Minister: Onveilige IoT alleen uit te bannen via verkoopkanaal

Ook betreuren de ministers in hun antwoord de afhankelijkheid van vitale processen en delen zij de zorgen van de Tweede Kamer ten aanzien van ongewenste inmenging van statelijke actoren. Het probleem is, zo stellen zij, dat "geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren." Ook is er geen inzicht in welke vitale sectoren apparatuur gebruiken via welke statelijke actoren invloed zouden kunnen uitoefenen op het functioneren van hun dienstverlening.

"Het Rijk biedt ondersteuning en begeleiding op aanvraag aan vitale aanbieders wanneer zij te maken hebben met een (mogelijk) risicovolle aanbesteding. Hiervoor is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van 'mitigerende' maatregelen. Het instrumentarium is ter beschikking gesteld binnen de Rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen" , stellen Jetten en Yesilgöz.

Chinese omvormers gehackt

De aanleiding voor de Kamervragen van Queeny Rajkovski en Silvio Erkens (beiden VVD) was een artikel van Follow the money waaruit bleek dat kwaadwillenden waren binnengedrongen in de omvormers voor zonnepanelen van een Chinees merk. De ministers erkennen dat zo'n ontwikkeling een bedreiging vormt voor de nationale veiligheid omdat via zo'n route het functioneren van het energienetwerk kan worden verstoord. "De beschreven casus maakt duidelijk dat IoT-apparatuur aan hoge veiligheidsnormen moet voldoen met het oog op onze nationale veiligheid", schrijven zij.

Regels voorkomen risico niet

Maar er is al veel regelgeving van kracht die is gericht op het gebruik van uitsluitend apparatuur die aan de hoge normen voldoet. Netbeheerders zijn gehouden aan de Wet bescherming netwerk- en informatiesystemen (Wbni) die voorschrijft dat zij passende maatregelen treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Ook worden zij geacht om inzicht te hebben in de risico’s die hun dienstverlening kunnen raken. De Aanbieders van Essentiële Diensten (AEDs) vallen onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en het Agentschap Telecom (AT) houdt toezicht op deze aanbieders. Incidenten moeten verplicht worden gemeld. Ook wordt er in Europees verband gewerkt aan een verordening over cybersecurity in de elektriciteitssector (Netcode on Cybersecurity). Het Agentschap Telecom en de Autoriteit Consument en Markt gaan toezien op naleving daarvan.

Netbeheerders treffen ook vanuit verplichtingen uit de Elektriciteitswet 1998 voorbereidingen ter bescherming van een eventuele, grootschalige inzet van IoT-apparaten in een cyberaanval. Maar zij kunnen niet voorkomen dat apparaten met dergelijke veiligheidsrisico’s worden aangeschaft en in gebruik worden genomen binnen een woning of bedrijfspand, benadrukken de ministers. Daarvoor ligt een belangrijke verantwoordelijkheid bij leveranciers en fabrikanten van apparatuur om risico’s voor het elektriciteitsnet te verkleinen. 

Meer handhaving volgt in 2024

Wel is er Europese wet- en regelgevingen in voorbereiding zoals de Radio Equipement Directive (RED) die markttoegangseisen stellen aan draadloos verbonden apparaten. Per 1 augustus 2024 moeten alle apparaten die op de Europese markt komen daaraan voldoen. Omvormers vallen daar ook onder. Vanaf dat moment kan de AT ook optreden tegen apparatuur die niet aan de gestelde eisen voldoet. Er is volgens Jetten en Yesligöz al een onderzoek ingesteld naar de leveranciers van omvormers onder meer naar aanleiding van het voorval dat door Follow the money is beschreven.

Ook de Europese Cyber Resilience Act waarvoor in het najaar een voorstel wordt verwacht van de Europese Commissie, is gericht op een zorgplicht voor fabrikanten en leveranciers van alle ICT-producten en diensten in de hele productlevenscyclus.