NLconnect publiceert position paper over herziening Cybersecurity Act (CSA2)
NLconnect heeft een position paper opgesteld over de voorgenomen herziening van de Europese Cybersecurity Act (CSA2). De vereniging concludeert dat onderdelen van het voorstel in de huidige vorm potentieel contraproductief zijn voor investeringen in telecomnetwerken en voor de digitale weerbaarheid van Europa. NLconnect pleit voor een strikt risicogebaseerde, technisch onderbouwde en proportionele benadering, met voldoende transparantie en voorspelbaarheid en ruimte voor nationale toepassing. Zonder die balans dreigt de CSA2 het tegenovergestelde te bereiken van wat wordt beoogd.
Aanleiding is de schriftelijke inbreng van de Tweede Kamer bij het BNC-fiche over de herziening. In dat kader heeft NLconnect het position paper gedeeld met Kamerleden, aangevuld met gerichte aandachtspunten en vragen bij het Fiche.
Gebrek aan een risicogebaseerde en proportionele aanpak
In een wereld van geopolitieke spanningen, cyberdreigingen en andere veiligheidsuitdagingen is het van cruciaal belang dat onze digitale infrastructuur robuust en weerbaar is. Het versterken van cyberweerbaarheid – het doel van de voorgestelde herziening van de Cybersecurity Act (CSA2) – is daarom een legitieme en noodzakelijke ambitie. Onderdelen van de CSA2, zoals de certificeringsprocedure voor de leveranciersketen dragen in positieve zin bij aan dit doel. In het position paper stelt NLconnect dat de CSA2 in de huidige vorm echter onvoldoende uitgaat van een risicogebaseerde en proportionele benadering van de ICT-toeleveringsketen.
De CSA2 introduceert een vergaand instrumentarium om niet-technische risico’s in ICT-toeleveringsketens te adresseren. Het voorstel borgt onvoldoende dat maatregelen proportioneel worden toegepast op basis van concrete risico’s en de beoordeling daarvan. Het voorstel bevat vergaande bevoegdheden, waaronder de mogelijkheid tot generieke uitsluitingen van producten en diensten van leveranciers (‘blanket bans’), zonder dat daar een kenbare risicobeoordeling aan vooraf is gegaan. Dit kan leiden tot disproportionele maatregelen zonder aantoonbare veiligheidswinst.
Generieke uitsluitingen leiden tot investeringsonzekerheid
Generieke uitsluitingen brengen een significant risico op investeringsonzekerheid met zich mee en veroorzaken een chilling effect op langetermijninvesteringen in netwerken. In een sector die afhankelijk is van stabiele en voorspelbare randvoorwaarden kan dit leiden tot uitstel van investeringen in cyberweerbaarheid, verduurzaming en verdere capaciteitsontwikkeling, waaronder 5G standalone en de voorbereiding op 6G.
Ook vaste netwerken komen in scope
De CSA2 omvat expliciet ook vaste netwerken, waaronder FTTH-, kabel- en transportnetwerken. Voor deze netwerken ontbreekt een gecoördineerde, sectorbrede risico- en impactanalyse. Daardoor kunnen ook netwerkonderdelen met een laag risicoprofiel onder generieke vervangingsverplichtingen vallen, met aanzienlijke economische en operationele gevolgen.
Strijdigheid met Nederlandse Visie Digitale autonomie en soevereiniteit
NLconnect constateert dat de CSA2 bovendien op gespannen voet staat met de Nederlandse visie op digitale autonomie en soevereiniteit. De versmalling van het leverancierslandschap leidt tot verminderde concurrentie, lock-ins, supply-risico’s en prijsopdrijvende effecten. Dit vergroot de afhankelijkheid van een beperkt aantal leveranciers en creëert juist een groter risico voor de continuïteit en weerbaarheid van netwerken. Blanket bans kunnen bovendien tegenmaatregelen oproepen in andere landen, waarbij Europese leveranciers van markten worden geweerd.