Nieuwe EU-cyberbeveiligingsstrategie en nieuwe regels om fysieke en digitale kritieke entiteiten veerkrachtiger te maken - Vragen en antwoorden

Met dank overgenomen van Europese Commissie (EC) i, gepubliceerd op woensdag 16 december 2020.

Inhoudsopgave

  • EU-cyberbeveiligingsstrategie voor het digitaal decennium

Wat houdt de nieuwe cyberbeveiligingsstrategie van de EU in?

De nieuwe cyberbeveiligingsstrategie moet zorgen voor een wereldwijd en open internet door alle instrumenten en middelen die de veiligheid waarborgen en de Europese waarden en de grondrechten van iedereen beschermen, te benutten en te verruimen.

Wat is er nieuw aan deze cyberbeveiligingsstrategie?

De strategische initiatieven omvatten:

  • een EU-breed cyberschild, bestaande uit veiligheidsoperatiecentra (SOC's) die met behulp van kunstmatige intelligentie en machinaal leren dreigende cyberaanvallen in een vroeg stadium ontdekken en die ingrijpen voordat er schade wordt toegebracht
  • een gezamenlijke cybereenheid die als knooppunt voor alle cyberbeveiligingsgemeenschappen dient zodat dreigingen kunnen worden doorgegeven en collectief kan worden gereageerd op incidenten en dreigingen
  • Europese oplossingen voor het verbeteren van de internetbeveiliging wereldwijd, zoals een DNS Resolver Service van de EU
  • regelgeving om een internet van veilige dingen te waarborgen
  • een krachtigere EU-toolbox voor cyberdiplomatie om cyberaanvallen te voorkomen, te ontmoedigen en onschadelijk te maken
  • Versterkte samenwerking op het gebied van cyberdefensie door de herziening van het beleidskader voor cyberdefensie
  • een actieprogramma van de Verenigde Naties voor de veiligheid van de internationale cyberruimte
  • meer en intensiever overleg over cyberbeveiliging met andere landen en regionale en internationale organisaties, waaronder de NAVO
  • een EU-agenda voor de opbouw van externe cybercapaciteit en een interinstitutionele raad die de cybercapaciteitsopbouw van de EU doeltreffender en efficiënter moet maken

Wat houdt dat "cyberschild" in?

De EU heeft een flexibel instrument nodig om cyberaanvallen te ontdekken en onschadelijk te maken.

Momenteel helpen centra voor informatie-uitwisseling en analyse (ISAC's) de betrokkenen in het bedrijfsleven en bij de overheid om informatie over bedreigingen uit te wisselen.. Maar we moeten netwerken en computersystemen permanent bewaken om inbraken en anomalieën meteen te ontdekken.

Veel particuliere bedrijven, overheidsorganisaties en nationale autoriteiten laten dit door veiligheidsoperatiecentra doen.

Dit is een zeer veeleisend werk dat snel moet gebeuren en daarom zijn kunstmatige intelligentie en machinaal leren hierbij onmisbare hulpmiddelen voor de deskundigen.

De Commissie stelt voor een netwerk van veiligheidsoperatiecentra in de hele EU op te zetten en hulp te bieden bij de verbetering van bestaande centra en de oprichting van nieuwe. Zij zal ook de opleiding en de ontwikkeling van vaardigheden van de medewerkers van deze centra ondersteunen. Dat netwerk van uitkijkposten moet autoriteiten en andere betrokkenen, waaronder de gezamenlijke cybereenheid, tijdig waarschuwen voor cyberbeveiligingsincidenten.

Wat is de gezamenlijke cybereenheid en waarom hebben we die nodig?

De Commissievoorzitter heeft in haar politieke richtsnoeren van 2019 opgeroepen tot de vorming van een gezamenlijke cybereenheid.

Die moet de gaten in de bestaande samenwerking tussen EU-instanties en nationale autoriteiten dichten en die samenwerking een stevige impuls geven, zodat de verschillende cybergemeenschappen grote grensoverschrijdende cyberincidenten of -dreigingen samen kunnen aanpakken.

De eenheid moet fungeren als platform voor samenwerking voor civiele, diplomatieke, militaire en rechtshandhavingsinstanties op het gebied van cyberbeveiliging.

Daarnaast moet zij een centraal doorgeefluik worden voor informatie over dreigingen voor de gehele cyberbeveiligingsgemeenschap.

De Commissie is vastbesloten om de middelen en capaciteit voor cyberbeveiliging op EU-niveau te verhogen om gelijke tred te houden met de toenemende dreiging, en deze extra middelen te gebruiken voor activiteiten van de gezamenlijke cybereenheid.

Hoeveel geld wordt er in cyberbeveiliging geïnvesteerd?

Het meerjarig financieel kader 2021-2027 voorziet in een EU-budget voor cyberbeveiliging in het kader van het programma Digitaal Europa en voor cyberbeveiligingsonderzoek onder Horizon Europa. De nadruk wordt gelegd op steun voor kleine en middelgrote ondernemingen. In totaal zou het om 2 miljard euro gaan, investeringen van de lidstaten en de industrie niet meegeteld.

De investeringen in de volledige toeleveringsketen voor digitale technologie zouden minstens 20% moeten bedragen van de 672,5 miljard euro aan subsidies en leningen van de faciliteit voor herstel en veerkracht (134,5 miljard euro).

Het Europees Defensiefonds (EDF) zal een bijdrage leveren aan Europese cyberdefensieoplossingen.

Hoe ziet de bijdrage van de EU aan een wereldwijde, open, stabiele en veilige cyberruimte eruit?

De EU gaat meer doen om de op regels gebaseerde wereldorde te versterken, de internationale veiligheid en stabiliteit in de cyberruimte te bevorderen, en de mensenrechten en fundamentele vrijheden online te beschermen.

Zij zal haar steun verbinden aan internationale normen en standaarden die deze kernwaarden van de EU weerspiegelen, door samen te werken met haar internationale partners in de Verenigde Naties en andere relevante fora.

Daarnaast zal zij de EU-toolbox voor cyberdiplomatie uitbouwen en de cybercapaciteit in partnerlanden verhogen door een EU-agenda voor de opbouw van externe cybercapaciteit te ontwikkelen.

Zij zal ook het overleg met andere landen, regionale en internationale organisaties en de multistakeholdergemeenschap over cyberveiligheid intensiveren.

  • Voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie ("NIS 2")

Waarom komt de Commissie met een voorstel voor een nieuwe richtlijn cyberbeveiliging (NIS 2)?

Door de digitale transformatie van de samenleving, die tijdens de coronacrisis nog sterk is toegenomen, is het dreigingslandschap weidser geworden. Dit brengt nieuwe uitdagingen mee, waarvoor aangepaste en innovatieve oplossingen nodig zijn.

Om de impact te analyseren en na te gaan op welke punten de huidige richtlijn tekortschiet, heeft de Commissie een uitgebreide raadpleging gehouden, met als voornaamste conclusies: 1) Het EU-bedrijfsleven is niet weerbaar genoeg voor cyberdreigingen. 2) De weerbaarheid is ongelijk verdeeld over verschillende lidstaten en sectoren. 3) Er is te weinig gemeenschappelijk inzicht in de belangrijkste dreigingen en uitdagingen in de lidstaten en geen gezamenlijke crisisrespons.

Wat zijn de hoofdpunten van het Commissievoorstel?

Het nieuwe voorstel van de Commissie moet de tekortkomingen van de vorige richtlijn cyberbeveiliging ondervangen.

De Commissie wil het toepassingsgebied uitbreiden. Er komen nieuwe sectoren bij die belangrijk zijn voor de economie en de samenleving. Er komt ook een duidelijk groottecriterium: alle middelgrote en grote ondernemingen in de betrokken sectoren vallen onder de richtlijn. Maar het voorstel biedt de lidstaten voldoende speelruimte om kleinere organisaties met een hoog veiligheidsrisicoprofiel in het toepassingsgebied op te nemen.

Het schrapt het onderscheid tussen aanbieders van essentiële diensten en digitale dienstverleners.

Ook worden de beveiligings- en rapportagevereisten voor bedrijven aangescherpt en gestroomlijnd.

Bovendien wil de Commissie de beveiliging van toeleveringsketens en leveranciersrelaties verbeteren. Op Europees niveau beoogt het voorstel een betere cyberbeveiliging van de toeleveringsketen voor essentiële informatie- en communicatietechnologieën. De lidstaten kunnen in samenwerking met de Commissie en Enisa, het Agentschap van de Europese Unie voor cyberbeveiliging, gecoördineerde risicobeoordelingen van kritieke toeleveringsketens verrichten, naar het model van de succesvolle aanpak in het kader van de aanbeveling van de Commissie inzake cyberbeveiliging van 5G-netwerken.

Het voorstel zet ook in op scherper toezicht door nationale autoriteiten, strengere handhaving en harmonisatie van de sancties in de lidstaten.

Het vergroot bovendien de rol van de samenwerkingsgroep en verruimt de informatie-uitwisseling en de samenwerking tussen de autoriteiten van de lidstaten.

Op welke sectoren en soorten entiteiten heeft het voorstel van de Commissie betrekking?

Het voorstel van de Commissie heeft betrekking op de volgende sectoren en subsectoren:

  • Essentiële sectoren: energie (elektriciteit, stadsverwarming en -koeling, olie, gas en waterstof), vervoer (door de lucht, per spoor, over water en over de weg), bankwezen, infrastructuur van de financiële markten, gezondheid, farmaceutische producten (waaronder vaccins) en kritieke medische apparatuur, drinkwater, afvalwater, digitale infrastructuur (internetknooppunten), DNS-providers, TLD-registry's, cloudcomputingdiensten, datacentrumdiensten, inhoudaanbieders, vertrouwensdiensten, openbare elektronische-communicatienetwerken en -diensten, overheidsdiensten en ruimtevaart
  • Belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische stoffen, voedselvoorziening, productie van andere medische apparatuur, computers en elektronica, machines en motorvoertuigen, en online-aanbieders (marktplaatsen, zoekmachines en sociale netwerken).

Wat zijn de volgende stappen?

Over het voorstel zal nog worden onderhandeld door de wetgevers, d.w.z. de Raad van de Europese Unie en het Europees Parlement. Zodra er overeenstemming is en het voorstel is goedgekeurd, moeten de lidstaten NIS 2 binnen 18 maanden na de inwerkingtreding ervan in nationaal recht omzetten. De Commissie moet de richtlijn regelmatig evalueren en erover verslag uitbrengen vanaf 54 maanden na de inwerkingtreding.

  • Verslag over de impact van de aanbeveling van de Commissie inzake 5G-cyberbeveiliging

Wat zijn de belangrijkste conclusies van de evaluatie van de aanbeveling van de Commissie?

Uit de evaluatie blijkt dat de lidstaten de coördinatie in EU-verband die door de aanbeveling van de Commissie van maart 2019 inzake cyberbeveiliging van 5G-netwerken is opgestart, zeer op prijs stellen en willen voortzetten. De toolbox voor 5G-cyberbeveiliging wordt gezien als een nuttig instrument met uitgebreide richtsnoeren op basis van de risico's en een objectieve aanpak.

Uit de evaluatie blijkt ook dat de meeste lidstaten sinds het voortgangsverslag van juli 2020 nog vooruitgang hebben geboekt bij de toepassing van de toolboxmaatregelen in hun land. Hoewel de nationale procedures nog lopen, zijn de meeste lidstaten goed op weg om deze in de komende maanden af te ronden. Maar niet alle lidstaten zijn hier even ver mee.

Hoe staat het met de uitvoering van de toolboxmaatregelen in de lidstaten?

Sinds het voortgangsverslag van juli 2020 hebben de meeste lidstaten nog vooruitgang geboekt bij de uitvoering van de verschillende maatregelen van de toolbox in hun land. Al met al denken bijna alle lidstaten medio 2021 klaar te zijn met de uitvoering. Er zijn wel nog enkele gebieden die bijzondere aandacht vragen en ook nog enkele lidstaten die geen duidelijke plannen voor bepaalde maatregelen hebben meegedeeld.

Resultaten:

  • In bijna alle lidstaten zijn de regelgevende bevoegdheden van de nationale autoriteiten verruimd.
  • De meeste lidstaten hebben de aan mobiele netwerkexploitanten gestelde eisen aangescherpt.
  • Bijna alle lidstaten hebben op basis van het risicoprofiel beperkingen ten aanzien van leveranciers doorgevoerd, voorgesteld of gepland . De afhankelijkheid van leveranciers met een hoog risicoprofiel zal daardoor in de komende jaren afnemen.
  • Diverse lidstaten hebben diversificatiemaatregelen getroffen.
  • In vijftien lidstaten worden buitenlandse directe investeringen (FDI) nu gescreend.

Wat zijn de volgende stappen in het EU-coördinatieproces voor 5G-cyberbeveiliging?

De Commissie vraagt de lidstaten nu om de belangrijkste toolboxmaatregelen tegen het tweede kwartaal van 2021 af te ronden en ervoor te zorgen dat de geconstateerde risico's voldoende en op gecoördineerde wijze worden beperkt. Zakendoen met leveranciers met een hoog risicoprofiel moet zo veel mogelijk worden beperkt en afhankelijkheid van deze leveranciers moet worden voorkomen.

Concrete acties:

  • de uitwisseling van informatie en beste praktijken met betrekking tot specifieke strategische en technische maatregelen en de geactualiseerde nationale risicobeoordelingen in het kader van de NIS-workflow voortzetten of intensiveren
  • toezicht houden op 5G-ontwikkelingen
  • gebruikmaken van de EU-financieringsmogelijkheden
  • een concreet actieplan opstellen en uitvoeren om de EU-invloed binnen normalisatie-instanties te vergroten
  • een kandidaat-certificeringsregeling opstellen voor essentiële 5G-componenten en -leveranciersprocessen
  • werken aan de veerkracht van de toeleveringsketen
  • investeren in onderzoeks- en innovatiecapaciteit
  • Voorstel voor een richtlijn betreffende de veerkracht van kritieke entiteiten

Wat is nieuw aan het voorstel van vandaag?

Infrastructuur, netwerken en exploitanten die essentiële diensten leveren, worden steeds meer met elkaar verbonden, wat betekent dat tekortkomingen in één bedrijf in één sector verstoringen kunnen veroorzaken in vele andere economische sectoren op de interne markt.

Het voorstel voor een richtlijn betreffende de veerkracht van kritieke entiteiten breidt het toepassingsgebied van de bestaande EU-regels voor kritieke infrastructuur uit. De nieuwe richtlijn heeft betrekking op tien sectoren, namelijk energie, vervoer, bankwezen, infrastructuur van de financiële markten, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur en ruimtevaart, terwijl de huidige richtlijn alleen voor energie en vervoer geldt.

Het voorstel introduceert ook nieuwe regels om de veerkracht van kritieke entiteiten te versterken:

  • De lidstaten moeten een nationale strategie ontwikkelen om de veerkracht van kritieke entiteiten te waarborgen en moeten regelmatig een risicobeoordeling verrichten.
  • Voor kritieke entiteiten zouden gemeenschappelijke rapportageverplichtingen gelden. Ze zouden ook risicobeoordelingen op entiteitsniveau moeten verrichten, incidenten moeten melden en hun veerkracht met technische en organisatorische maatregelen moeten waarborgen.
  • Een "groep voor de veerkracht van kritieke entiteiten", waarin uit de lidstaten en de Commissie vertegenwoordig zijn, moet dan die nationale strategieën evalueren en de samenwerking en uitwisseling van beste praktijken vergemakkelijken.
  • Een handhavingsmechanisme moet ervoor zorgen dat de regels worden nageleefd: De lidstaten zouden ervoor moeten zorgen dat de nationale autoriteiten alles in huis hebben om inspecties ter plaatse van kritieke entiteiten uit te voeren. De lidstaten zouden ook sancties moeten opleggen, mochten kritieke entiteiten zich niet aan de regels houden.
  • De Commissie zou de lidstaten en kritieke entiteiten aanvullende steun verlenen, bijvoorbeeld in de vorm van een overzicht op EU-niveau van grens- en sectoroverschrijdende risico's, beste praktijken, methodieken, grensoverschrijdende opleidingsactiviteiten en tests van de veerkracht van kritieke entiteiten.

Welke risico's zouden worden aangepakt?

Het voorstel dekt "alle risico's" ongeacht hun aard. Dat omvat alle natuurlijke en door de mens veroorzaakte risico's, zoals ongevallen, natuurrampen, vijandige dreigingen, waaronder terroristische aanslagen, noodsituaties op volksgezondheidsgebied, waaronder pandemieën zoals de huidige coronapandemie. Ook dat is anders dan voor de richtlijn kritieke infrastructuur, die in de eerste plaats gericht was op terrorisme.

Met welk soort verplichtingen krijgen de lidstaten te maken als het voorstel wordt goedgekeurd?

De lidstaten moeten dan een strategie ontwikkelen om de veerkracht van kritieke entiteiten te waarborgen, een risicobeoordeling voor alle risico's verrichten, en bevoegde autoriteiten en een nationaal contactpunt aanwijzen. Op basis van die risicobeoordeling zou elke lidstaat kritieke entiteiten in verschillende sectoren moeten aanwijzen. Er zijn ook enkele bepalingen die voor een betere Europese samenwerking moeten zorgen.

Met welk soort verplichtingen zouden de entiteiten zelf te maken krijgen?

Naast de nationale risicobeoordeling door de nationale autoriteiten zouden kritieke entiteiten ook een eigen risicobeoordeling moeten verrichten. Bij die beoordeling op entiteitsniveau zouden ze zowel met de nationale risicobeoordeling als met lokale omstandigheden en specifieke kenmerken rekening moeten houden. Op basis hiervan zouden zij technische en organisatorische maatregelen moeten treffen om hun veerkracht te vergroten. Zij zouden de bevoegde autoriteiten ook informatie moeten geven over incidenten en mogelijke incidenten.

Meer informatie

Persbericht: Nieuwe EU-cyberbeveiligingsstrategie en nieuwe regels om fysieke en digitale kritieke entiteiten veerkrachtiger te maken

Factsheet over de nieuwe EU-cyberbeveiligingsstrategie

Factsheet over het voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie ("NIS 2")

Factsheet over cyberbeveiliging: het externe optreden van de EU

Voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie ("NIS 2")

Voorstel voor een richtlijn betreffende de veerkracht van kritieke entiteiten (zie ook bijlage 1 bij het voorstel, en de effectbeoordeling en de samenvatting daarvan)

Europese veiligheidsunie

Resultaten van de openbare raadplegingen over netwerk- en informatiebeveiliging (NIS)

Effectbeoordeling van de herziene NIS-richtlijn ("NIS 2")

Meer over cyberbeveiliging

Meer over de richtlijn cyberbeveiliging (NIS)