| Ingediend | 7 juni 2018 |
|---|---|
| Beantwoord | 2 juli 2018 (na 25 dagen) |
| Indieners | Arno Rutte (VVD), Arne Weverling (VVD), Jan Middendorp (VVD), Martin Wörsdörfer (VVD) |
| Beantwoord door | Mona Keijzer (staatssecretaris economische zaken) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2018Z10731.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-2649.html |
Ja, dat bericht is bekend.
Het Agentschap Telecom (AT) houdt in de Staat van de Ether 20172 een pleidooi voor de snelle invoering in Europa van minimumeisen aan met internet verbonden apparatuur (IoT) via een CE-markering (of keurmerk). Ik deel dit pleidooi gezien de enorme groei van (onveilige) IoT-apparatuur. Vandaar dat ik deze oplossingsrichting ook noem in de Roadmap Digitaal Veilige Hard- en Software3. Omdat er niet één maatregel bestaat die de digitale veiligheid van IoT-apparatuur kan realiseren, bevat de roadmap een mix van maatregelen.
Het CE-keurmerk waar het AT op doelt, is gebaseerd op de Radio Equipment Directive (RED). De RED schrijft eisen voor waar (radio)apparatuur aan moet voldoen om het Europese keurmerk CE te mogen dragen. AT is toezichthouder op de RED. De voorschriften gaan tot dusver over zaken als gebruiksveiligheid, het voorkomen van interferentie en storingsgevoeligheid. De RED biedt daarnaast de mogelijkheid om, na activering door de Europese Commissie, minimale eisen te stellen aan de digitale veiligheid van draadloze apparaten. Het kan daarmee dan ook dienen als keurmerk voor veilige «slimme» draadloze apparaten.
Met de Europese Commissie onderzoekt het kabinet hoe invulling te gegeven aan voornoemde mogelijkheid om het huidige CE-keurmerk van de RED uit te breiden met minimale eisen aan de digitale veiligheid van draadloze apparaten. Nederland heeft daartoe onlangs in Europa een voorstel gedaan. De Commissie heeft positief op dit voorstel gereageerd en overweegt om als eerste stap veiligheidseisen voor bepaalde productcategorieën versneld in te voeren. Dit is een belangrijke eerste stap. Daarbij is de Nederlandse inzet dat op de langere termijn alle met internet verbonden apparatuur moet voldoen aan minimale eisen ten aanzien van de digitale veiligheid (security by design).
Zie antwoord vraag 3.
Het CE-keurmerk op basis van de RED betekent dat alle apparaten die onder deze richtlijn vallen aan de minimumeisen moeten voldoen. Onveilige apparatuur die niet aan de minimum eisen voldoet, kan door de toezichthouder (het AT) van de markt worden verwijderd. Als de regelgeving van de RED wordt uitgebreid met veiligheidseisen voor digitale veiligheid, is het CE-keurmerk daarvoor ook geldend. De CE markering (in de vorm van een CE-logo) moet op ieder apparaat aangebracht zijn. AT houdt toezicht of dit ook terecht gebeurt.
Aanbieders van internettoegang kunnen vanuit hun beheerstaak van de internetverbinding een rol spelen bij het terugdringen van digitale kwetsbaarheden. In dialoog met aanbieders van internettoegang wordt bekeken hoe zij, analoog aan de succesvolle aanpak van botnets, een bijdrage kunnen leveren aan de bestrijding van onveilige apparaten.
Mijn voorkeur gaat uit naar een Europees keurmerk, zoals het eerdergenoemde CE-keurmerk met verplichte minimumeisen. Dit is het meest effectief en draagt bij aan de Digitale Interne Markt (het voorkomt versnippering en verstoring van het level playing field). Totdat zo’n keurmerk er is, kan de overheid geen toezicht houden om zo nodig producten van de markt te weren. De roadmap bevat mede daarom meerdere maatregelen om onveilige producten samen met bedrijven aan te pakken. Zoals standaardisering en certificering. Met de Cybersecurity Act wordt op Europees niveau gewerkt aan een raamwerk voor (vrijwillige) cybersecurity certificatie. Uw Kamer is onlangs, voorafgaand aan de Telecomraad van 8 juni, geïnformeerd over de Cybersecurity Act4. Dat raamwerk biedt bedrijven de mogelijkheid om Europese standaarden en certificaten te (helpen) ontwikkelen voor specifieke producten, processen of diensten. Bedrijven kunnen er vervolgens voor kiezen om hun product, proces of dienst vrijwillig te laten certificeren tegen de bij een certificaat behorende eisen.
Een keurmerk kan het maatschappelijk verantwoord innoveren stimuleren als het zo wordt ingericht dat apparaten digitaal veiliger worden en er ruimte blijft voor innovatie, het meenemen van ontwikkelingen en ondernemerschap.
Hierbij bericht ik u, mede namens de staatssecretarissen van Binnenlandse Zaken en Koninkrijksrelaties en van Economische Zaken en Klimaat dat de schriftelijke vragen van de leden Weverling, Arno Rutte, Middendorp en Worsdorfer (allen VVD) over het bericht Agentschap Telecom slaat alarm over hackbare apparaten (ingezonden 7 juni 2018) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.