Nieuwe regels ter bevordering van de cyberbeveiliging van de EU-instellingen treden in werking
De nieuwe cyberbeveiligingsverordening met maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie is gisteren, 7 januari 2024, in werking getreden.
Bij de verordening worden maatregelen vastgesteld voor de instelling van een intern kader voor het beheer, de governance en de controle van cyberbeveiligingsrisico's voor elke entiteit van de Unie, en wordt een nieuwe interinstitutionele raad voor cyberbeveiliging (IICB) opgericht om de uitvoering ervan door entiteiten van de Unie te monitoren en te ondersteunen. Het voorziet in een uitgebreid mandaat van het computercrisisresponsteam voor de instellingen, organen en instanties van de EU (CERT-EU), als knooppunt voor inlichtingen over dreigingen, informatie-uitwisseling en coördinatie van de respons op incidenten, een centraal adviesorgaan en een dienstverlener. In overeenstemming met zijn mandaat wordt CERT-EU omgedoopt tot cyberbeveiligingsdienst voor de instellingen, organen en instanties van de Unie, maar behoudt het de korte naam „CERT-EU”.
Volgende stappen
Volgens het in de verordening vastgestelde tijdschema zullen de entiteiten van de Unie interne processen voor cyberbeveiligingsgovernance opzetten en geleidelijk specifieke maatregelen voor het beheer van cyberbeveiligingsrisico's invoeren waarin de verordening voorziet. De IICB zal zo spoedig mogelijk worden opgericht en operationeel worden, met als doel te zorgen voor de strategische sturing van CERT-EU in het kader van zijn uitgebreide mandaat, richtsnoeren en ondersteuning te bieden aan de entiteiten van de Unie en toezicht te houden op de uitvoering van de verordening.
Achtergrond
In zijn resolutie van maart 2021 benadrukte de Raad van de Europese Unie het belang van een robuust en consistent beveiligingskader om alle personeel, gegevens, communicatienetwerken en informatiesystemen evenals besluitvormingsprocessen van de EU te beschermen. In dit verband heeft de Commissie het voorstel voor de cyberbeveiligingsverordening in maart 2022 aangekondigd, en in juni 2023 bereikten het Europees Parlement en de Raad een politiek akkoord.
Deze verordening is in overeenstemming met de beleidsdoelstellingen van de Commissie zoals vastgesteld in de EU-strategie voor de veiligheidsunie en de EU-strategie inzake cyberbeveiliging, en zorgt voor samenhang met andere wetgevingsinitiatieven op dit gebied:
- De richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie („NIS 2”), waarmee deze wetgeving is afgestemd wat betreft beginselen en ambitieniveau, met inachtneming van de specifieke kenmerken van entiteiten van de Unie;
- De cyberbeveiligingsverordening;
- De aanbeveling van de Commissie inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises.
De cyberbeveiligingsverordening werd samen met een voorstel voor een verordening inzake informatiebeveiliging ingediend, waarin minimumregels en -normen voor informatiebeveiliging voor alle instellingen, organen en instanties van de EU worden vastgesteld. Dit voorstel is gericht op een veilige uitwisseling van informatie tussen de instellingen, organen en instanties van de EU en met de lidstaten, op basis van gestandaardiseerde praktijken en maatregelen ter bescherming van informatiestromen. De onderhandelingen tussen de medewetgevers over dit voorstel zijn nog niet van start gegaan.