Zoeken

Webcontent zoeken

Op deze pagina:

  • Inleiding
  • Cyberbeveiliging bij essentiële en belangrijke entiteiten
  • Cyberbeveiliging en informatiebeveiliging bij de instellingen, organen en instanties van de EU
  • Cyberweerbaarheid van digitale producten
  • Cybersolidariteit
  • Academie voor cyberbeveiligingsvaardigheden

Inleiding

Op 16 december 2020 presenteerden de Europese Commissie en de Hoge Vertegenwoordiger de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk. De strategie vormt een cruciaal aspect van het veiligheidsbeleid van de EU. In de strategie zijn diverse voorstellen gedaan om de cyberbeveiliging binnen de EU te verbeteren. In dit ECER-dossier wordt ingegaan op de EU-wetgeving en voorstellen op het terrein van cyberbeveiliging. 

Cyberbeveiliging algemeen

Verordening 2019/881 (hierna: de cyberbeveiligingsverordening) voorziet in de uitbreiding van de bevoegdheden van het EU-agentschap voor cyberbeveiliging (ENISA) en een kader voor de vaststelling van (vrijwillige) Europese cyberbeveiligingscertificeringsregelingen om daarmee een toereikend niveau van cyberbeveiliging van ICT-producten, -diensten en -processen te waarborgen. Voor meer informatie over de EU-cyberbeveiligingsverordening kunt u terecht op deze ECER-pagina

  • ECER-bericht - Europese Cybersecurity Act van kracht (2 juli 2019)

Cyberbeveiliging (bij essentiële en belangrijke entiteiten)

De cyberbeveiligingsrichtlijn (richtlijn 2022/2555) - ook wel de NIS 2-richtlijn genoemd - bepaalt dat de EU-lidstaten een nationale strategie voor cyberbeveiliging moeten vaststellen (artikel 7) en bevoegde nationale autoriteiten, centrale contactpunten en computer security incident response teams moeten aanwijzen (artikelen 8 en 10). Daarnaast moeten de EU-lidstaten op grond van de richtlijn verplichtingen inzake risicobeheer en rapportage op het gebied van cyberbeveiliging vaststellen voor essentiële entiteiten en belangrijke entiteiten (artikelen 21 en 23). De essentiële entiteiten worden genoemd in bijlage I bij de richtlijn (sectoren als energie, bankwezen, gezondheidszorg en drinkwater), en de belangrijke entiteiten in bijlage II bij de richtlijn (sectoren als afvalbeheer en post- en koeriersdiensten). Daarnaast moeten de EU-lidstaten verplichtingen inzake het delen van informatie op het gebied van cyberbeveiliging vaststellen (artikel 29). De richtlijn moet uiterlijk op 17 oktober 2024 door de EU-lidstaten zijn omgezet in hun nationale recht, en de bepalingen moeten vanaf 18 oktober 2024 worden toegepast (artikel 41)

  • ECER-bericht - Sterkere cyberbeveiliging in de EU door nieuwe cyberbeveiligingsrichtlijn (5 januari 2023)
  • ECER-bericht - Europees Parlement en Raad bereiken politiek akkoord over cybersecurity richtlijn (17 mei 2022)

Cyberbeveiliging en informatiebeveiliging bij de instellingen, organen en instanties van de EU

Cyberbeveiliging

Op 22 maart 2022 heeft de Europese Commissie een verordening voorgesteld die betrekking heeft op de cyberbeveiliging binnen de instellingen, organen en instanties van de EU (zie hier het voorstel). De voorgestelde verordening bevat maatregelen ter waarborging van een hoog gezamenlijk niveau van cyberbeveiliging. De instellingen, organen en instanties van de EU moeten een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico's opzetten. Daarnaast voorziet de voorgestelde verordening in de oprichting van een Interinstitutionele Raad voor cyberbeveiliging, die verantwoordelijk is voor het toezicht op de uitvoering van de verordening door de instellingen, organen en instanties van de EU. 

Informatiebeveiliging

Eveneens op 22 maart 2022 heeft de Commissie een verordening voorgesteld die betrekking heeft op de informatiebeveiliging bij de instellingen, organen en instanties van de EU (zie hier het voorstel). De voorgestelde verordening zal van toepassing zijn op alle informatie die door de instellingen, organen en instanties van de EU wordt verwerkt of opgeslagen. De voorgestelde verordening voorziet in de oprichting van een inter-institutionele coördinatiegroep voor informatiebeveiliging. Die groep moet de samenwerking tussen de instellingen, organen en instanties van de EU op het gebied van informatiebeveiliging verbeteren. 

Daarnaast voorziet de voorgestelde verordening in drie categorieën van niet-gerubriceerde gegevens: voor het publiek bestemde gegevens, normale gegevens en gevoelige niet-gerubriceerde gegevens. Alle categorieën zijn gedefinieerd en de voorwaarden voor de bescherming van dergelijke informatie zijn in de voorgestelde verordening vastgesteld. De voorgestelde verordening bevat verder ook voorschriften inzake de bescherming van gerubriceerde EU-informatie (EUCI). De gerubriceerde informatie is onderverdeeld in vier niveaus: EU top secret, EU secret, EU confidential en EU restricted. 

  • ECER-bericht - Nieuwe wetgevingsvoorstellen voor betere cyber- en informatiebeveiliging binnen EU-instellingen, organen en instanties (23 maart 2022). We 

Cyberweerbaarheid van digitale producten

Hardware- en softwareproducten (digitale producten) worden steeds vaker getroffen door geslaagde cyberaanvallen. Deze producten kampen met twee grote problemen die de gebruikers op kosten jagen. In de eerste plaats een laag niveau van cyberbeveiliging, onder meer als gevolg van een ontoereikende en inconsistente verstrekking van beveiligingsupdates om kwetsbaarheden te verhelpen. En in de tweede plaats onvoldoende inzicht in en toegang tot informatie voor gebruikers, waardoor zij geen producten met adequate cyberbeveiligingseigenschappen kunnen kiezen of deze niet op een veilige manier kunnen gebruiken. De meeste hardware- en softwareproducten vallen op dit moment niet onder EU-wetgeving die hun cyberbeveiliging aanpakt. Daarom presenteerde de Europese Commissie op 15 september 2022 een voorstel voor een verordening inzake cyberweerbaarheid. 

De voorgestelde verordening zal van toepassing zijn op alle producten met digitale elementen waarvan het beoogde en redelijkerwijs voorzienbare gebruik een direct of indirecte logische of fysieke dataverbinding met een apparaat of netwerk omvat. De voorgestelde verordening bevat regels voor het in de handel brengen van producten met digitale elementen (digitale producten) om de cyberbeveiliging van dergelijke producten te waarborgen. Daarnaast bevat de voorgestelde verordening essentiële eisen voor het ontwerp, de ontwikkeling en de productie van digitale producten. Verder bevat de voorgestelde verordening essentiële eisen voor de procedures die fabrikanten volgen om kwetsbaarheden aan te pakken, om de cyberbeveiliging van digitale producten gedurende de gehele levenscyclus te kunnen waarborgen. Tenslotte voorziet de voorgestelde verordening in regels met betrekking tot toezicht en handhaving. 

  • ECER-bericht - Europese Commissie presenteert nieuwe EU-cyberbeveiligingsregels voor beter beveiligde hardware en software (22 september 2023)

Cybersolidariteit

Op 18 april 2023 heeft de Europese Commissie een voorstel voor een cybersolidariteitsverordening gepresenteerd. De voorgestelde verordening bevat maatregelen ter versterking van de capaciteit in de EU om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren. In de eerste plaats voorziet de voorgestelde verordening in de invoering van een Europees cyberschild. Het zou bestaan uit nationale centra voor veiligheidsoperaties en grensoverschrijdende centra voor beveiligingsoperaties. Het doel is om gemeenschappelijke detectie- en situationele bewustmakingscapaciteiten op te bouwen en te verbeteren. 

In de tweede plaats voorziet de voorgestelde verordening in de instelling van een cybernoodmechanisme om de EU-lidstaten te ondersteunen bij het voorbereiden op, reageren op en onmiddelijk herstellen van ernstige en grootschalige cyberbeveiligingsincidenten. Tenslotte bepaalt de voorgestelde verordening dat er een Europees mechanisme voor incidenten op het gebied van cyberbeveiliging moet worden ingesteld. Dit mechanisme moet worden gebruikt om grootschalige incidenten te evalueren en te beoordelen. 

  • ECER-bericht - Europese Commissie presenteert een voorstel voor een Cybersolidariteitsverordening (20 april 2023)

Academie voor cyberbeveiligingsvaardigheden

Op 18 april 2023 heeft de Europese Commissie een mededeling gepubliceerd, waarin zij haar initiatief voor een Academie voor cyberbeveiligingsvaardigheden heeft aangekondigd. De Raad heeft het initiatief van de Commissie onderschreven (zie de Conclusies van de Raad over het cyberdefensiebeleid van de EU, punt 28). De Academie zal bestaande initiatieven op het gebied van cyberbeveiligingsvaardigheden samenbrengen en de coördinatie verbeteren. De Europese Commissie moedigt de EU-lidstaten, regionale en lokale overheden en Europese overheidsinstanties aan om specifieke strategieëen of initiatieven op het gebied van cyberbeveiligingsvaardigheden vast te stellen of cyberbeveiligingsvaardigheden te integreren in relevante strategieën of initiatieven met een breder toepassingsgebied (bv. digitale vaardigheden of werkgelegenheid).