In de Tweede Kamer zijn vragen gesteld aan staatssecretarissen Bertram van Infrastructuur en Waterstaat en Aerdts voor Digitale Economie over een mogelijke killswitch in Chinese ov-bussen. Onlangs maakte vervoerder Arriva bekend dat het de komende jaren gaat rijden met bussen van de Chinese fabrikant Yutong. Vorig jaar verscheen Noors onderzoek naar de bussen van Yutong, waarin werd gesteld dat de Chinese fabrikant toegang heeft tot de controlesystemen voor software-updates en diagnostiek. "In theorie kan dit worden misbruikt om de bus te beïnvloeden", aldus de onderzoekers.

JA21-Kamerlid Van den Berg vraagt nu om opheldering van de staatssecretarissen. "Kunt u bevestigen dat moderne (elektrische) bussen doorgaans beschikken over functionaliteiten voor remote diagnostics en (over-the-air) software-updates, en dat dergelijke functies ook risico’s voor continuïteit en sabotage of ongewenste beïnvloeding kunnen meebrengen?", zo wil het Kamerlid weten.

De staatssecretarissen moeten ook duidelijk maken of ze bereid zijn om, samen met de relevante veiligheids- en cybersecuritypartners, een landelijke risicoanalyse uit te voeren naar remote access-mogelijkheden in ov-materieel en de afhankelijkheden in de digitale keten, zoals connectiviteit, cloud, onderhoud op afstand en updates. Bertram en Aerdts moeten ook duidelijk maken welke wettelijke kaders op dit moment gelden voor cybersecurity en software-updates van bussen en andere vormen van ov-materieel, en hoe het toezicht en de handhaving daarop in Nederland is geregeld.

"Welke eisen worden in de praktijk gesteld aan eigenaarschap en controle over beheeraccounts, encryptiesleutels en toegang tot voertuigsystemen, en hoe wordt geborgd dat de concessiehouder/vervoerder niet afhankelijk blijft van de leverancier voor kritieke toegang?", vraagt Van den Berg verder. Die wil ook duidelijkheid over de eisen die worden gesteld aan logging, detectie van ongeautoriseerde toegang en incidentrespons rondom digitale verstoringen in het busmaterieel en de bijbehorende backend-systemen.

Het JA21-Kamerlid vraagt tevens of de staatssecretarissen bereid zijn tot het opstellen van landelijke minimumeisen voor ov-concessies op het gebied van digitale soevereiniteit en cybersecurity, waaronder in ieder geval verplichte disclosure van alle remote access-functionaliteiten, mogelijkheid tot onafhankelijk technisch onderzoek/audit vóór instroom, aantoonbare lokale operationele controle en contractuele sancties bij niet-gemelde functionaliteiten. De bewindslieden hebben drie weken om met een reactie te komen.