent ⁽¹⁵⁾ dat het probleem van overgevoeligheid voor elektromagnetische straling bestaat en heeft zijn bezorgdheid duidelijk gemaakt, maar vindt het bemoedigend dat kan worden geconstateerd dat er verder diepgaand onderzoek wordt gedaan om het probleem en de oorzaken ervan te begrijpen. Het heeft er bij de Commissie op aangedrongen haar werkzaamheden op dat gebied voort te zetten en bij te houden.

4.14.

De geloofwaardigheid van leveranciers van 5G-telecommunicatie- en applicatiediensten is volgens het EESC essentieel, aangezien het beheer van informatie op het internet de grondslag vormt voor diensten op basis van geaggregeerde gegevens die door gebruikers worden verzameld en verwerkt via technologische, juridische en fiscale mechanismen, en waardoor objecten, machines en algoritmen in een directe relatie tot elkaar worden geplaatst.

4.15.

Het EESC heeft voorgesteld ⁽¹⁶⁾ om van het concept “gegevenseigendom” over te stappen naar de vaststelling van gegevensrechten voor natuurlijke en rechtspersonen. Om de privacy van de consumenten te waarborgen, moeten zij zeggenschap hebben over gegevens die door geconnecteerde apparaten worden gegenereerd. Daartoe moeten problemen met betrekking tot toegankelijkheid, interoperabiliteit en overdracht van gegevens worden opgelost, en moet worden gezorgd voor adequate bescherming van gegevens en vertrouwelijkheid, eerlijke mededinging en een ruimere consumentenkeuze.

4.16.

Met het oog op de interconnectiviteit van apparaten en objecten moet de algemene verordening gegevensbescherming (AVG) worden aangevuld met duidelijke richtsnoeren om te zorgen voor uniforme toepassing ervan en een hoog niveau van gegevens- en consumentenbescherming. Daarnaast moet de regelgeving met betrekking tot burgerlijke aansprakelijkheid en de verzekering van producten worden herzien om deze aan te passen aan een situatie waarin beslissingen in toenemende mate worden genomen door volledig beveiligde software.

4.17.

Het EESC is van mening dat het van essentieel belang is dat de lidstaten de strategische en technische aanbevelingen in de EU-toolbox volgen en geen specifieke nationale benaderingen ontwikkelen, zoals aanvullende tests en certificeringen die fragmentatie van de markt, vertragingen bij de implementatie van technologieën en inconsistenties tussen markten zouden veroorzaken, met het risico het vertrouwen in test- en certificeringssystemen te ondermijnen.

4.18.

Het EESC is van mening dat het van essentieel belang is gebruik te maken van wereldwijde standaarden, waarvoor meer Europese steun zou moeten komen, en van gedeelde en erkende beste praktijken, teneinde een efficiënt beheer van bedreigingen mogelijk te maken, schaalvoordelen te genereren, fragmentatie te voorkomen en de interoperabiliteit van Europese systemen te waarborgen. De gesprekken over technische standaarden vormen een noodzakelijke verduidelijking die bedrijven weer in staat zal stellen te concurreren en het voortouw te nemen in fundamentele activiteiten die het mogelijk maken om geavanceerde technologieën, zoals 5G en artificiële intelligentie (AI), in alle markten te implementeren.

4.19.

4.20.

Het EESC acht het belangrijk de investeringen van exploitanten en leveranciers in nieuwe technische veiligheidsvoorzieningen te verhogen. Deze investeringen moeten gelijke tred houden met het vermogen van de markt om alle initiatieven die gericht zijn op de verhoging van de veiligheid en veerkracht van de systemen te herkennen en te belonen. Meer aandacht voor investeringen in beveiliging zou tot nieuwe marktprikkels kunnen leiden.

4.21.

Het EESC is een groot voorstander van gemeenschappelijke interventies ter ondersteuning van de industriële ontwikkeling en de uitrol van 5G: evaluatie van mogelijke tekortkomingen of lacunes in de markt langs de 5G-waardeketen, die gerichte interventies rechtvaardigen in het kader van de volgende langetermijnbegroting of een mogelijk project van gemeenschappelijk Europees belang voor 5G-cyberbeveiliging (security and safety).

4.22.

Het EESC benadrukt dat, hoewel de digitale infrastructuur tijdens de COVID-19-crisis resistent en robuust is gebleken, verdere investeringen in de 5G-infrastructuur nodig zijn om een nog steeds bestaande digitale kloof te overbruggen die de toegang van burgers tot e-gezondheid, e-learning en werken op afstand kan belemmeren.

4.23.

Op het gebied van technologische diplomatie acht het EESC het essentieel dat de EU zorgt voor meer evenwichtige en wederzijdse voorwaarden voor handel en investeringen, met name wat betreft de markttoegang voor bedrijven, subsidies, openbare aanbestedingen, technologieoverdracht, industrieel eigendom en sociale en milieunormen, vooral met het oog op systemische rivalen die andere governancemodellen voorstaan, en pleit het tegelijkertijd voor volledige mededinging en technische innovatie op de markt.

4.24.

Het EESC wijst nadrukkelijk op de noodzaak om een gediversifieerde en duurzame 5G-toeleveringsketen in stand te houden om op lange termijn afhankelijkheid te voorkomen door te voorzien in de aanwezigheid van meerdere leveranciers binnen een kader van functionaliteit en interoperabiliteit. Daarnaast moeten binnen het meerjarig financiële kader 2021-2027 programma’s en initiatieven worden ontwikkeld voor de opbouw van 5G- en post-5G-capaciteit en de verdere versterking van de Europese technologische soevereiniteit.

4.25.

In het kader van het herstelplan voor Europa, aangenomen op 27 mei 2020, levert de Digital Economy and Society Index 2020 (DESI) de gegevens voor de landspecifieke analyse ter ondersteuning van de digitale aanbevelingen van het Europees semester. Dit helpt de lidstaten richting en prioriteiten aan te brengen in hun hervormings- en investeringsbehoeften, waardoor de toegang tot de faciliteit voor herstel en veerkracht ter waarde van 560 miljard EUR wordt vergemakkelijkt. Dit instrument verschaft de lidstaten de middelen om hun economieën veerkrachtiger te maken en ervoor te zorgen dat investeringen en hervormingen de groene en digitale transities ondersteunen. Aangezien de pandemie aanzienlijke gevolgen heeft gehad voor elk van de vijf dimensies van de DESI, moeten de conclusies voor 5G voor 2020 in samenhang worden beschouwd met de talrijke maatregelen die de Commissie en de lidstaten hebben genomen om de crisis te beheersen en het herstel te ondersteunen.

Brussel, 16 september 2020.

De voorzitter van het Europees Economisch en Sociaal Comité

Luca JAHIER

⁽¹⁾ Artikel 168, lid 1, VWEU: “Bij de bepaling en de uitvoering van elk beleid en elk optreden van de Unie […]”.

⁽²⁾ COM(2016) 587.

⁽³⁾ COM(2016) 590.

⁽⁴⁾ COM(2016) 591.

⁽⁵⁾ COM(2016) 176.

⁽⁶⁾ COM(2016) 589.

⁽⁷⁾ COM(2016) 588.

⁽⁸⁾PB C 125 van 21.4.2017, blz. 74.

⁽⁹⁾ Aanbeveling van de Commissie (EU) 2019/534 van 26 maart 2019, Cyberbeveiliging van 5G-netwerken (PB L 88 van 29.3.2019, blz. 42).

⁽¹⁰⁾ Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

⁽¹¹⁾ https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5 g-networks-eu-toolbox-risk-mitigating-measures

⁽¹²⁾ https://ec.europa.eu/digital-single-market/en/news/secure-5 g-deployment-eu-implementing-eu-toolbox-communication-commission

⁽¹³⁾ De vijf wereldwijde leveranciers zijn op dit moment: Ericsson, Nokia, Huawei, ZTE en Samsung.

⁽¹⁴⁾ Europees Parlement, E-003040/2019, antwoord van mevrouw Kyriakides namens de Europese Commissie (17.1.2020).

⁽¹⁵⁾PB C 242 van 2.7.2015, blz. 31.

⁽¹⁶⁾PB C 353 van 18.10.2019, blz. 79.