De EU neemt maatregelen om cyberincidenten te voorkomen, op te sporen, erop te reageren en af te schrikken.
Tegenwoordig gebeurt een groot deel van ons leven online. Om ervoor te zorgen dat we daar veilig zijn, moeten we investeren in onze cyberbeveiliging: in onze vaardigheden, in experts, in beveiligde hardware, software en in de beveiliging van kritieke diensten (zoals transport, energie of financiën). We moeten zorgen voor een snelle uitwisseling van informatie tussen autoriteiten en instanties die cyberincidenten aanpakken, en we moeten onze cyberweerbaarheid vergroten.
Iedereen moet zijn digitale leven veilig kunnen leven. De Europese Commissie helpt dit te waarborgen door:
1. Verbetering van de beveiliging van entiteiten in een aantal kritieke sectoren en hardware- en softwareproducten, zoals verbonden zaken
2. Versterking van de collectieve capaciteiten om te reageren op grote cyberaanvallen
3. Samenwerken met partners over de hele wereld om internationale veiligheid en stabiliteit in cyberspace te waarborgen
De aanpak van de Commissie op het gebied van cyberbeveiliging is gebaseerd op vier beginselen:
1. Voorkomen
2. Detect
3. Reageren
4. Afschrikmiddel
1. Voorkomen
NIS2-richtlijn
De NIS 2-richtlijn helpt het algemene niveau van cyberbeveiliging in de EU te verhogen.
Het toepassingsgebied van de eerste NIB-richtlijn wordt uitgebreid tot een breder scala van exploitanten, waardoor de weerbaarheid en de responscapaciteit bij incidenten van openbare en particuliere entiteiten, bevoegde autoriteiten en de EU als geheel worden verbeterd.
Het is gericht op de opbouw van:
Een cultuur van veiligheid
Paraatheid van de lidstaten
Betere samenwerking tussen de lidstaten
De lidstaten moeten de richtlijn uiterlijk op 17 oktober 2024 omzetten.
Wet inzake cyberbeveiliging (certificering)
Creëert een Europees kader voor cyberbeveiligingscertificering
Versterkt Enisa, het EU-agentschap voor cyberbeveiliging
Aanvulling op de richtlijn inzake de beveiliging van netwerk- & -informatiesystemen (NIS-richtlijn)
Zonder een gemeenschappelijk kader voor EU-brede geldige cyberbeveiligingscertificaten bestaat er een toenemend risico op versnippering en belemmeringen tussen de lidstaten.
Het certificeringskader zal voorzien in EU-brede certificeringsregelingen.
Burgers krijgen transparantie over de beveiligingskenmerken van producten en diensten
Leveranciers en providers genieten van een concurrentievoordeel om te voldoen aan de groeiende behoefte aan veiligere digitale oplossingen
Wet cyberweerbaarheid
Elke 11 seconden is er een ransomware-aanval
Ransomware-aanvallen hebben de wereld in 2021 ongeveer 20 miljard euro gekost
10 miljoen DDoS-aanvallen wereldwijd gelanceerd in 2021
De EU pakt dit aan door de allereerste EU-brede wetgeving in zijn soort in te voeren, de wet inzake cyberweerbaarheid.
De cyberweerbaarheid introduceert verplichte cyberbeveiligingsvereisten voor hardware- en softwareproducten, gedurende hun hele levenscyclus.
Fabrikanten moeten:
Ervoor zorgen dat in alle fasen van hun producten rekening wordt gehouden met cyberbeveiliging
Duidelijke en begrijpelijke instructies geven voor het veilige gebruik van producten met digitale elementen
Ervoor zorgen dat kwetsbaarheden gedurende de ondersteuningsperiode doeltreffend worden aangepakt, met name door beveiligingsupdates aan gebruikers te verstrekken
Actief misbruikte kwetsbaarheden en incidenten melden
De verordening cyberweerbaarheid zal naar verwachting in de tweede helft van 2024 in werking treden en fabrikanten zullen uiterlijk in 2027 conforme producten in de Unie in de handel moeten brengen.
Paraatheid van het cybernoodmechanisme en het evaluatiemechanisme voor cyberbeveiligingsincidenten
Het evaluatiemechanisme voor cyberbeveiligingsincidenten maakt deel uit van de wet inzake cybersolidariteit.
- Beoordelen en beoordelen van een specifiek significant cyberbeveiligingsincident
- Verstrek een verslag met geleerde lessen en aanbevelingen
Dit zal door Enisa worden uitgevoerd op verzoek van de Commissie of EU-CyCLONe.
2. Detect
Wet inzake cybersolidariteit
De EU-verordening cybersolidariteit versterkt de solidariteit en gecoördineerde acties van de EU om toenemende cyberdreigingen en -incidenten op te sporen, voor te bereiden en doeltreffend aan te pakken.
Hoe dan?
Europees waarschuwingssysteem voor cyberbeveiliging
- Netwerk van nationale en grensoverschrijdende centra voor beveiligingsoperaties
- Opsporen en analyseren van gegevens en informatie over cyberdreigingen en -incidenten
- Tijdige waarschuwingen over de grenzen heen
3. Reageren
Beheer van cybercrises
EU-CyCLONe
Het Europees netwerk van verbindingsorganisaties voor cybercrises is een samenwerkingsnetwerk voor de nationale autoriteiten van de lidstaten die belast zijn met cybercrisisbeheersing. Het ondersteunt de samenwerking en helpt de lidstaten tijdig informatie uit te wisselen en zich bewust te worden van de situatie.
CSIRT-netwerk
Het netwerk van computerincidentresponsteams bestaat uit de CSIRT’s en CERT-EU’s van de lidstaten. Het is opgericht in 2016 en draagt bij tot het ontwikkelen van vertrouwen en het bevorderen van snelle en doeltreffende samenwerking tussen de lidstaten.
Mechanismen voor cybernoodgevallen
Onderdeel van de wet inzake cybersolidariteit, cybernoodmechanismen:
- Versterken van de paraatheid door entiteiten te testen die actief zijn in kritieke sectoren
- Bouwen van een EU-cyberbeveiligingsreserve met incidentresponsdiensten
- Financiële steun verlenen voor wederzijdse bijstand
4. Afschrikmiddel
Naast de maatregelen in de bovengenoemde wetgeving werkt de Commissie hard om cybercriminaliteit af te schrikken door middel van haar cyberdefensiebeleid en haar toolbox voor cyberdiplomatie.
Cyberdefensiebeleid
Het EU-beleid inzake cyberdefensie is opgebouwd rond vier pijlers die een breed scala aan initiatieven bestrijken die de EU en de lidstaten zullen helpen:
- Samen optreden voor een sterkere cyberdefensie in de EU
- Beveiligen van het defensie-ecosysteem van de EU
- Investeren in cyberdefensievermogens
- Partner om gemeenschappelijke uitdagingen aan te pakken
Toolbox voor cyberdiplomatie
De toolbox voor cyberdiplomatie werd in 2017 goedgekeurd. Het bevat maatregelen in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid van de EU die kunnen worden gebruikt tegen kwaadwillige cyberoperaties tegen lidstaten.
De toolbox werd aangevuld met de EU-strategie voor cyberbeveiliging 0f 2020, die onder meer tot doel heeft het leiderschap van de EU op het gebied van cyberbeveiliging te versterken.
In 2023 heeft de Raad herziene richtsnoeren voor de toolbox aangenomen als reactie op de toenemende verfijning van cyberaanvallen.
Steun voor cyberbeveiliging
Financiering
- Horizon Europa
- Programma Digitaal Europa
- Faciliteit voor herstel en veerkracht
Europees kenniscentrum voor cyberbeveiliging
Het Europees kenniscentrum voor cyberbeveiliging (ECCC) draagt bij tot de totstandbrenging van een EU-breed industrieel en onderzoeksecosysteem voor cyberbeveiliging. Het zal de beste manieren tonen om gebruik te maken van de bestaande middelen en expertise in heel Europa.
De vijf belangrijkste doelstellingen zijn:
- Bijdragen aan de uitrol van de nieuwste cyberbeveiligingstechnologie
- Financiële steun en technische bijstand verlenen aan start-ups op het gebied van cyberbeveiliging
- Onderzoek en innovatie ondersteunen op basis van een alomvattende agenda
- Stimuleer hoge cyberbeveiligingsnormen op het gebied van technologie, systemen en vaardigheden
- Vergemakkelijken van de samenwerking tussen civiele en defensiegebieden en versterken van synergieën met betrekking tot het Europees Defensiefonds
Het ECCC zal dit bereiken door:
Coördinatie
samenwerken met een netwerk van nationale coördinatiecentra om een sterke cyberveiligheidsgemeenschap op te bouwen
Investeringen
strategische investeringsbeslissingen nemen en middelen bundelen
UITVOERING
gebruikmakend van financiële steun uit Horizon Europa en het programma Digitaal Europa
Academie voor cyberbeveiligingsvaardigheden
76% van de werknemers in cybersecurity-gerelateerde functies heeft geen formele kwalificaties of gecertificeerde trainingen
56% van de bedrijven heeft geen vrouwen in cyberbeveiligingsrollen
45% van de bedrijven heeft moeite met het vinden van gekwalificeerde kandidaten
De academie voor cyberbeveiligingsvaardigheden heeft tot doel de bovenstaande kwesties en meer aan te pakken door bestaande initiatieven op het gebied van cybervaardigheden samen te brengen. De EU heeft dringend behoefte aan professionals met de vaardigheden en competenties om cyberaanvallen te voorkomen, op te sporen, af te schrikken en de EU te verdedigen tegen cyberaanvallen.
De academie bouwt voort op vier activiteitengebieden:
- Kennisgeneratie en trainingen
- Financiering en projecten
- Betrokkenheid van belanghebbenden
- Voortgang meten
De academie heeft drie hoofddoelen:
- De talentkloof op het gebied van cyberbeveiliging dichten
- Versterking van de cyberarbeidskrachten in de EU
- Versterking van het concurrentievermogen, de groei en de veerkracht van de EU
Enisa
Enisa is het Agentschap van de Europese Unie voor cyberbeveiliging. Het is gericht op het opbouwen van een hoog niveau van gemeenschappelijke cyberbeveiliging in de hele EU.
- Capaciteitsopbouw op het gebied van cyberbeveiliging
- Operationele samenwerking en crisisbeheersing
- Gecoördineerde openbaarmaking van kwetsbaarheden
- Marktgerelateerde taken
- Normalisatie en certificering op het gebied van cyberbeveiliging
- Beleidsontwikkeling en -uitvoering
Gerelateerde inhoud
Cyberbeveiliging
De EU heeft een cyberbeveiligingsstrategie uitgestippeld om Europa beter in staat te stellen...