Meer documenten
Commissie versterkt veerkracht en capaciteiten op het gebied van cyberbeveiliging in de EU
Europa wordt dagelijks geconfronteerd met cyber- en hybride aanvallen op essentiële diensten en democratische instellingen, uitgevoerd door geavanceerde staats- en criminele groepen. De Europese Commissie heeft vandaag een nieuw cyberbeveiligingspakket voorgesteld om de veerkracht en capaciteiten van de EU op het gebied van cyberbeveiliging in het licht van deze toenemende dreigingen verder te versterken.
Het pakket omvat een voorstel voor een herziene cyberbeveiligingsverordening, die de veiligheid van de toeleveringsketens van de EU op het gebied van informatie- en communicatietechnologie (ICT) verbetert. Het zorgt ervoor dat producten die EU-burgers bereiken door middel van een eenvoudiger certificeringsproces cyberbeveiligd zijn door ontwerp. Het vergemakkelijkt ook de naleving van de bestaande EU-regels inzake cyberbeveiliging en versterkt het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) bij het ondersteunen van de lidstaten en de EU bij het beheer van cyberbeveiligingsdreigingen.
Versterking van de veiligheid van ICT-toeleveringsketens in de EU
De nieuwe cyberbeveiligingsverordening heeft tot doel de risico's van leveranciers uit derde landen met bezorgdheid over cyberbeveiliging in de ICT-toeleveringsketen van de EU te verminderen. Het voorziet in een betrouwbaar kader voor de beveiliging van de ICT-toeleveringsketen op basis van een geharmoniseerde, evenredige en risicogebaseerde aanpak. Dit zal de EU en de lidstaten in staat stellen gezamenlijk risico's in de 18 kritieke sectoren van de EU vast te stellen en te beperken, waarbij ook rekening wordt gehouden met de economische gevolgen en het marktaanbod.
Recente cyberbeveiligingsincidenten hebben de grote risico's van kwetsbaarheden in de ICT-toeleveringsketens aan het licht gebracht, die essentieel zijn voor de werking van kritieke diensten en infrastructuur. In het huidige geopolitieke landschap gaat de beveiliging van de toeleveringsketen niet langer alleen over technische product- of dienstenbeveiliging, maar ook over risico's die verbonden zijn aan een leverancier, met name afhankelijkheden en buitenlandse inmenging.
De cyberbeveiligingsverordening zal het mogelijk maken de risico's van Europese mobiele telecommunicatienetwerken voor leveranciers uit derde landen met een hoog risico verplicht te verminderen, voortbouwend op de werkzaamheden die reeds zijn uitgevoerd in het kader van de toolbox voor 5G-beveiliging.
Vereenvoudiging en versterking van het Europees kader voor cyberbeveiligingscertificering
De herziene cyberbeveiligingsverordening zal ervoor zorgen dat producten en diensten die consumenten in de EU bereiken, efficiënter op veiligheid worden getest. Dit zal gebeuren door middel van een vernieuwd Europees kader voor cyberbeveiligingscertificering (ECCF). Het ECCF zal zorgen voor meer duidelijkheid en eenvoudigere procedures, waardoor certificeringsregelingen standaard binnen twaalf maanden kunnen worden ontwikkeld. Het zal ook zorgen voor een flexibelere en transparantere governance om belanghebbenden beter te betrekken door middel van voorlichting en raadpleging van het publiek.
Certificeringsregelingen, die door Enisa worden beheerd, zullen een praktisch, vrijwillig instrument voor bedrijven worden. Zij zullen bedrijven in staat stellen aan te tonen dat zij de EU-wetgeving naleven, waardoor de lasten en kosten worden verminderd. Naast ICT-producten, -diensten, -processen en -beheerde beveiligingsdiensten kunnen bedrijven en organisaties hun cybergedrag certificeren om aan de behoeften van de markt te voldoen. Uiteindelijk zal het vernieuwde ECCF een concurrentievoordeel zijn voor EU-bedrijven. Voor EU-burgers, bedrijven en overheden zal dit zorgen voor een hoog niveau van veiligheid en vertrouwen in complexe ICT-toeleveringsketens.
Vergemakkelijken van de naleving van de regels inzake cyberbeveiliging
Het pakket bevat maatregelen om de naleving van de EU-regels inzake cyberbeveiliging en de vereisten inzake risicobeheer voor bedrijven die in de EU actief zijn, te vereenvoudigen, ter aanvulling van het centrale toegangspunt voor de melding van incidenten dat in de digitale omnibus wordt voorgesteld. Doelgerichte wijzigingen van de NIS2-richtlijn hebben tot doel de juridische duidelijkheid te vergroten. Ze zullen de naleving voor 28.700 bedrijven vergemakkelijken, waaronder 6.200 micro- en kleine ondernemingen. Ze zullen ook een nieuwe categorie kleine midcap-ondernemingen introduceren om de nalevingskosten voor 22.500 bedrijven te verlagen. De wijzigingen zullen de bevoegdheidsregels vereenvoudigen, de verzameling van gegevens over ransomware-aanvallen stroomlijnen en het toezicht op grensoverschrijdende entiteiten met de versterkte coördinerende rol van Enisa vergemakkelijken.
Enisa versterken om de veerkracht van Europa op het gebied van cyberbeveiliging te vergroten
Sinds de vaststelling van de eerste cyberbeveiligingsverordening in 2019 is Enisa uitgegroeid tot een hoeksteen van het cyberbeveiligingsecosysteem van de EU. De vandaag gepresenteerde herziene cyberbeveiligingsverordening stelt Enisa in staat de EU en haar lidstaten te helpen de gemeenschappelijke dreigingen te begrijpen. Het stelt hen ook in staat om cyberincidenten voor te bereiden en erop te reageren.
Het agentschap zal bedrijven en belanghebbenden die in de EU actief zijn, verder ondersteunen door vroegtijdige waarschuwingen te geven over cyberdreigingen en -incidenten. In samenwerking met Europol en Computer Security Incident Response Teams zal het bedrijven ondersteunen bij het reageren op en herstellen van ransomware-aanvallen. Enisa zal ook een aanpak van de Unie ontwikkelen om belanghebbenden betere diensten voor het beheer van kwetsbaarheden te bieden. Zij zal het in de digitale omnibus voorgestelde centrale toegangspunt voor de melding van incidenten exploiteren.
Enisa zal een sleutelrol blijven spelen bij de verdere opbouw van geschoolde cyberbeveiligingswerkers in Europa. Zij zal dit doen door de academie voor cyberbeveiligingsvaardigheden te testen en EU-brede regelingen voor de attestering van cyberbeveiligingsvaardigheden op te zetten.
Volgende stappen
De cyberbeveiligingsverordening zal onmiddellijk na goedkeuring door het Europees Parlement en de Raad van de EU van toepassing zijn. De begeleidende wijzigingen van de NIS2-richtlijn zullen ook ter goedkeuring worden voorgelegd. Na goedkeuring hebben de lidstaten één jaar de tijd om de richtlijn in nationaal recht om te zetten en de desbetreffende teksten aan de Commissie mee te delen.