Verordening over cyberbeveiliging binnen EU-instellingen, organen en instanties in het EU-Publicatieblad verschenen
Nieuwsbericht | 21-12-2023
Achtergrond
Op 24 juli 2020 presenteerde de Europese Commissie de EU-strategie voor de veiligheidsunie. In die strategie kondigde de Commissie aan dat er bindende en strenge gemeenschappelijke normen moeten worden vastgesteld voor de veilige uitwisseling van informatie en voor de beveiliging van digitale infrastructuren en systemen bij alle instellingen, organen en instanties van de EU. Dat nieuwe kader zou volgens de Commissie de basis moeten vormen voor de samenwerking op het gebied van cyberbeveiliging tussen de instellingen, organen en instanties van de EU, met als middelpunt het computercrisisteam (CERT-EU).
Op dit moment hebben de instellingen, organen en instanties van de EU hun eigen regels inzake informatiebeveiliging of helemaal geen regels inzake informatiebeveiliging. De instellingen, organen en instanties van de EU wisselen echter onderling steeds grotere hoeveelheden niet-gerubriceerde EU-informatie en gerubriceerde EU-informatie (EUCI) uit. Die informatie is volgens de Commissie zeer aantrekkelijk voor bepaalde actoren. Daarom presenteerde de Europese Commissie op 22 maart 2022 een voorstel voor een verordening om de bescherming van die informatie te verbeteren (hierna: informatiebeveiligingsverordening) Daarnaast presenteerde de Europese Commissie op diezelfde datum een voorstel voor een verordening om het bestaande rechtskader van het computercrisisteam (CERT-EU) te moderniseren (hierna: cyberbeveiligingsverordening.
Na onderhandelingen tussen de Raad en het Europees Parlement is het voorstel voor een cyberbeveiligingsverordening aangenomen (Verordening (EU) 2023/2841), en op 18 december 2023 in het EU-Publicatieblad verschenen. Het voorstel voor de informatiebeveiligingsverordening is op dit moment nog niet aangenomen.
De cyberbeveiligingsverordening
De cyberbeveiligingsverordening bepaalt dat elke instelling, orgaan of instantie van de EU uiterlijk op 8 april 2025 een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s moet vaststellen (artikel 6). Vervolgens moet elke instelling, orgaan of instelling uiterlijk op 8 september 2025 passende en evenredige technische, operationele en organisatorische maatregelen nemen voor het beheer van de binnen het (interne) kader geïdentificeerde cyberbeveiligingsrisico’s (artikel 8).
De cyberbeveiligingsverordening voorziet daarnaast in voorschriften met betrekking tot de organisatie, het functioneren en de werking van de inter-institutionele raad voor cyberbeveiliging (artikel 10). De raad is onder meer verantwoordelijk voor het toezicht op de uitvoering van de cyberbeveiligingsverordening, en bestaat uit één vertegenwoordiger van elke instelling, orgaan of instantie van de EU die in artikel 10 lid 3 van de cyberbeveiligingsverordening wordt genoemd.
Verder bevat de cyberbeveiligingsverordening bepalingen met betrekking tot de organisatie, het functioneren en de werking van de cyberbeveiligingsdienst voor de instellingen, organen en instanties van de EU (CERT-EU). CERT-EU verzamelt, beheert, analyseert en deelt informatie met de instellingen, organen en instanties van de EU over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur (artikel 13).
Meer informatie: