BELGISCHE SENAAT
________
Zitting 2012-2013
________
21 januari 2013
________
SENAAT Schriftelijke vraag nr. 5-7827

de Yoeri Vastersavendts (Open Vld)

aan de vice-eersteminister en minister van Economie, Consumenten en Noordzee
________
Aankoop van communicatie- en informaticamateriaal - Banden van leveranciers met buitenlandse mogendheden - Homologatie - Opvulling lacune in de wetgeving
________
gegevensbescherming
spionage
industriële spionage
China
staatsveiligheid
vertrouwelijkheid
telefoon- en briefgeheim
telecommunicatie-industrie
Coördinatieorgaan voor de dreigingsanalyse
communautaire certificatie
homologatie
geheime dienst
________
21/1/2013Verzending vraag
7/2/2013Antwoord
________
________
SENAAT Schriftelijke vraag nr. 5-7827 d.d. 21 januari 2013 : (Vraag gesteld in het Nederlands)

Ik verwijs naar eerdere schriftelijke vragen nr. 5-6941 en 5-7148 die collega Tommelein hieromtrent indiende. Heden wordt mijn vrees bevestigd door een uitvoerig rapport dat vandaag wordt vrijgegeven in de Verenigde Staten (VS).

De grote Chinese telecommunicatiebedrijven Huawei en ZTE vormen een ernstige bedreiging voor de Amerikaanse staatsveiligheid, aldus het rapport van de inlichtingencommissie van het Amerikaanse parlement dat net werd vrijgegeven.

Amerikaanse bedrijven zouden geen zaken mogen doen met Huawei en ZTE, staat in het rapport. Fusies van bedrijven met Huawei en ZTE zouden geblokkeerd moeten worden. Ook adviseert de commissie dat de Amerikaanse overheid geen telecommunicatieapparatuur met onderdelen van een van deze twee bedrijven mag gebruiken, wegens de mogelijkheid van cyberspionage.

U antwoordde positief op de vraag of u het met Tommelein eens was dat diensten binnen de federale overheid zoals de staatsveiligheid, OCAD en andere cruciale diensten binnen het leger en onze diplomatie alsook de federale Ministerraad met betrekking tot de aanschaf van telecommunicatieapparatuur en informatica moeten worden geëvalueerd, gecertificeerd en gehomologeerd - wat de betrouwbaarheid en veiligheid betreft - volgens criteria en procedures die beantwoorden aan de normen van de Europese Unie.

U stelde hieromtrent het volgende: "Er dient te worden opgemerkt dat het akkoord van 4 mei 2011 tussen de lidstaten van de Europese Unie, verenigd binnen de Raad, met betrekking tot de bescherming van vertrouwelijke informatie uitgewisseld in het belang van de Europese Unie (document 2011/C 202/05) alsook Beschikking 2001/264/EG van de Raad van 19 maart 2001 tot aanneming van het veiligheidsreglement van de Raad de lidstaten verplichten om een hele reeks veiligheidsmaatregelen te treffen om de vertrouwelijke informatie binnen de Europese Unie te beschermen. In België bestaat er nog geen internationaal erkende instantie die beveiligingsapparatuur kan evalueren en homologeren conform de internationaal erkende normen. De nationale ondernemingen moeten zich dus richten tot buitenlandse agentschappen. Het overlegplatform Belnis bereidt momenteel een voorstel voor om deze lacune op te vullen.".

Graag had ik dan ook volgende vragen voorgelegd:

1) Kunt u concreet toelichten wat de hoofdelementen van het voorstel van het overlegplatform Belnis zal omvatten en ziet u nog knelpunten?

2) Kunt u tevens toelichten welke de timing zal zijn zodat de producenten weten wanneer de nieuwe certificatie en homologatie in voege zal zijn?

Antwoord ontvangen op 7 februari 2013 :

1. De ministerraad van 21 december 2012 nam akte van het Belgische project inzake cyberstrategie dat door het overlegplatform voor informatiebeveiliging BELNIS werd uitgewerkt. Dit voorstel bestaat erin België te voorzien van een federale strategie voor veilige informatienetwerken en -systemen, met eerbiediging van de persoonlijke levenssfeer.

Om cyberveiligheid in ons land te waarborgen, worden drie strategische doelstellingen beoogd :

  • “streven naar een veilige en betrouwbare cyberspace met respect voor de fundamentele rechten en waarden van de moderne samenleving”;

  • “ streven naar een optimale beveiliging en bescherming van de kritieke infrastructuren en overheidssystemen tegen de cyberdreiging”;

  • ontwikkelen van eigen cyber security capaciteiten voor een onafhankelijk veiligheidsbeleid en een gepaste reactie op veiligheidsincidenten”.

Om deze drie strategische doelstellingen te verwezenlijken, moet België een reeks concrete actielijnen uitwerken. Een van deze actiedomeinen bestaat uit het “stimuleren van de technologische ontwikkeling”. Het Belgische voorstel inzake cyberstrategie verstrekt in dat verband de volgende informatie en aanbevelingen :

“Alle economische sectoren hebben behoefte aan performante en betrouwbare producten of diensten waarvan de kwaliteit en de veiligheid door goedgekeurde instanties worden gecertificeerd. Ook de ICT-sector wordt, na meerdere decennia, geconfronteerd met deze fundamentele noodzaak aan gecertificeerde producten. Om toegang te krijgen tot grote “high tech” projecten (defensie, ruimtevaart, financiële systemen, medische sector, …) zullen de informaticaleveranciers en de controleorganen in meerdere opzichten kwaliteitsverbeteringen moeten doorvoeren: doorgedreven beheersing van de methodologie voor het ontwerpen van software en van standaard internationale veiligheidscontroles, in plaats stellen van diensten voor controle en homologatie, … De samenwerking tussen alle betrokken partijen is essentieel voor het succes van deze evolutie: academische onderzoekscentra, research & development centra, controleorganen, homologatieautoriteiten, de administratie wetenschapsbeleid, …”

2. De ministerraad van 21 december 2012 belastte de eerste minister met de implementatie van deze cyberstrategie. De uitwerking van een certificatieprocedure voor de veiligheid van informatiesystemen maakt er deel van uit. In België kan het door de Federale Overheidsdienst (FOD) Economie beheerde BELAC-systeem de certificatieorganen accrediteren die in dit domein actief willen zijn. Hiervoor dient de nationale autoriteit die moet worden samengesteld om de acties aangaande cyberveiligheid in België te coördineren hem de (internationale en eventueel nationale) minimale normvereisten op het vlak van veiligheid van informaticaproducten en –diensten mee te delen.