Nieuwe EU Cyberbeveiligingsverordening in werking getreden

De nieuwe Cybersecurityverordening ((EU) 2023/2841; de verordening tot vaststelling van maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie) is op 7 januari 2024 in werking getreden. Zie voor meer achtergrondinformatie ook dit ECER-bericht (21 december 2023).

De verordening stelt maatregelen vast voor de instelling van een intern kader voor het beheer, de governance en de controle van cyberbeveiligingsrisico's voor elke entiteit van de Unie, en richt een nieuwe interinstitutionele raad voor cyberbeveiliging (IICB) op om de uitvoering van de verordening door entiteiten van de Unie te monitoren en te ondersteunen. De verordening voorziet in een mandaat van het computercrisisresponsteam voor de instellingen, organen en instanties van de EU (CERT-EU). CERT-EU wordt omgedoopt tot cyberbeveiligingsdienst voor de instellingen, organen en instanties van de Unie. Het zal gaan fungeren als knooppunt voor inlichtingen over dreigingen, informatie-uitwisseling en coördinatie van de respons op incidenten, als centraal adviesorgaan en als dienstverlener.

De verordening bevat een tijdschema over wanneer de entiteiten van de Unie interne processen voor cyberbeveiligingsgovernance zullen opzetten en voorziet in hoe de entiteiten geleidelijk specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s zullen invoeren. De IICB wordt spoedig mogelijk opgericht en operationeel. Doel van IICB is te zorgen voor de strategische sturing van CERT-EU in het kader van het uitgebreide mandaat, om richtsnoeren en ondersteuning te bieden aan de entiteiten van de Unie en om toezicht te houden op de uitvoering van de verordening.

Achtergrond
De Europese Commissie deed het voorstel voor de cyberbeveiligingsverordening (COM(2022) 122) in maart 2022 (zie ook persbericht Commissie). In juni 2023 bereikten het Europees Parlement en de Raad een politiek akkoord (zie persbericht) over die verordening.

De verordening stemt overeen met de beleidsdoelstellingen van de Commissie zoals vastgesteld in de EU-strategie voor de veiligheidsunie (COM(2020) 605 uit juli 2020) en de EU-strategie inzake cyberbeveiliging (JOIN(2020) 18 uit december 2020). Ook hangt de verordening samen met andere wetgevingsinitiatieven over cybersecurity:

• De richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie („NIS 2-richtlijn” - (EU) 2022/2555, zie ook dit ECER-bericht), waarmee deze wetgeving is afgestemd wat betreft beginselen en ambitieniveau, met inachtneming van de specifieke kenmerken van entiteiten van de Unie;
• De cyberbeveiligingsact ((EU) Verordening 2019/881)(zie ook dit ECER-bericht);
• De aanbeveling van de Commissie ((EU) 2017/1584) inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises.

De cyberbeveiligingsverordening werd samen met een voorstel voor een verordening inzake informatiebeveiliging (COM(2022) 119 van 22 maart 2022) ingediend, waarin minimumregels en -normen voor informatiebeveiliging voor alle instellingen, organen en instanties van de EU worden vastgesteld. Dit voorstel is gericht op een veilige uitwisseling van informatie tussen de instellingen, organen en instanties van de EU en met de lidstaten, op basis van gestandaardiseerde praktijken en maatregelen ter bescherming van informatiestromen. De onderhandelingen tussen de medewetgevers over dit voorstel zijn nog niet gestart.

Meer informatie:
Persbericht Europese Commissie
ECER-dossier: Digitalisering