Een groep Europese fabri­kanten van routers, waaronder AVM (bekend van de FRITZ!Box), Devolo, Lancom, Teldat en Zyxel, heeft de handen ineen­ge­slagen onder de naam Safenet. Hun doel? De Europese Unie moet dezelfde strenge import­con­troles instellen voor routers als die al gelden voor 5G-netwerk­ap­pa­ra­tuur, zoals die van Huawei en ZTE. De oproep komt op een moment dat 40 procent van alle routers in Europa afkom­stig is uit China — een markt­aan­deel dat volgens Safenet te groot is om te negeren.

Een veiligheidsrisico dat niet langer genegeerd kan worden

De cijfers zijn indruk­wek­kend: 93 procent van al het Europese inter­net­ver­keer loopt via routers. En van die routers komt bijna de helft uit China. Dat is precies waar Safenet zich zorgen over maakt. De organi­satie wijst erop dat Chinese fabri­kanten, door lokale wetge­ving, verplicht kunnen zijn om samen te werken met hun overheid. Dat opent de deur voor poten­tiële inbreuken op de privacy en veilig­heid van Europese burgers en bedrijven.

De paral­lellen met de 5G-discussie zijn opval­lend. Voor 5G-netwerken heeft de EU al maatre­gelen genomen om appara­tuur van Chinese fabri­kanten als Huawei en ZTE uit kriti­sche infra­struc­tuur te weren. Voor routers in huishou­dens en bedrijven ontbreken derge­lijke regels echter nog steeds. Toch zijn juist deze apparaten een geliefd doelwit voor cyber­aan­vallen. Zo werd in mei nog het Asocks-proxy­net­werk ontdekt, waarbij 17 miljoen gekaapte routers werden misbruikt voor groot­scha­lige cyber­cri­mi­na­li­teit. Ook in de Verenigde Staten zijn al maatre­gelen genomen tegen TP-Link, nadat hun apparaten betrokken bleken bij staats­ge­stuurde cyber­aan­vallen op Ameri­kaanse infrastructuur.

Drie concrete eisen voor meer veiligheid

Safenet stelt drie voorwaarden voor om de veilig­heid van routers in Europa te waarborgen. Ten eerste moeten alle aanbie­ders die op de Europese markt actief willen zijn, trans­pa­rant zijn over hun toele­ve­rings­keten: van hardwa­re­com­po­nenten tot de gebruikte software. Ten tweede pleit de organi­satie voor een EU-mandaat voor kriti­sche infra­struc­tuur­be­heer­ders, waarbij deze verplicht worden om routers van vertrouwde fabri­kanten te gebruiken — net zoals al geldt voor 5G-netwerken. Ten slotte moet er een gezamen­lijk EU-veilig­heids­kader komen dat de toegang tot de markt voor fabri­kanten uit hoogri­si­co­landen bemoeilijkt.

Deze eisen zijn niet alleen bedoeld om de veilig­heid te vergroten, maar ook om een gelijk speel­veld te creëren. Europese fabri­kanten hebben immers moeite om te concur­reren met Chinese aanbie­ders, die hun producten vaak tegen lagere prijzen aanbieden. Een verplicht veilig­heids­kader zou de concur­rentie op regula­to­risch vlak eerlijker maken.

Toch is de vraag of de EU deze oproep serieus zal oppakken. De NIS2-richt­lijn, die kriti­sche infra­struc­tuur­be­heer­ders verplicht tot betere bevei­li­ging, schrijft geen concrete eisen voor aan de herkomst van hardware. Ook de Cyber Resilience Act, die de veilig­heid van digitale producten reguleert, gaat niet in op import­con­troles. Safenet benadrukt dat hun voorstellen precies in deze leemte voorzien — een leemte die volgens hen dringend opgevuld moet worden.

De ervaring met 5G leert echter dat derge­lijke besluiten jaren kunnen duren. De druk om actie te onder­nemen was toen al groot, mede door waarschu­wingen van inlich­tin­gen­dien­sten en trans-Atlan­ti­sche partners. Voor routers in huishou­dens en kleine bedrijven lijkt de priori­teit in Brussel vooralsnog een stuk lager. Wie hoopt op snelle regule­ring, zal waarschijn­lijk nog even geduld moeten hebben.