Nieuwe wetgevingsvoorstellen voor betere cyber- en informatiebeveiliging binnen EU-instellingen, organen en instanties

Contentverzamelaar

Nieuwe wetgevingsvoorstellen voor betere cyber- en informatiebeveiliging binnen EU-instellingen, organen en instanties

De Europese Commissie heeft nieuwe regels voorgesteld op het gebied van cyberbeveiliging en informatiebeveiliging binnen de instellingen, organen en instanties van de EU. Die regels moeten zorgen voor een verbeterde weerbaarheid en responscapaciteit van de EU-instellingen, organen en instanties bij cyberdreigingen en -incidenten. Ook moeten de regels zorgen voor een veilig openbaar bestuur van de EU in de context van toenemende kwaadwillige cyberactiviteiten wereldwijd.

Achtergrond

Op 24 juli 2020 presenteerde de Europese Commissie de EU-strategie voor de veiligheidsunie . In die strategie kondigde de Commissie aan dat er bindende en strenge gemeenschappelijke normen moeten worden vastgesteld voor de veilige uitwisseling van informatie en voor de beveiliging van digitale infrastructuren en systemen bij alle instellingen, organen en instanties van de EU. Dat nieuwe kader zou volgens de Commissie de basis moeten vormen voor de samenwerking op het gebied van cyberbeveiliging tussen de instellingen, organen en instanties van de EU, met als middelpunt het computercrisisteam (CERT-EU). 

Op dit moment hebben de instellingen en organen van de EU hun eigen regels inzake informatiebeveiliging of helemaal geen regels inzake informatiebeveiliging. De instellingen en organen van de EU wisselen echter onderling steeds grotere hoeveelheden niet-gerubriceerde EU-informatie en gerubriceerde EU-informatie (EUCI) uit. Die informatie is zeer aantrekkelijk voor bepaalde actoren. Daarom heeft de Europese Commissie op 22 maart 2022 een voorstel voor een verordening gepresenteerd om de bescherming van die informatie te verbeteren (hierna: informatiebeveiligingsverordening)

Daarnaast heeft de Europese Commissie op diezelfde datum een voorstel voor een verordening gepresenteerd om het bestaande rechtskader van het computercrisisteam (CERT-EU) te moderniseren (hierna: cyberbeveiligingsverordening).

Cyberbeveiligingsverordening

Elke instelling, orgaan en instantie van de EU moet haar eigen interne kader voor risicobeheer, governance en controle op het gebied van cyberbeveiliging gaan vaststellen. Daarnaast moeten de instellingen, organen en instanties een basisniveau van cyberbeveiligingsmaatregelen implementeren, regelmatig maturiteitsbeoordelingen uitvoeren, een plan opstellen om hun cyberbeveiliging te verbeteren en onverwijld incident-specifieke informatie delen met CERT-EU.

Verder wordt er een nieuwe inter-institutionele raad voor cyberbeveiliging ingesteld. Die raad wordt belast met het toezicht op de implementatie van de verordening door de instellingen, organen en instanties van de EU. Ook krijgt het computercrisisteam (CERT-EU) meer bevoegdheden. De naam van het computercrisisteam wordt veranderd in cybersecuritycentrum, maar de afkorting CERT-EU blijft behouden.

Informatiebeveiligingsverordening

De verordening voorziet in de oprichting van een inter-institutionele coördinatiegroep voor informatiebeveiliging. Die groep moet de samenwerking tussen de instellingen, organen en instanties van de EU op het gebied van informatiebeveiliging verbeteren.

Daarnaast voorziet de verordening in drie categorieën niet-gerubriceerde gegevens: voor het publiek bestemde gegevens, normale gegevens en gevoelige niet-gerubriceerde gegevens. Alle categorieën zijn gedefinieerd en de voorwaarden voor de bescherming van dergelijke informatie zijn in de verordening vastgesteld.

De verordening bevat ook voorschriften inzake de bescherming van gerubriceerde EU-informatie (EUCI). De gerubriceerde informatie is onderverdeeld in vier niveaus: EU top secret, EU secret, EU confidential en EU restricted. In de verordening wordt ingegaan op de normen voor de bescherming van niet-gerubriceerde EU-informatie.

Meer informatie: