Europa wordt dagelijks geconfronteerd met cyber- en hybride aanvallen op essentiële diensten en democratische instellingen, uitgevoerd door geavanceerde staats- en criminele groepen. De Europese Commissie heeft vandaag een nieuw cybersecuritypakket voorgesteld om de cyberweerbaarheid en -capaciteiten van de EU te versterken in het licht van deze toenemende bedreigingen.
Het pakket bevat een voorstel voor een herzien Cybersecuritywet, die de beveiliging van de informatietechnologie- en communicatiesystemen (ICT) in de EU versterkt. Het zorgt ervoor dat producten die EU-burgers bereiken, van meet af aan cyberveilig zijn via een eenvoudiger certificeringsproces. Het vergemakkelijkt ook de naleving van bestaande EU-cybersecurityregels en versterkt het EU-agentschap voor cyberbeveiliging (ENISA) in het ondersteunen van lidstaten en de EU bij het beheren van cyberdreigingen.
Versterking van de beveiliging van ICT-leveringsketens in de EU
De nieuwe Cybersecuritywet heeft tot doel de risicos in de ICT-leveringsketen van derde-landen met cybersecurityzorgen te verminderen. Het stelt een betrouwbaar beveiligingskader voor ICT-leveringsketens vast, gebaseerd op een geharmoniseerde, proportionele en risicogebaseerde aanpak. Dit stelt de EU en lidstaten in staat om gezamenlijk risicos te identificeren en te beperken in de 18 kritieke sectoren van de EU, met inachtneming van economische impact en marktaanbod.
Recente cyberbeveiligingsincidenten hebben de grote risicos benadrukt die worden veroorzaakt door kwetsbaarheden in ICT-leveringsketens, die essentieel zijn voor het functioneren van kritieke diensten en infrastructuur. In het huidige geopolitieke landschap gaat beveiliging van de leveringsketen niet alleen over technische product- of dienstbeveiliging, maar ook over risicos gerelateerd aan een leverancier, met name afhankelijkheden en buitenlandse inmenging.
De Cybersecuritywet maakt de verplichte risicobeperking van Europese mobiele telecommunicatienetwerken van hoog-risico leveranciers uit derde landen mogelijk, voortbouwend op het werk dat al is gedaan onder de 5G-beveiligingstoolbox.
Vereenvoudiging en verbetering van het Europese Cybersecurity Certificeringskader
De herziening van de Cybersecuritywet zorgt ervoor dat producten en diensten die EU-consumenten bereiken, efficiënter op beveiliging worden getest. Dit gebeurt via een vernieuwd Europees Cybersecurity Certificeringskader (ECCF). Het ECCF brengt meer duidelijkheid en eenvoudigere procedures, waardoor certificeringsschemas standaard binnen 12 maanden kunnen worden ontwikkeld. Het introduceert ook een meer flexibele en transparante governance om belanghebbenden beter te betrekken via openbare informatie en consultatie.
Certificeringsschemas, beheerd door ENISA, worden een praktisch, vrijwillig instrument voor bedrijven. Ze stellen bedrijven in staat om naleving van EU-wetgeving aan te tonen, waardoor lasten en kosten worden verminderd. Naast ICT-producten, diensten, processen en beheerde beveiligingsdiensten kunnen bedrijven en organisaties hun cyberhouding certificeren om aan marktvraag te voldoen. Uiteindelijk wordt het vernieuwde ECCF een concurrentievoordeel voor EU-bedrijven. Voor EU-burgers, bedrijven en overheden zorgt het voor een hoog beveiligingsniveau en vertrouwen in complexe ICT-leveringsketens.
Vereenvoudiging van naleving van cybersecurityregels
Het pakket introduceert maatregelen om naleving van EU-cybersecurityregels en risicobeheervereisten voor bedrijven die in de EU opereren te vereenvoudigen, als aanvulling op het single-entry point voor incidentmelding voorgesteld in de Digital Omnibus. Gerichte wijzigingen in de NIS2-richtlijn zijn bedoeld om juridische duidelijkheid te vergroten. Ze zullen naleving vergemakkelijken voor 28.700 bedrijven, waaronder 6.200 micro- en kleine ondernemingen. Ook wordt een nieuwe categorie van kleine midcap-ondernemingen geïntroduceerd om nalevingskosten voor 22.500 bedrijven te verlagen. De wijzigingen vereenvoudigen jurisdictieregels, stroomlijnen de verzameling van gegevens over ransomware-aanvallen en vergemakkelijken toezicht op grensoverschrijdende entiteiten met een versterkte coördinerende rol van ENISA.
Versterking van ENISA om de cyberweerbaarheid van Europa te vergroten
Sinds de invoering van de eerste Cybersecuritywet in 2019 is ENISA uitgegroeid tot een hoeksteen van het EU-cybersecurity-ecosysteem. De vandaag gepresenteerde herziening stelt ENISA in staat de EU en haar lidstaten te helpen de gemeenschappelijke dreigingen te begrijpen en zich voor te bereiden op en te reageren op cyberincidenten.
Het agentschap zal bedrijven en belanghebbenden die in de EU opereren verder ondersteunen door vroege waarschuwingen uit te geven over cyberdreigingen en incidenten. In samenwerking met Europol en Computer Security Incident Response Teams zal het bedrijven ondersteunen bij het reageren op en herstellen van ransomware-aanvallen. ENISA zal ook een unie-brede aanpak ontwikkelen voor betere kwetsbaarheidsbeheer-diensten voor belanghebbenden. Het zal het single-entry point voor incidentmelding uit de Digital Omnibus beheren.
ENISA blijft een sleutelrol spelen in het verder opbouwen van een gekwalificeerde cybersecurity-arbeidsmarkt in Europa. Dit doet het door het pilootproject Cybersecurity Skills Academy en het opzetten van EU-brede attesteringsschemas voor cybersecurityvaardigheden.
Vervolgstappen
De Cybersecuritywet zal onmiddellijk van kracht zijn na goedkeuring door het Europees Parlement en de Raad van de EU. De bijbehorende wijzigingen van de NIS2-richtlijn zullen ook ter goedkeuring worden voorgelegd. Na aanneming hebben lidstaten één jaar om de richtlijn in nationale wetgeving om te zetten en de relevante teksten aan de Commissie te communiceren.