EU Verplicht Uitsluiting van Huawei en ZTE uit Kritieke Infrastructuur per 20 Januari 2026

De Europese Unie formaliseert per 20 januari 2026 een fundamentele verschuiving in haar digitale veiligheidsbeleid. Op die datum worden eerdere vrijwillige richtlijnen omgezet in wettelijk bindende beperkingen, die alle lidstaten verplichten leveranciers die als 'hoog-risico' zijn aangemerkt, met name Huawei en ZTE, uit hun kritieke infrastructuur te weren. Deze maatregel is een directe reactie op nationale veiligheidszorgen en de verslechterde geopolitieke verhoudingen met Peking. De Europese Commissie zal op die datum de herziening van de bestaande Cyberbeveiligingswet presenteren, waardoor de eerdere aanbevelingen tegen deze leveranciers afdwingbaar worden.

De reikwijdte van dit verbod overstijgt de 5G-netwerken en omvat vitale sectoren zoals systemen voor zonne-energie en beveiligingsscanners, wat duidt op een brede interpretatie van kritieke infrastructuur. De implementatie van deze nieuwe regelgeving zal nationale autoriteiten de bevoegdheid geven om verplichte restricties uit te vaardigen en een gefaseerd uitfaseringstraject te starten. De tijdslijn voor de verwijdering van bestaande apparatuur zal afhangen van de beoordeelde risiconiveaus, de specifieke sector en de praktische overwegingen met betrekking tot de kosten en de beschikbaarheid van alternatieve oplossingen.

Deze ontwikkeling staat in contrast met de situatie vóór deze verplichting, toen de implementatie van de aanbevelingen uit 2020, onder leiding van Vice-President Henna Virkkunen, zeer ongelijk verdeeld was onder de lidstaten. Terwijl landen als het Verenigd Koninkrijk en Zweden de Chinese leveranciers al eerder uitsloten, bleven landen als Spanje en Griekenland de inzet van Chinese leveranciers toestaan; Spanje sloot bijvoorbeeld in 2025 nog een contract van 12 miljoen euro met Huawei af, ondanks waarschuwingen van de Commissie. De Commissie stelt dat deze gefragmenteerde nationale beslissingen onvoldoende waren om marktvertrouwen en coördinatie te waarborgen.

De EU-maatregel volgt een precedent dat eerder door de Verenigde Staten werd gevestigd, die in 2022 al een verbod instelden op de verkoop en import van telecommunicatie- en video-bewakingsapparatuur van onder andere Huawei en ZTE vanwege onaanvaardbare nationale veiligheidsrisico's. China heeft steevast gereageerd door te stellen dat dergelijke uitsluitingen in strijd zijn met marktprincipes en eerlijke concurrentie, waarbij het Ministerie van Buitenlandse Zaken de 'hoog-risico'-classificatie van de EU als feitelijk ongegrond heeft bestempeld. Ironisch genoeg ervaren Europese concurrenten, Ericsson en Nokia, nadelen in China, waar zij te maken krijgen met een 'Black Box'-beveiligingsonderzoek door de Cyberspace Administration of China (CAC) bij contracten.

De herziening van de Cyberbeveiligingswet (CSA), ook wel CSA2 genoemd, gaat verder dan de technische kwetsbaarheden die de oorspronkelijke wet uit 2019 behandelde. De nieuwe versie adresseert nu ook risico's voortkomend uit afhankelijkheden in de toeleveringsketen, organisatiestructuren en geopolitieke kaders. Dit sluit aan bij bredere inspanningen binnen de EU, zoals de Richtlijn betreffende de veerkracht van kritieke entiteiten (CER), die lidstaten verplichtte vóór 17 januari 2026 een nationale veerkrachtstrategie op te stellen. De bescherming van kritieke infrastructuur wordt door de lidstaten zelf erkend als een directe bedreiging voor de nationale veiligheid en de defensie van de EU. De Europese Commissie zal op 20 januari 2026 tevens de Digital Networks Act presenteren, gericht op het verbeteren van de concurrentiepositie en investeringen in de telecommarkt. De implementatie van deze verplichte uitsluiting zal ongetwijfeld operationele en financiële uitdagingen met zich meebrengen voor telecomoperatoren die gewend waren aan de kostenefficiëntie van Chinese componenten.