Op deze pagina:
Informatie en communicatietechnologie (ICT) ondersteunen complexe systemen die worden gebruikt voor dagelijkse activiteiten. ICT houdt belangrijke sectoren in de maatschappij draaiende. Meer digitalisering en onderlinge verwevenheid vergroten echter ook het ICT-risico, waardoor de maatschappij kwetsbaarder wordt voor cyberdreigingen en ICT-verstoringen. De Europese Unie heeft in het afgelopen decennia maatregelen genomen om de cyberbeveiliging en -weerbaarheid van entiteiten (in de EU) te verbeteren. Die maatregelen worden in dit ECER-dossier nader beschreven.
Naar boven
Verordening (EU) 2019/881 voorziet in bepalingen met betrekking tot ENISA, het EU-agentschap voor cyberbeveiliging. De verordening beschrijft het mandaat, de doelstellingen en de taken van ENISA (zie hoofdstuk I en II). Verder voorziet de verordening in bepalingen met betrekking tot de organisatie van ENISA (zie hoofdstuk III), de opstelling, de structuur en de uitvoering van de begroting van ENISA (zie hoofdstuk IV), en regels met betrekking tot het personeel van ENISA (hoofdstuk V).
Ook voorziet de verordening in een Europees kader voor cyberbeveiligingscertificering (zie titel III). Certificering bestaat uit de formele beoordeling van ICT-producten en diensten door een onafhankelijke en geaccrediteerde instantie aan de hand van een welomschreven reeks criterianormen en de afgifte van een conformiteitscertificaat. Door certificering kunnen klanten en gebruikers het beveiligingsniveau van producten en diensten bepalen. Verordening (EU) 2025/37 maakt het mogelijk om Europese cyberbeveiligingscertificeringsregelingen voor beheerde beveiligingsdiensten vast te stellen. Een beheerde beveiligingsdienst is een aan een derde verleende dienst die bestaat uit het uitvoeren van of het verlenen van bijstand voor activiteiten die verband houden met de beheersing van cyberbeveiligingsrisico’s, zoals incidentenbehandeling, penetratietesten, beveiligingsaudits en adviesdiensten, met inbegrip van deskundig advies in verband met technische ondersteuning.
Richtlijn (EU) 2022/2555 - de NIS2-richtlijn - is van toepassing op middelgrote en grote ondernemingen die actief zijn in (zeer) kritieke sectoren. Het gaat om sectoren als energie, vervoer, de gezondheidszorg en infrastructuur voor banken en financiële markten. Elke lidstaat moet op grond van de richtlijn beschikken over een nationale strategie voor het bereiken en het in stand houden van een hoog niveau van cyberbeveiliging in de kritieke sectoren (artikel 7).
Verordening (EU) 2023/2841 bepaalt dat elke instelling, orgaan of instantie van de EU uiterlijk op 8 april 2025 een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s moest vaststellen (artikel 6). Vervolgens moet elke instelling, orgaan of instelling uiterlijk op 8 september 2025 passende en evenredige technische, operationele en organisatorische maatregelen nemen voor het beheer van de binnen het (interne) kader geïdentificeerde cyberbeveiligingsrisico’s (artikel 8).
De verordening voorziet daarnaast in voorschriften met betrekking tot de organisatie, het functioneren en de werking van de inter-institutionele raad voor cyberbeveiliging (artikel 10). De raad is onder meer verantwoordelijk voor het toezicht op de uitvoering van de cyberbeveiligingsverordening, en bestaat uit één vertegenwoordiger van elke instelling, orgaan of instantie van de EU die in artikel 10 lid 3 van de verordening wordt genoemd.
Verder bevat de cyberbeveiligingsverordening bepalingen met betrekking tot de organisatie, het functioneren en de werking van de cyberbeveiligingsdienst voor de instellingen, organen en instanties van de EU (CERT-EU). CERT-EU verzamelt, beheert, analyseert en deelt informatie met de instellingen, organen en instanties van de EU over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur (artikel 13).
Verordening (EU) 2025/38 bevat maatregelen ter versterking van de capaciteit in de EU om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren. De verordening voorziet onder meer in de oprichting van een Europees waarschuwingssysteem voor cyberbeveiliging (artikel 3). Het doel van het waarschuwingssysteem is om gecoördineerde capaciteiten op het gebied van opsporing en situationeel bewustzijn op te bouwen, en de capaciteiten van de EU op het gebied van opsporing van dreigingen en informatiedeling te versterken.
De verordening voorziet ook in een noodmechanisme voor cyberbeveiliging (artikel 10). Het mechanisme kan lidstaten op hun verzoek ondersteunen bij de voorbereiding en respons op, het beperken van de gevolgen van en het initiëren van het herstel van significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten. Tenslotte bevat de verordening voorschriften inzake een Europees evaluatiemechanisme voor cyberbeveiligingsincidenten (artikel 21). Dat mechanisme is bedoeld om specifieke significante cyberbeveiligingsincidenten of grootschalige cyberbeveiligingsincidenten te evalueren en te beoordelen.
Verordening (EU) 2024/2847 bevat Europese cyberbeveiligingsvoorschriften voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware en software. Software en hardware worden voorzien van de CE-markering, om aan te geven dat ze voldoen aan deze voorschriften. De verordening geldt voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk (bijvoorbeeld slimme beveiligingscamera's, koelkasten en tv's), en is niet van toepassing op producten waarvoor al cyberbeveiligingsvereisten zijn vastgelegd in andere EU-regelgeving, zoals medische hulpmiddelen, producten voor de luchtvaart en auto's (zie artikel 2).
Verordening (EU) 2022/2554 bevat uniforme vereisten voor de beveiliging van netwerk- en informatiesystemen van bedrijven en organisaties die actief zijn in de financiële sector en van cruciale derde partijen die hen ICT-gerelateerde diensten verlenen, zoals cloudplatforms of gegevensanalyse. De verordening voorziet in een regelgevingskader voor digitale operationale veerkracht, wat inhoudt dat alle ondernemingen ervoor moeten zorgen dat zij bestand zijn tegen, kunnen reageren op en kunnen herstellen van alle soorten ICT-gerelateerde verstoringen en dreigingen. Het hoofddoel van de verordening is cyberdreigingen voorkomen en beperken.
Verordening (EU) 2021/887 bevat voorschriften met betrekking tot het Europees kenniscentrum voor cyberbeveiliging (het ECCC) en het netwerk van nationale coördinatiecentra. Het ECCC is gevestigd in Boekarest (Roemenië) en moet onder meer zorgen voor een betere coördinatie van onderzoek en innovatie op het gebied van cyberbeveiliging in de EU.
15-01-2025
De verordening cybersolidariteit roept EU-capaciteiten in het leven die Europa weerbaarder moeten maken tegen cyberdreigingen, onder meer door betere samenwerking. Ook voorziet de verordening cybersolidariteit in een ...
03-12-2024
De Europese Commissie heeft een schriftelijke aanmaning gestuurd naar in totaal 26 lidstaten, waaronder Nederland, omdat zij geen mededeling hebben gedaan van nationale maatregelen tot omzetting van richtlijnen waarvan de ...
20-11-2024
Op 20 november 2024 is in het EU-Publicatieblad een verordening verschenen over cyberbeveiligingsvereisten voor producten die digitale elementen bevatten. De verordening moet ervoor zorgen dat producten zoals slimme ...
