ONTWERPRESOLUTIE over het gevaar voor de veiligheid in verband met de toenemende technologische aanwezigheid van China in de EU en mogelijke maatregelen op EU-niveau om dit tegen te gaan
6.3.2019 - (2019/2575(RSP))
ingediend overeenkomstig artikel 123, lid 2, van het Reglement
Reinhard Bütikofernamens de Verts/ALE-Fractie
Zie ook gezamenlijke ontwerpresolutie RC-B8-0154/2019
B8‑0160/2019
Resolutie van het Europees Parlement over het gevaar voor de veiligheid in verband met de toenemende technologische aanwezigheid van China in de EU en mogelijke maatregelen op EU-niveau om dit tegen te gaan
Het Europees Parlement,
– gezien Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie[1],
– gezien Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie[2],
– gezien Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad[3],
– gezien het voorstel van de Commissie van 13 september 2017 voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening") (COM(2017)0477),
– gezien het voorstel van de Commissie van 12 september 2018 voor een verordening van het Europees Parlement en de Raad tot oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging en het netwerk van nationale coördinatiecentra (COM(2018)0630),
– gezien de Chinese nationale inlichtingenwet van 28 juni 2017 en de Chinese wet op de staatsveiligheid van 1 juli 2015,
– gezien de verklaringen van de Raad en de Commissie van 13 februari 2019 over het gevaar voor de veiligheid in verband met de toenemende technologische aanwezigheid van China in de EU en mogelijke maatregelen op EU-niveau om dit tegen te gaan,
– gezien de goedkeuring door de Australische regering van de hervormingen op het gebied van de beveiliging van de telecommunicatiesector, die sinds 18 september 2018 van kracht zijn,
– gezien zijn standpunt in eerste lezing vastgesteld op 14 februari 2019 over het voorstel voor een verordening van het Europees Parlement en de Raad tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Europese Unie[4],
– gezien zijn resoluties over de betrekkingen tussen de EU en China, in het bijzonder die van 12 september 2018 over de stand van zaken van de betrekkingen tussen de EU en China[5],
– gezien de mededeling van de Commissie van 14 september 2016 getiteld "5G voor Europa: een actieplan" (COM(2016)0588),
– gezien zijn resolutie van 1 juni 2017 over internetconnectiviteit voor groei, concurrentievermogen en cohesie: Europese gigabitmaatschappij en 5G[6],
– gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)[7],
– gezien Verordening (EU) nr. 1316/2013 van het Europees Parlement en de Raad van 11 december 2013 tot vaststelling van de financieringsfaciliteit voor Europese verbindingen, tot wijziging van Verordening (EU) nr. 913/2010 en tot intrekking van Verordeningen (EG) nr. 680/2007 en (EG) nr. 67/2010[8],
– gezien het programma Digitaal Europa,
– gezien artikel 123, lid 2, van zijn Reglement,
A. overwegende dat de EU de digitalisering van haar industrie en de invoering van netwerken en apparatuur van de volgende generatie heeft bevorderd en actief stappen heeft ondernomen om op het gebied van 5G een voortrekkersrol te vervullen;
B. overwegende dat kwetsbaarheden in 5G-netwerken uitgebuit zouden kunnen worden om IT-systemen aan te vallen, mogelijkerwijs resulterend in zeer ernstige schade aan economieën op Europees en nationaal niveau; overwegende dat een op risicoanalyse gebaseerde benadering in de gehele waardeketen noodzakelijk is om de risico's tot een minimum te beperken;
C. overwegende dat het 5G-netwerk de ruggengraat van onze digitale infrastructuur zal zijn, waarmee de mogelijkheid wordt uitgebreid om diverse apparaten aan te sluiten op netwerken (het internet der dingen enz.), en nieuwe voordelen en kansen zal opleveren voor de samenleving en het bedrijfsleven op diverse terreinen, met inbegrip van kritieke sectoren van de economie, zoals vervoer, energie, gezondheid, financiën, telecommunicatie, defensie, ruimtevaart en veiligheid;
D. overwegende dat het Parlement herhaaldelijk heeft opgeroepen tot de ontwikkeling van een Europese strategie voor meer IT-onafhankelijkheid en privacy online, waardoor de IT-sector in de EU een impuls zou krijgen;
E. overwegende dat er bezorgdheid is geuit over verkopers van apparatuur uit derde landen die een veiligheidsrisico voor de EU kunnen vormen als gevolg van de wetgeving van hun land van herkomst, met name na de inwerkingtreding van de Chinese wet op de staatsveiligheid, die voorziet in een zeer ruime definitie van nationale veiligheid en in de verplichting voor alle burgers, ondernemingen en andere entiteiten om met de staat samen te werken om de staatsveiligheid te waarborgen; overwegende dat er geen garanties zijn dat deze verplichting geen extraterritoriale toepassing inhoudt; overwegende dat in een aantal landen – zoals de Verenigde Staten, Australië en Nieuw-Zeeland – uiteenlopend op de Chinese regelgeving is gereageerd, gaande van veiligheidsbeoordelingen tot een absoluut verbod;
F. overwegende dat de toegang tot de markt voor veel producten al afhankelijk is van de naleving van de Europese regels, maar dat cyberbeveiliging nog geen vereiste is en dat in de certificeringsregelingen waarin de cyberbeveiligingsverordening voorziet onvoldoende rekening wordt gehouden met de urgentie van de situatie, vooral wat betreft de alomtegenwoordigheid van connectiviteit van consumenten en aangesloten apparaten;
G. overwegende dat zich binnen de EU al veiligheidsincidenten hebben voorgedaan als gevolg van kwetsbaarheden in communicatienetwerken, waaronder onrechtmatige toegang tot de Belgische telecomexploitant die diensten verleent aan de Europese instellingen;
H. overwegende dat een grondig onderzoek nodig is om na te gaan of de bij dergelijke incidenten betrokken apparaten, of andere apparatuur of leveranciers, veiligheidsrisico's inhouden vanwege functies als achterdeurtjes naar systemen;
I. overwegende dat oplossingen op EU-niveau moeten worden gecoördineerd en behandeld om verschillende niveaus van veiligheid en potentiële lacunes op het gebied van cyberbeveiliging te voorkomen; overwegende dat er ook op mondiaal niveau coördinatie nodig is om een sterk weerwoord te bieden;
J. overwegende dat de voordelen van de eengemaakte markt gepaard gaan met de verplichting om te voldoen aan de EU-normen en het rechtskader van de Unie, en dat leveranciers niet anders mogen worden behandeld vanwege hun land van herkomst;
K. overwegende dat de toekomstige EU-verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Europese Unie voorziet in een lijst van factoren die in verband worden gebracht met veiligheid en openbare orde, waaronder kritieke infrastructuur, zoals communicatie-infrastructuur, kritieke technologieën, cyberbeveiliging, toegang tot gevoelige informatie en de vrijheid om deze informatie te controleren; overwegende dat factoren zoals het feit dat een buitenlandse investeerder indirect onder zeggenschap staat van de regering van het land van herkomst, als relevant voor de veiligheid en de openbare orde moeten worden beschouwd; overwegende dat de verordening ook betrekking heeft op projecten en programma's die van belang zijn voor de Unie, zoals trans-Europese telecommunicatienetwerken en Horizon 2020; overwegende dat de verordening voorziet in een mechanisme dat de Commissie en de lidstaten in staat stelt samen te werken bij het beoordelen van veiligheidsrisico's als gevolg van buitenlandse directe investeringen;
1. is van mening dat de Unie het voortouw moet nemen op het gebied van cyberbeveiliging, door middel van een gemeenschappelijke benadering op basis van het doeltreffende en efficiënte gebruik van de expertise van de EU, de lidstaten en het bedrijfsleven, aangezien een lappendeken van uiteenlopende nationale beslissingen nadelig zou zijn voor de digitale eengemaakte markt;
2. onderstreept dat er met het oog op de invoering van 5G-technologie snel een EU-aanpak voor de beveiliging van infrastructuur moet worden ontwikkeld, waarbij rekening wordt gehouden met risico's voor de veiligheid en openbare orde als gevolg van inmenging en beïnvloeding door derde landen; benadrukt dat het hier gaat om de eigen veiligheid van de EU en haar fundamentele belangen;
3. is ingenomen met de aanstaande inwerkingtreding van een verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen om redenen van veiligheid en openbare orde, en onderstreept dat in deze verordening voor het eerst een lijst wordt vastgesteld van gebieden en factoren die van belang zijn voor de veiligheid en de openbare orde op EU-niveau;
4. spreekt zijn diepe bezorgdheid uit over de recente beschuldigingen dat door Chinese bedrijven ontwikkelde 5G-apparatuur mogelijk geïntegreerde achterdeurtjes bevat die fabrikanten en autoriteiten in staat zouden stellen onrechtmatige toegang te verkrijgen tot gegevens en telecommunicatie van EU-burgers en -bedrijven; is tevens bezorgd over de mogelijke aanwezigheid van grote kwetsbaarheden in de 5G-apparatuur die door deze fabrikanten wordt ontwikkeld indien deze wordt geïnstalleerd bij de uitrol van 5G‑netwerken in de komende jaren; verzoekt de Commissie en de lidstaten te overwegen aanbieders van 5G-apparatuur die geen toereikende veiligheidsgaranties kunnen bieden, te verbieden;
5. onderstreept dat de gevolgen voor de veiligheid van netwerken en apparatuur over de hele wereld dezelfde zijn, en verzoekt de EU lessen te trekken uit de opgedane ervaring om de strengste normen op het gebied van cyberbeveiliging te kunnen waarborgen; is van mening dat er, wanneer de naleving van de beveiligingsvoorschriften niet kan worden gewaarborgd, passende maatregelen moeten worden genomen; wijst erop dat de EU bij de beoordeling van het beveiligingsniveau moet vragen om substantiële en geloofwaardige garanties, met name wanneer een bedrijf niet beursgenoteerd is, een ondoorzichtige organisatiestructuur heeft en niet transparant is over zijn financiering en besluitvorming;
6. verzoekt de lidstaten de Commissie in kennis te stellen van relevante nationale maatregelen die zij voornemens zijn te nemen met het oog op een gecoördineerde respons van de Unie, teneinde de strengste normen inzake cyberbeveiliging te kunnen waarborgen in de hele Unie;
7. herhaalt dat entiteiten die in de EU apparatuur leveren of diensten verlenen, ongeacht hun land van herkomst, moeten voldoen aan de verplichtingen op het gebied van de grondrechten en aan het recht van de EU en de lidstaten, met inbegrip van het rechtskader met betrekking tot de persoonlijke levenssfeer, gegevensbescherming en cyberbeveiliging;
8. verzoekt de Commissie de deugdelijkheid van het rechtskader van de Unie te beoordelen om tegemoet te komen aan de bezorgdheid over de aanwezigheid van kwetsbare apparatuur in strategische sectoren en in de basisinfrastructuur; dringt er bij de Commissie op aan met initiatieven en zo nodig wetgevingsvoorstellen te komen om te zijner tijd eventueel vastgestelde tekortkomingen aan te pakken, aangezien de Unie voortdurend bezig is uitdagingen op het gebied van cyberbeveiliging in kaart te brengen en aan te pakken en de weerbaarheid van de EU op het gebied van cyberbeveiliging te verbeteren;
9. verzoekt de lidstaten die de NIS-richtlijn nog niet volledig hebben omgezet, dat onverwijld te doen en verzoekt de Commissie deze omzetting nauwlettend te volgen om te waarborgen dat de bepalingen van de richtlijn naar behoren worden toegepast en gehandhaafd en dat de Europese burgers beter beschermd zijn tegen externe en interne veiligheidsdreigingen;
10. verwelkomt en steunt het akkoord over de cyberbeveiligingsverordening en de versterking van het mandaat van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), voor het beter ondersteunen van de lidstaten bij het aanpakken van cyberdreigingen en -aanvallen;
11. herinnert eraan dat cyberbeveiliging strenge beveiligingsvereisten vergt; dringt aan op netwerken en producten die zowel door standaardinstellingen als door ontwerp veilig zijn; dringt er bij de Commissie op aan het Enisa op te dragen prioriteit te verlenen aan de opstelling van een certificeringsregeling voor 5G-apparatuur, om ervoor te zorgen dat de uitrol van 5G in de Unie aan de strengste beveiligingsnormen voldoet en bestand is tegen achterdeurtjes of grote kwetsbaarheden die de veiligheid van de telecommunicatienetwerken en de hiervan afhankelijke diensten van de Unie in gevaar zouden brengen; beveelt aan bijzondere aandacht te besteden aan veelgebruikte processen, producten en software die door hun omvang een belangrijke impact hebben op het dagelijks leven van de burgers en de economie;
12. is zeer verheugd over de voorstellen voor kenniscentra voor cyberbeveiliging en een netwerk van nationale coördinatiecentra, dat bedoeld is om de EU te helpen bij het behouden en ontwikkelen van de technologische en industriële capaciteiten op het gebied van cyberbeveiliging die nodig zijn om haar digitale eengemaakte markt te beschermen;
13. verwelkomt het programma Digitaal Europa, dat in de EU gevestigde maar vanuit derde landen gecontroleerde entiteiten aan beveiligingsvereisten en toezicht door de Commissie onderwerpt, in het bijzonder ten aanzien van aan cyberbeveiliging gerelateerde acties; onderstreept dat inmenging in beveiligingsaangelegenheden middels verzoeken om samenwerking op inlichtingengebied van autoriteiten van derde landen moet worden voorkomen;
14. verzoekt de lidstaten ervoor te zorgen dat overheidsinstellingen en particuliere bedrijven die ertoe bijdragen dat kritieke infrastructuurnetwerken zoals telecom-, energie-, gezondheids- en sociale systemen goed werken, daaromtrent risicoanalyses uitvoeren, rekening houdend met de veiligheidsdreigingen die specifiek verbonden zijn aan de technische kenmerken van het betrokken systeem of de afhankelijkheid van externe leveranciers van hardware- en softwaretechnologieën;
15. herinnert eraan dat het huidige rechtskader voor telecommunicatie de lidstaten opdraagt te garanderen dat telecomexploitanten de verplichting naleven om te zorgen voor de integriteit en beschikbaarheid van openbare elektronische-communicatienetwerken en dat versleuteling, bij voorkeur eind-tot-eindversleuteling, een van de manieren is om bepaalde beveiligingsproblemen aan te pakken; wijst erop dat de lidstaten volgens het Europees wetboek voor elektronische communicatie over alle nodige bevoegdheden beschikken om een breed scala aan rechtsmiddelen te onderzoeken en toe te passen in geval van niet-conformiteit van producten op de EU-markt;
16. roept de Commissie en de lidstaten op beveiliging tot een verplicht aspect te maken van alle openbare aanbestedingsprocedures voor relevante infrastructuur op zowel EU- als nationaal niveau, met inbegrip van, waar passend, het gebruik van Europese normen en technische vereisten die gericht zijn op het vergroten van de weerbaarheid en het aanpakken van veiligheidsrisico's;
17. verwacht van de nationale gegevensbeschermingsautoriteiten en de Europese Toezichthouder voor gegevensbescherming dat zij grondig onderzoek doen naar aanwijzingen van inbreuken in verband met gegevens door externe verkopers en dat zij passende sancties opleggen in overeenstemming met de Europese wetgeving inzake gegevensbescherming;
18. herhaalt dat de EU cyberbeveiliging moet ondersteunen in de gehele waardeketen, van onderzoek tot de uitrol en invoering van belangrijke technologieën, dat zij relevante informatie moet verspreiden en dat zij onderwijsprogramma's inzake cyberbeveiliging moet bevorderen, en is van mening dat onder meer het programma Digitaal Europa daarvoor een doeltreffend instrument zal zijn;
19. dringt er bij de Commissie en de lidstaten op aan de nodige stappen te ondernemen om binnen de EU een innovatievriendelijk klimaat te scheppen dat toegankelijk is voor alle ondernemingen in de digitale economie van de EU, met inbegrip van kleine en middelgrote ondernemingen (kmo's), en Europese verkopers in staat stelt nieuwe producten, diensten en technologieën te ontwikkelen waarmee zij marktaandelen kunnen terugveroveren van hun concurrenten uit derde landen;
20. verzoekt de Commissie het cyberbeveiligingsaspect van markttoezicht en -controle te evalueren en maatregelen voor een doeltreffende aanpak van cyberbeveiligingsrisico's voor te stellen; herinnert eraan dat de EU-actoren in deze sector, met name kmo's, blootstaan aan het risico van oneerlijke concurrentie van door overheden gefinancierde actoren, strategische overnames en onrechtmatige toegang tot hun gegevens; is van mening dat deze actoren betrokken moeten worden bij de uitwerking van mogelijke wetgevingsmaatregelen;
21. verzoekt de Commissie IT-beveiligingsvereisten op te nemen in de herziening van het nieuwe wetgevingskader inzake productveiligheid;
22. verzoekt de Raad zijn werkzaamheden met betrekking tot de voorgestelde e‑privacyverordening te bespoedigen en rekening te houden met de verplichte eind-tot-eindversleuteling en het verbod op door overheden ingevoerde achterdeurtjes, zoals voorgesteld door het Parlement in zijn standpunt in eerste lezing;
23. verzoekt de Europese Raad tijdens zijn volgende vergadering op 21 maart 2019 maatregelen te overwegen die in overeenstemming zijn met de aanbevelingen in deze resolutie;
24. verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad en de Commissie.
- [1] PB L 321 van 17.12.2018, blz. 36.
- [2] PB L 194 van 19.7.2016, blz. 1.
- [3] PB L 218 van 14.8.2013, blz. 8.
- [4] Aangenomen teksten, P8_TA(2019)0121.
- [5] Aangenomen teksten, P8_TA(2018)0343.
- [6] PB C 307 van 30.8.2018, blz. 144.
- [7] PB L 119 van 4.5.2016, blz. 1.
- [8] PB L 348 van 20.12.2013, blz. 129.