1.3 Informatieveiligheid

Links: EU Cybersecurity Strategy (2020)

Context

Op 16 december 2020 publiceerde de Europese Commissie een nieuwe EU cybersecurity strategie gepubliceerd, bedoeld om het wereldwijde en open internet te waarborgen en daarnaast de veiligheid te garanderen op een manier die Europese waarden en de grondrechten van Europese burgers beschermt. De strategie richt zich op de drie gebieden: (1) de weerbaarheid, technologische soevereiniteit en leiderschap, (2) de operationele capaciteit om te voorkomen en te antwoorden op cyberaanvallen, en (3) de bevordering van een open wereldwijde cyberspace door (internationale) samenwerking.

Op 22 maart 2021 heeft de Raad van de EU conclusies aangenomen over de EU-strategie inzake cyberbeveiliging voor het digitale decennium. De Raad wijst op een aantal actiegebieden voor de komende jaren zoals plannen voor een netwerk van operationele beveiligingscentra in de hele EU, de oprichting van een gezamenlijke cybereenheid, een EU-toolbox voor 5G, de behoefte aan normen voor internetbeveiliging en de ontwikkeling van sterke versleuteling om de grondrechten te beschermen.

Stand van zaken

• Inmiddels is het Europees cyberdefensiebeleid voor beveiligings- en verdedigingstechnologieën (2021) gerealiseerd, zoals aangekondigd door de voorzitter van de Commissie Ursula von der Leyen. Het EU-beleid inzake cyberdefensie is opgebouwd rond vier pijlers die een breed scala aan initiatieven omvatten die de EU en de lidstaten zullen helpen cyberaanvallen beter op te sporen, af te schrikken en zich ertegen te verdedigen.
• Op 9 maart 2022 hebben de Europese regeringen een verklaring aangenomen om de cyberbeveiligingscapaciteiten van de EU te versterken, onder meer door een nieuw fonds op te richten en de EU-financiering ter ondersteuning van de nationale inspanningen te verhogen.
• Op 22 maart 2022 heeft de Commissie een verordening voorgesteld om gemeenschappelijke cyberbeveiligingsmaatregelen vast te stellen voor alle instellingen, organen en instanties van de Europese Unie.
• Op 15 september 2022 heeft de Commissie een wetgevingsvoorstel ingediend met de naam “EU Cyber Resilience Act”.
• Op 18 oktober 2022 heeft de Commissie in haar werkprogramma 2023 een niet-wetgevend initiatief aangekondigd om in het derde kwartaal van 2023 een academie voor e-vaardigheden op het gebied van cyberbeveiliging op te richten.

Link(s): herziening Cybersecurity Act (2023);  Cybersecurity Act (2019); Report assessing the consistency of the approaches in the identification of operators of essential services (2019)

Context

De EU-cyberveiligheidsverordening (Cybersecurity Act), sinds 2019 van toepassing, vernieuwt en versterkt het EU-agentschap voor netwerk- en informatiebeveiliging (ENISA) en stelt een EU-breed certificeringskader voor cybersecurity vast voor digitale producten, diensten en processen. De EU-cyberbeveiligingswet verleent het agentschap een permanent mandaat, meer middelen en nieuwe taken. ENISA speelt met name een sleutelrol bij het opzetten en onderhouden van het Europese certificeringskader voor cyberbeveiliging door de technische basis te leggen voor specifieke certificeringsregelingen en het publiek te informeren over de certificeringsregelingen en de afgegeven certificaten via een speciale website. ENISA heeft ook de opdracht om de operationele samenwerking op EU-niveau te versterken, de EU-lidstaten die het agentschap vragen om cybersecurityincidenten te behandelen, te helpen en de coördinatie van de EU in geval van grootschalige grensoverschrijdende cyberaanvallen en -crises te ondersteunen.

Doormiddel van het gemeenschappelijk kader voor cybersecurity-certificering, een belangrijk onderdeel van de Cybersecurity Act,  zullen producten zich aan bepaalde cyberveiligheidsnormen moeten voldoen en aanspraak kunnen maken via een one-stop-shop voor cyberbeveiligingscertificering. Het kader zorgt ervoor dat in de eerste stadia van het technisch ontwerp en de ontwikkeling van producten beveiligingskenmerken worden opgenomen (beveiliging door ontwerp). Het aanvragen van certificering door bedrijven voor hun producten en/of diensten is echter niet verplicht maar in beginsel op vrijwillige basis.

Stand van zaken

Op 18 april 2023 presenteerde de Europese Commissie een nieuw cyberpakket, bestaande uit een voorstel voor de wet cybersolidariteit (Cyber Solidarity Act), een voorstel voor een wijziging van de cyberbeveiligingswet en een voorstel voor een academie voor cyberbeveiligingsvaardigheden.

De wijziging van de cyberbeveiligingswet richt zich specifiek op de toekomstige Europese certificeringsregelingen voor beheerde beveiligingsdiensten – zeer kritieke en gevoelige diensten die worden verleend door aanbieders van cyberbeveiligingsdiensten. Certificering is onder meer belangrijk in de context van de richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS2), mede vanwege de grensoverschrijdende verlening van digitale diensten.

Link(s): Wet cyberweerbaarheid (2022)

Context

Op 15 september 2022 heeft de Commissie een voorstel voor de Wet cyberweerbaarheid (CRA) gepresenteerd, die verplichte cyberbeveiligingseisen invoert voor producten met digitale elementen. Het voorstel heeft betrekking op een breed scala aan apparaten – het omvat alle producten die direct of indirect verbonden zijn met een ander apparaat of netwerk, inclusief hardware, software en nevendiensten. Het verplicht fabrikanten, importeurs en distributeurs van deze producten tot zorgplicht gedurende de gehele levenscyclus.

Het voorstel beoogt een betere bescherming van consumenten door fabrikanten meer verantwoordelijkheid te geven. Het wil hen verplichten beveiligingsondersteuning en software-updates te bieden om vastgestelde kwetsbaarheden aan te pakken terwijl men informatie verstrekt aan de consument over de cyberbeveiliging van producten die zij kopen en gebruiken. De wet zou voorzien in één pakket regels voor cyberbeveiliging voor bedrijven in de EU, het aantal cyberbeveiligingsincidenten verminderen, de transparantie en het vertrouwen van consumenten in producten met digitale elementen vergroten en een betere bescherming van hun gegevens en privacy garanderen. Regels inzake markttoezicht en handhaving, die zouden worden uitgevoerd door aangewezen markttoezichtautoriteiten.

Stand van zaken

Op 4 mei 2023 deelde rapporteur Nicola Danti (Renew/ Italië) namens de verantwoordelijke Parlementaire commissie voor industrie, onderzoek en energie (ITRE) haar ontwerpverslag, bestaande uit meer dan 500 amendementen op het voorstel. Een deel hiervan werd toegewijd aan de implementatieprovisie van 40 maanden voor fabrikanten om zich aan te passen aan de verordening. De ITRE-commissie zal het ontwerpverslag bespreken en de mogelijkheid hebben om amendementen in te dienen voor een compromis.

Naar verwachting zal het Europees Parlement op 19 juli 2023 haar standpunt aannemen omtrent het voorstel.

Gezien de juridische aard van het voorstel (verordening), zal de wet direct van toepassing zijn zodra de medewetgevers een akkoord hebben bereikt.

Link(s):  NIS 2-Richtlijn (2022); Voorstel herziening NIS-Richtlijn (2020); NIS-Richtlijn (2016) 

Context

Vanaf 16 januari 2023 is de herziening van de Wet netwerk- en informatiebeveiliging (NIS 2- Richtlijn) in werking getreden, waardoor lidstaten 24 maanden de tijd hebben om de richtlijn om te zetten in nationale wetgeving. De richtlijn is een herziening van de NIS-richtlijn (richtlijn 2016/1148) uit 2016, waarmee het algemene niveau van cybersecurity in de EU werd verhoogt, onder meer door samenwerking tussen lidstaten te versterken. Wegens de digitalisering ontstonden er echter tekortkoming aan de NIS-richtlijn, waardoor de herziening het toepassingsgebied heeft uitgebreid en zowel strengere toezichtsmaatregelen als handhavingsvoorwaarden bevat. Openbare aanbieders van elektronische communicatie, afvalwater -en afvalbeheer, levensmiddelen, ruimtevaart, post -en koeriersdiensten, openbaar bestuur, de vervaardiging van kritieke producten (geneesmiddelen, medische hulpmiddelen en chemische stoffen) en digitale diensten (platforms voor sociale netwerkdiensten en datacenterdiensten) dienen zich aan de nieuwe regels te houden.

Achtergrond

De herziening vormt een aanvulling op de herziende Richtlijn inzake de veerkracht van kritieke entiteiten en houdt rekening met sectorspecifieke wetgeving die erop gericht is de veerkracht van publieke en private entiteiten tegen bedreigingen te vergroten, zoals de Wet inzake digitale operationele veerkracht voor de financiële sector (DORA) of de Europese code voor elektronische communicatie (EECC).

Context

De Europese Commissie zet zich in voor de cyberbeveiliging van 5G-netwerken. Zo verzocht de Commissie het Europees cyberveiligheidsagentschap (ENISA) in 2021 verder te gaan met de voorbereiding van een nieuwe EU-brede certificeringsregeling voor cyberbeveiliging van 5G (EU5G). Deze inzet draagt bij aan de aanpak van bepaalde risico’s, als onderdeel van een bredere risicobeperkingsstrategie, doormiddel van een ad hoc EU5G werkgroep en de implementatie van de uitvoering van het certificeringskader via de Europese Groep voor cyberbeveiligingscertificering (ECCG).

Achtergrond

In 2019 publiceerde de Europese Commissie een aanbeveling over de cyberbeveiliging van 5G-netwerken, bedoelt om lidstaten in staat te stellen de cyberbeveiligingsrisico’s voor 5G-netwerken op nationaal niveau te beoordelen en de nodige beveiligingsmaatregelen te nemen. Daarnaast adviseerde de Raad van de EU de ‘toolbox’ (2020) voor 5G-cyberveiligheid optimaal te benutten om cyberrisico’s te minimaliseren. Zo werden lidstaten onder meer opgeroepen om beveiligingsvereisten en risicobeheermethoden te actualisering, publieke netwerken middels machtigingen beter te beveiligingen, en andere preventieve maatregelen te nemen om potentiële cyberbeveiligingsrisico’s te beperken.

Link(s): cyberpakket (2023), wet cybersolidariteit  (2023)

Context

Op 18 april 2023 heeft de Europese Commissie een nieuw cyberpakket gepresenteerd, bestaande uit een voorstel voor de wet cybersolidariteit (Cyber Solidarity Act), een voorstel voor een wijziging van de cyberbeveiligingswet (zie 1.3.) en een voorstel voor een academie voor cyberbeveiligingsvaardigheden (zie 1.4).

Europese Ministers onder leiding van het Franse voorzitterschap van de Raad van de EU verzochten de Europese Commissie al in maart 2022 om de voorgestelde wet cybersolidariteit op te stellen. Zo stelden de Ministers voor om een cyberbeveiligingsnoodfonds op te richten om vetrouwde cyberbeveiligingsbedrijven in te schakelen wanneer er cyberincidenten plaatsvinden. De Wet cybersolidariteit bouwt voort op dit gedachtegoed door de capaciteit van lidstaten inzake het omgaan met grootschalige cyberaanvallen te vergroten en een wettelijk kader inzake de toewijzing van financieringen op te stellen. Het voorstel beoogt de ondersteunende opsporingsinfrastructuur tot stand te brengen en een ‘cyberreserve’ van vertrouwde particuliere aanbieders aan te leggen. Europese beveiligingsgiganten zoals Atos, Thales, WithSecure en BitDefender zijn de meest waarschijnlijke kandidaten. De financiering voor het Cybersolidariteitsinitiatief is afkomstig uit het programma Digitaal Europa.

Link(s): kindermisbruik verordening (2022)

Context

Op 11 mei 2022 presenteerde de Europese Commissie haar voorstel ter bestrijding van seksueel misbruik van kinderen (CSAM). CSAM is een actie voortvloeiend uit een mededeling van juli 2020 over een EU-strategie voor een effectievere bestrijding van seksueel misbruik van kinderen. Het voorstel tracht  permanente regels vast te stellen, waaronder verplichte maatregelen voor relevante onlinedienstenaanbieders om seksueel misbruik van kinderen op te sporen, te melden en de desbetreffende inhoud te verwijderen. Het is de bedoeling seksueel misbruik van kinderen terug te dringen, slachtoffers beter te identificeren en te beschermen, de lidstaten te ondersteunen in hun strijd tegen seksueel misbruik van kinderen en te zorgen voor doeltreffende preventie, onderzoek en vervolging van seksueel misbruik van kinderen. Ook de oprichting van een Europees centrum ter voorkoming en bestrijding van seksueel misbruik van kinderen wordt overwogen.

Stand van zaken

Momenteel is de verantwoordelijke parlementaire commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE), met Javier Zarzalejos (EVP, Spanje) als rapporteur, bezig met het opstellen van het verslag. Op 30 mei verspreidde Zarzalejos de ingestuurde amendementen. De Groenen willen het mogelijke scannen van berichten op seksueel misbruik van kinderen in een ontwerp van EU-wet strenger beperken. Zo stellen ze voor om ondermijnende encryptie en methoden als client-side scanning (software die inhoud op een apparaat controleert voordat deze wordt versleuteld) expliciet uit te sluiten. Daarnaast willen ze bepalingen schrappen voor app stores of messaging apps om de leeftijd van gebruikers te verifiëren. Europarlementariër Hilde Vautmans (Renew/België) benadrukte dat haar amendementen erop gericht zijn bestaande en nieuwe beelden van misbruik en kinderlokkerij doeltreffend aan te pakken en tegelijkertijd voldoende waarborgen voor de grondrechten te bieden. Naar verwachting zal LIBE op 21 september stemmen over het verslag.

Link(s): anti-geweld tegen vrouwen (2022)

Context

Op 8 maart 2022 presenteerde de Europese Commissie een voorstel ter bestrijding van geweld tegen vrouwen en huiselijk geweld. Het voorstel maakt deel uit van de gendergelijkheid strategie en is gericht op een alomvattende EU aanpak om gendergerelateerd geweld te voorkomen. Bovendien wil het slachtoffers beter beschermen. De nieuwe regels zullen een reeks handelingen strafbaar stellen, waaronder cybergeweld. Onder cybergeweld wordt verstaan het zonder toestemming delen van intieme beelden, evenals cyber­stalking, cyber­intimidatie en het online aanzetten tot geweld of haat. Het initiatief houdt ook verband met het Verdrag van de Raad van Europa inzake de voorkoming en bestrijding van geweld tegen vrouwen en huiselijk geweld (“het Verdrag van Istanbul”). Afhankelijk van het resultaat van de onderhandelingen over de toetreding van de EU tot het Verdrag zal het voorstel ofwel het Verdrag ten uitvoer leggen, ofwel de rechten en verplichtingen uit hoofde van het Verdrag op een alternatieve manier ten uitvoer leggen.

In het Europees Parlement delen de Parlementaire commissie voor vrouwenrechten en gendergelijkheid (FEMM) en de Parlementaire commissie voor burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) verantwoordelijkheid over het dossier.

Stand van zaken

Op 9 juni 2023 heeft het Zweeds voorzitterschap haar algemene oriëntatie over het voorstel aangenomen. Ondertussen wordt het voorstel binnen de verantwoordelijke Parlementaire commissies FEMM en LIBE besproken. Naar verwachting zullen de commissies het verslag op 28 juni 2023 aangenomen, waarna ook het Europees Parlement haar standpunt kan bepalen.