Mobiele telecomaanbieders verplicht tot aanvullende beveiligingsmaatregelen

Aanbieders van Nederlandse mobiele telecomnetwerken moeten vóór 1 oktober 2022 aanvullende beveiligingsmaatregelen nemen. Dat schrijft demissionair minister Stef Blok (Economische Zaken en Klimaat). Het gaat om verhoogde wettelijke eisen aan het beschermen van kritieke apparatuur en gegevens, controle op incidenten en beheer door leveranciers en screening van personeel. Zo wil het kabinet deze netwerken weerbaarder maken tegen dreigingen als spionage en misbruik die de Nederlandse maatschappij en economie schade kunnen opleveren.

De eisen staan in de ministeriële regeling veiligheid en integriteit telecommunicatie en zijn gisteren (5 oktober) gepubliceerd. “Bedrijven en consumenten moeten in Nederland altijd en overal kunnen rekenen op betrouwbare en veilige mobiele telecominfrastructuur", aldus Blok. "De maatschappij en economie kunnen alleen functioneren als bijvoorbeeld onze data, financieel verkeer en communicatie veilig zijn. Deze concrete beveiligingseisen, die aanbieders binnen een jaar moeten nemen, versterken deze basis. De maatregelen zijn bovendien onderdeel van een breder kabinetsbeleid om onze digitale infrastructuur weerbaarder te maken.”

Vijf soorten maatregelen

In de regeling staan vijf categorieën maatregelen voor de kritieke onderdelen van de mobiele telecomnetwerken en direct daaraan gekoppelde delen:

• De veilige configuratie van technische apparatuur zelf, zoals het geautomatiseerd en up-to-date beschermen tegen kwaadaardige software.
• De veilige inrichting van fysieke en virtuele infrastructuur, zoals het gericht versleutelen van kritieke gegevens.
• De bewaking (monitoring) van technische infrastructuur, zoals het inrichten van voortdurende detectie van eventuele beveiligingsincidenten en het oplossen van kwetsbaarheden en incidenten.
• De veiligheidsborging op software en beheer. Een telecomaanbieder kan haar leveranciers per contract opleggen om vergelijkbare strenge beveiligingseisen te gaan hanteren en daarop toe te zien.
• Structurele screening en achtergrondonderzoek wordt verplicht bij medewerkers die beheerwerkzaamheden uitvoeren en toegang hebben tot de infrastructuur.

De ministeriële regeling is één van de ingezette acties van het demissionaire kabinet om mobiele telecomnetwerken weerbaarder te maken tegen cyberdreigingen. Daarnaast heeft het kabinet in april aan de huidige (drie) aanbieders van Nederlandse mobiele telecomnetwerken beschikkingen opgelegd. Zij moeten hierdoor producten of diensten van gespecificeerde leveranciers uitsluiten binnen de kritieke onderdelen van hun netwerken. Nederland telt drie mobiele netwerken: van KPN, VodafoneZiggo en T-Mobile/Tele2.