Chinese apparatuur mag worden gebruikt in vitale sectoren, mits de risico’s zorgvuldig zijn afgewogen en eventuele noodzakelijke maatregelen worden genomen om mogelijke risico’s te beheersen. Dat antwoorden staatssecretaris Heijnen (Infrastructuur en Waterstaat) en minister Yesilgöz-Zegerius (Justitie en Veiligheid) op vragen van de VVD over Chinese bewakingscamera’s in nieuwe treinen van NS.
Volgens de bewindslieden heeft NS laten weten dat diverse maatregelen zijn genomen zodat (statelijke) actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen. “Dat geldt niet alleen voor de Chinese camera’s, maar voor alle camera’s. De camera’s zijn qua netwerk gescheiden van andere apparaten en niet direct verbonden met internet. De standaard toegangsrechten zijn aangepast en ethische hackers testen de geïmplementeerde veiligheidsmaatregelen periodiek. Volgens NS zijn door deze maatregelen de risico’s beheersbaar.”
NS heeft een risicoanalyse doorlopen waarbij cyberrisico’s zijn meegewogen. Naar aanleiding daarvan zijn maatregelen genomen. “Organisaties zoals NS hebben eigen expertise in huis en weten zelf het beste hoe bepaalde producten en diensten worden toegepast, waar de te beschermen belangen en risico’s zitten en welke maatregelen mogelijk zijn om risico’s te verminderen”, aldus de staatssecretaris en minister.
Vitale aanbieders zijn op basis van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) verplicht tot het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen (zorgplicht). Daarnaast dienen zij inzicht te hebben in de risico’s die hun dienstverlening kunnen raken.
Instrumenten
Voor het meewegen van nationale veiligheidsoverwegingen bij het inkopen van producten en diensten heeft de Rijksoverheid instrumenten ontwikkeld die organisaties helpen bij het nemen van passende maatregelen. Vitale aanbieders zijn zelf verantwoordelijk voor de toepassing hiervan. Het NCSC geeft geen advies over individuele producten of diensten, maar adviseert vitale aanbieders om risicomanagement te organiseren.
“Dat een bepaald product of dienst, in dit geval camera’s, binnen een vitale sector afkomstig is van een Chinese aanbieder is niet per definitie onwenselijk”, schrijven de bewindslieden. “Uitgangspunt bij het beoordelen van risico’s is dat altijd een afweging plaatsvindt op de hierboven genoemde punten. Daarbij is het belangrijk na te gaan of de partij die de dienst of het product levert banden heeft met of onder controle staat van landen met een offensief inlichtingenprogramma of specifieke verplichtende wetgeving kent. Daarnaast moet worden onderzocht waar de partij toegang toe kan verkrijgen via de dienst of het product en of er beheersmaatregelen mogelijk en realiseerbaar zijn. Op een zeer zorgvuldige en case-by-case-basis dienen deze risico’s te worden onderzocht.”
