Toespraak van uitvoerend vicevoorzitter Virkkunen over het Cybersecurity-pakket

Nu Europa steeds digitaler wordt, moeten we ervoor zorgen dat onze veiligheid ook in het cyberdomein gegarandeerd is.

We bevinden ons midden in hybride oorlogsvoering. Elke dag worden kritieke infrastructuren in Europa getroffen door cyberaanvallen.

Deze operaties omvatten spionage, positionering, ransomware en verstorende operaties.

Ze maken vaak deel uit van bredere hybride campagnes – gecombineerd met informatieoperaties of fysieke verstoringen zoals schendingen van ons luchtruim of sabotages van kritieke infrastructuur.

We hebben onze digitale beveiligingsomgeving beoordeeld en stellen updates voor onze cybersecuritywetgeving voor om ervoor te zorgen dat burgers, bedrijven en onze samenleving veilig blijven. Specifiek stellen we vandaag vier verbeteringen voor:

• Ten eerste door te zorgen voor een sterk EU-agentschap voor cybersecurity, ENISA; 
• Ten tweede door processen op te zetten voor het verminderen van risicos in onze ICT-leveringsketen, terwijl we de Europese kritieke infrastructuur versterken; 
• Ten derde door te zorgen voor een slank en efficiënt certificeringssysteem dat ervoor zorgt dat bedrijven die op de EU-markt opereren en onze consumenten erop kunnen vertrouwen dat de producten die ze gebruiken security by design zijn;
• En ten slotte, met het voorstel voor de richtlijn tot wijziging van de NIS2-richtlijn - het vereenvoudigen van de naleving van onze cybersecurityregels voor bedrijven.  

Met het voorstel van vandaag zorgen we ervoor dat het EU-agentschap voor cybersecurity, ENISA, is uitgerust om alle nieuwe taken uit te voeren die een veranderende veiligheidsomgeving weerspiegelen.

ENISA zal de lidstaten blijven ondersteunen in samenwerking met nationale cybersecurityagentschappen om onze gemeenschappelijke veiligheidsuitdagingen aan te pakken. ENISA zal dienen als:

• Een enkel toegangspunt voor incidentrapportage;
• Producent van vroege waarschuwingen voor cyberdreigingen; en
• Helpdesk in samenwerking met Europol en CSIRTs om bedrijven te ondersteunen bij het reageren op en herstellen van ransomware-aanvallen.
• ENISA zal ook de taak krijgen om een gemeenschappelijke capaciteit voor kwetsbaarheidsbeheer van de Unie te ontwikkelen en kwetsbaarheidsbeheerdiensten aan belanghebbenden te leveren.

Verder naar het tweede deel van ons voorstel. In de recent aangenomen gezamenlijke communicatie over het versterken van de economische veiligheid van de EU heeft de Commissie een aantal gebieden benadrukt waar afhankelijkheden van een enkele of een beperkt aantal leveranciers een aanzienlijk veiligheidsrisico kunnen vormen.

We maken van de 5G Cybersecurity Toolbox een verplichte aanpak om een gelijk speelveld en niet-fragmentatie van de EU-markt te waarborgen.

Samen met de lidstaten zullen we identificeren welke specifieke componenten in de ICT-leveringsketen van onze kritieke sectoren gerichte mitigerende maatregelen vereisen. We stellen een reeks mogelijke risicobeperkende maatregelen voor, waaronder beperkingen voor leveranciers met een hoog risico.

Enkele weken geleden hebben we belangrijke vereenvoudigingsmaatregelen voor cybersecurity voorgesteld onder de Digital Omnibus.

Ons voorstel omvatte een enkel toegangspunt voor incidentmeldingen. Met het Cybersecurity-pakket maken we het nog eenvoudiger om onze regels te implementeren en na te leven.  We stellen met name gerichte wijzigingen voor de NIS2-richtlijn voor om:

• Bepaalde aspecten met betrekking tot de reikwijdte en definities te verduidelijken. Dit zal de juridische duidelijkheid verbeteren en de nalevingslast voor bijna 30.000 bedrijven verminderen, waaronder meer dan 6.000 micro- en kleine ondernemingen;
• We hebben een nieuwe categorie van kleine mid-cap bedrijven geïntroduceerd die de nalevingskosten voor meer dan 22.000 bedrijven zal verlagen;
• Ten slotte willen we maatregelen toevoegen om de verzameling van gegevens over ransomware-aanvallen te stroomlijnen.

Wat certificering betreft, hebben we al een systeem, dat helaas niet de verwachte resultaten heeft opgeleverd.

We hebben een kader nodig dat dynamischer, eenvoudiger en efficiënter is. ENISA zal de certificeringsschemas beheren en ervoor zorgen dat de normen zo globaal mogelijk zijn.

Het vernieuwde Europese Cybersecurity Certificeringskader zal het potentieel van cybersecurity-certificering ontketenen en bijdragen aan het waarborgen dat producten en diensten security-by-design zijn.

Gebruikt als een nalevingsinstrument, zal de certificering een grote vereenvoudiging voor EU-bedrijven mogelijk maken om gemakkelijker aan de vereisten van de NIS 2-richtlijn te voldoen in de hele interne markt.

In de wereld van vandaag is alles gedigitaliseerd en is ons dagelijks leven afhankelijk van veilige en functionele informatienetwerken. Cybersecurity heeft aan belang gewonnen en is een integraal onderdeel geworden van onze alomvattende veiligheid.

We moeten ons uitrusten met robuuste en efficiënte cybersecurity-instrumenten die een naadloze samenwerking binnen de EU mogelijk maken. Want een cyberdreiging voor één lidstaat is een dreiging voor allen.