DUO

Cybersecurity

Last Updated on February 19, 2021

Context

Cybersecurity is een van de meest vooraanstaande prioriteiten van de nieuwe Europese Commissie. Met name door geopolitieke dreigingen en een immer digitaliserende samenleving is weerbaarheid tegen digitale dreigingen en bescherming van persoonsgegevens belangrijker dan ooit. De Raad van de EU heeft onlangs (juli 2020) voor het eerst sancties opgelegd tegen cyberaanvallen. De Europese Commissie voorziet tijdens de komende 5 jaren voorstellen te doen die de EU weerbaarder maken en de controlerende instellingen meer tanden geven.

1.1.1.   Cybersecuritystrategie

Stand van zaken

Op 16 december 2020 heeft de Europese Commissie een nieuwe EU cybersecurity strategie gepubliceerd. De nieuwe strategie heeft als doel om het wereldwijde en open internet te waarborgen en daarnaast de veiligheid te garanderen op een manier die Europese waarden en de grondrechten van Europese burgers beschermt. De strategie richt zich op de volgende drie gebieden:

  1. Weerbaarheid, technologische soevereiniteit en leiderschap

Onder deze noemer wordt de NIS-richtlijn herzien, wat ervoor moet zorgen dat netwerken en informatiesystemen beter beveiligd worden. Dit moet gaan gelden voor o.a. ziekenhuizen, energienetten, spoorwegen, datacentra, overheden en onderzoekslabs. De Commissie stelt daarnaast voor om een netwerk van Security Operations Centres op te zetten door de hele EU welke met behulp van kunstmatige intelligentie een ‘cyberveiligheidsschild’ moet vormen tegen cyberaanvallen.

  1. Operationele capaciteit om te voorkomen en te antwoorden op cyberaanvallen

De Europese Commissie is samen met lidstaten een Joint Cyber Unit aan het voorbereiden, welke tot doel heeft om de samenwerking tussen EU-organen en autoriteiten in lidstaten, verantwoordelijk voor het voorkomen en beantwoorden van cyberaanvallen, te versterken. De Hoge Vertegenwoordiger stelt tevens maatregelen voor om het instrumentarium voor cyberdiplomatie uit te breiden, waaronder de mogelijkheid om via een gekwalificeerde meerderheid in de Raad van de EU sancties op te leggen in het geval van cyberaanvallen.  Daarnaast zal de Europese Commissie samenwerking op het gebied van cyberveiligheid verbeteren, voortbouwend op het werk van het Europese Defensieagentschap en door gebruik te maken van het Europese Defensiefonds.

  1. Bevordering van een open wereldwijde cyberspace door samenwerking

De EU wil zich internationaal extra gaan inzetten voor het bevorderen van een wereldorde die gefundeerd is op regels van internationale veiligheid en stabiliteit in de cyberspace. De Verenigde Naties en de NAVO zijn fora waarop de EU de norm wil zetten voor internationale cyberveiligheid, maar het zal ook een EU Cyber Diplomacy Network opzetten met derde landen om de Europese visie op cyberspace internationaal vooruit te brengen. Daarnaast zal de EU komen met een agenda gericht op externe cybercapaciteitsversterking.

In het kader van het nieuwe Meerjarig Financieel Kader 2021-2027 en het €750 miljard herstelfonds zal de EU verder fors investeren in het versterken van cybersecurity via programma’s als Digital Europe en Horizon Europe.

Vervolgstappen

De Europese Commissie gaan de acties uit de strategie in de komende maanden implementeren en zullen regelmatig verslag uitbrengen van de geboekte progressie. Daarnaast is het nu aan het Europees Parlement en de Raad van de EU om de voorgestelde herziening van de NIS-richtlijn en de nieuwe richtlijn inzake de weerbaarheid van kritieke entiteiten goed te keuren.

1.1.2.   Cybersecurity Act (Verordening 2019/881)

Link(s): Cybersecurity Act (2019); Report assessing the consistency of the approaches in the identification of operators of essential services (2019)

Stand van zaken

In December 2018 zijn het Europees Parlement, de Raad en de Europese Commissie het eens geworden over de cyberveiligheidsverordening. De EU-cyberveiligheidsverordening (Cybersecurity Act), welke in werking is getreden op 27 juni 2019, vernieuwt en versterkt het EU-agentschap voor cybersecurity (ENISA) en stelt een EU-breed certificeringskader voor cybersecurity vast voor digitale producten, diensten en processen.

ENISA, het EU-agentschap voor cyberbeveiliging, is nu sterker. De EU-cyberbeveiligingswet verleent het agentschap een permanent mandaat (het vorige mandaat zou in 2020 verlopen), meer middelen en nieuwe taken. Het ENISA zal met name een sleutelrol spelen bij het opzetten en onderhouden van het Europese certificeringskader voor cyberbeveiliging door de technische basis te leggen voor specifieke certificeringsregelingen en het publiek te informeren over de certificeringsregelingen en de afgegeven certificaten via een speciale website. ENISA heeft ook de opdracht om de operationele samenwerking op EU-niveau te versterken, de EU-lidstaten die het agentschap vragen om cybersecurityincidenten te behandelen, te helpen en de coördinatie van de EU in geval van grootschalige grensoverschrijdende cyberaanvallen en -crises te ondersteunen.

Onderdeel van de Cybersecurity Act is het gemeenschappelijk kader voor cybersecurity-certificering. Het kader moet ervoor zorgen dat producten in de EU aan de cyberveiligheidsnormen voldoen, omdat op dit moment in EU-lidstaten verschillende beveiligingscertificeringsregeling voor ICT-producten gelden. Het kader voor certificering zal een one-stop-shop voor cyberbeveiligingscertificering zijn. De totstandkoming van dergelijk kader voor cyberbeveiligingscertificering zorgt ervoor dat in de eerste stadia van het technisch ontwerp en de technische ontwikkeling van producten beveiligingskenmerken worden opgenomen (beveiliging door ontwerp). Het kader stelt de gebruikers ook in staat om het niveau van beveiliging vast te stellen en zorgt ervoor dat deze beveiligingskenmerken onafhankelijk worden geverifieerd. Echter, het stelt geen verplichting in voor het bedrijfsleven, het aanvragen van certificering door bedrijven voor hun producten en/of diensten gebeurt in beginsel op vrijwillige basis.

De Commissie heeft een rapport gepubliceerd waarin wordt beoordeeld hoe EU-lidstaten openbare en particuliere organisaties hebben geïdentificeerd die cyberveiligheidsmaatregelen moeten nemen en belangrijke cyberincidenten moeten melden. Deze organisaties zijn vaak actief op cruciale gebieden van de economie en de samenleving, zoals vervoer, energie, financiële infrastructuur en meer, en moeten bijzonder veerkrachtig zijn tegen cyberaanvallen.

1.1.3.   NIS-Directive (Richtlijn 2016/1148)

Stand van zaken

De huidige NIS-richtlijn (richtlijn 2016/1148) voorziet het algemene niveau van cybersecurity in de EU te verhogen. De NIS-richtlijn is in sinds oktober 2018 in werking getreden op nationaal niveau. In Nederland is de NIS beter bekend als de Wet beveiliging netwerk- en informatiebeveiliging. De NIS beoogt vooral om samenwerking te versterken tussen lidstaten op cybervlak en informatieveiligheidsverplichtingen op de leggen om cruciale diensten te beschermen. Deze verplichtingen zijn met name relevant voor aanbieders van essentiële diensten.

Op 16 december 2020 heeft de Europese Commissie in het kader van de nieuwe cybersecurity strategie een herziening van de NIS-richtlijn voorgesteld (NIS 2). De herziening moet de tekortkomingen van de huidge richtlijn, die ontstaan door voortschrijdende digitalisering, aanpakken. Het voorstel voor de herziende richtlijn heeft een uitgebreid toepassingsgebied, waarbinnen o.a. het onderscheid tussen operators van essentiële diensten en digitale dienstenaanbieders wordt verwijderd. Daarnaast introduceert de herziening strengere toezichtsmaatregelen en handhavingsvoorwaarden.

Vervolgstappen

Het Europees Parlement en de Raad van de EU zullen zich moeten beraden op het voorstel van de Europese Commissie. Na een akkoord tussen de medewetgevers zal de richtlijn binnen 18 maanden door de lidstaten moeten worden omgezet in nationale wetgeving. De Europese Commissie zal de richtlijn regelmatig herzien.

1.1.4.   Kritieke infrastructuur

Stand van zaken

Op 16 december 2020 heeft de Europese Commissie in het kader van de nieuwe cybersecurity strategie een herziening voorgesteld van de in 2008 gepubliceerde richtlijn inzake kritieke infrastructuur, welke nu de richtlijn inzake de veerkracht van kritieke entiteiten gaat heten. In de herziene richtlijn zullen tien nieuwe sectoren worden opgenomen: energie, transport, bankenwereld, financiële markteninfrastructuur, gezondheid, drinkwater, afvalswater, digitale infrastructuur, overheden en ruimte. Onder de herziende richtlijn zullen de lidstaten nationale strategieën aannemen om de veerkracht van kritieke entiteiten de garanderen en zij zullen daarnaast regelmatig risicobeoordelingen uitvoeren. De Europese Commissie zal in ondersteunende rol spelen door de ontwikkeling van overzichten van grensoverschrijdende risico’s, best practices, methodologieën, grensoverschrijdende trainingsactiviteiten en oefeningen om de veerkracht van kritieke entiteiten te testen.

Vervolgstappen

Het Europees Parlement en de Raad van de EU zullen zich moeten uitspreken over de herziening van de richtlijn. Na een akkoord tussen de medewetgevers zal de richtlijn binnen 18 maanden door de lidstaten moeten worden omgezet in nationale wetgeving.

1.3.5 Publicaties ENISA

Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) heeft in februari 2020 een rapport gepubliceerd over standaardisatie in de EU Cybersecurity Act. Het onderzoek gaat in op de waarde van de cybersecurity standaardisatie-inspanningen voor certificering, de rol van organisaties die standaarden ontwikkelen, en bespreekt verschillende manieren waarop standaardisatie de ontwikkeling van certificatieschema’s efficiënt kan ondersteunen.

ENISA heeft op 6 maart 2020 als reactie op het verzoek van de Europese Commissie voor een cybersecuritycertificeringsregeling voor clouddiensten een speciale werkgroep opgezet. Deze ad-hoc werkgroep die bestaat uit 20 vertegenwoordigers van belanghebbenden uit de private en publieke sector gaat ENISA adviseren.

In april 2020 publiceerde ENISA een studie over de bestaande benaderingen voor de ontwikkeling en het onderhoud van veilige software. De aandacht van de studie gaat met name uit naar aspecten die in het kader van het EU-certificeringskader voor cybersecurity in overweging moeten worden genomen.

ENISA heeft in april 2020 haar CSIRT-opleidingsmateriaal geactualiseerd om de bijscholing van de CSIRT-teams te verbeteren. Het doel van deze nieuwe opleiding is om aan te passen aan nieuwe technologieën in een snel veranderend domein. Daarnaast zal het geactualiseerde materiaal de operationele vaardigheden en capaciteiten van de CSIRT’s van de lidstaten helpen versterken.

ENISA heeft in juni 2020 een nieuw verslag gepubliceerd over het proactief opsporen van netwerkbeveilingsincidenten. Zoals voorzien in de NIS-richtlijn en de Europese Cybersecurity Act krijgt ENISA de taak om CSIRT’s en lidstaten bij te staan bij het verbeteren van de preventie, detectie en capaciteit om te reageren op cyberdreigingen en -incidenten door het ter beschikking stellen van kennis.

1.1.5.   COVID-19

De Europees Toezichthouder Gegevensbescherming, Wojciech Wiewiórowski, heeft in april 2020 opgeroepen een Europese mobiele applicatie te ontwikkelen om COVID-19 te bestrijden. De applicatie zou moeten dienen voor het traceren van bijvoorbeeld contacten die een besmet persoon heeft gehad. De ontwikkeling van dergelijke Europese applicaties dienen echter wel in lijn te zijn met de AVG.

De European Data Protection Board ontwikkelt richtsnoeren betreft het gebruik van locatiegegevens en anonimisering van gegevens, verwerking van gezondheidsgegevens voor wetenschappelijke doeleinden en de verwerking van gegevens door technologieën die worden gebruikt voor werken op afstand prioriteit geven. Zo wil het haar bijdrage leveren aan de bestrijding van het Coronavirus.

1.1.6.   PROTECTIVE

In het kader van een EU-initiatief, genaamd PROTECTIVE, is een oplossing ontwikkeld om het bewustzijn van een organisatie ten aanzien van digitale beveiligingsrisico’s voor de bedrijfsvoering te verbeteren. Lees hier over de uitkomst van dit Horizon 2020 project. In dit kader zal de Europese Commissie ook een herzien ePrivacy-voorstel presenteren. Zo maakte Thierry Breton, Commissaris voor Interne Markt, bekend in december 2019, nadat besprekingen niet leidden tot een akkoord tussen de lidstaten. Het voorstel moet leiden tot een consensus tussen de EU-landen over de ePrivacy-verordening, die inhoudt dat techbedrijven die chat- en e-maildiensten aanbieden, aan dezelfde privacyregels worden onderworpen als telecommunicatieaanbieders.

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.