EU-strategie inzake cyberbeveiliging voor het digitale decennium: Vragen en antwoorden

Nu is het tijd voor een nieuwe EU-visie en een nieuw plan voor cyberbeveiliging om drie redenen. Ten eerste worden steeds meer kritieke en essentiële diensten, evenals miljarden extra alledaagse voorwerpen in huis en in de maakindustrie, verbonden met internet. Aanvallen gericht op het exploiteren van kwetsbaarheden in deze producten en diensten nemen ook toe in aantal en nemen toe in complexiteit. De groene digitale transformatie is een topprioriteit voor de EU, en dit kan alleen succesvol zijn als veiligheid wordt geïntegreerd in alle geplande investeringen, anders zal er geen vertrouwen zijn in de technologie. Ten tweede is cyberspace de plaats van een geopolitieke wedstrijd en wordt het idee van een open wereldwijd internet en een internationaal kader voor het vaststellen van normen voortdurend uitgedaagd. Tot slot heeft de pandemie onze afhankelijkheid van deze digitale instrumenten en diensten versneld. De samenleving en de economie zullen niet terugkeren naar pre-lockdown-normen. Er zijn grote investeringen nodig op het gebied van cyberbeveiliging en om ervoor te zorgen dat Europa in dit opzicht strategisch autonoom is en een leidende rol speelt bij de ontwikkeling van veilige technologieën in de hele digitale toeleveringsketen.

In de strategie wordt beschreven hoe de EU al haar instrumenten en middelen kan inzetten en versterken om technologisch soeverein en strategisch autonoom te zijn. Ook wordt beschreven hoe de EU haar samenwerking met partners over de hele wereld die onze waarden van democratie, de rechtsstaat en mensenrechten delen, kan intensiveren. Deze strategische autonomie moet gebaseerd zijn op de veerkracht van alle verbonden diensten en producten. Alle vier cybergemeenschappen — die welke zich bezighouden met de interne markt, wetshandhaving, diplomatie en defensie — moeten nauwer samenwerken aan een gedeeld bewustzijn van bedreigingen. Bovendien moeten zij bereid zijn om collectief te reageren wanneer een aanval zich voordoet, zodat de EU sterker kan zijn dan de som der delen.

Er zijn een aantal nieuwe strategische initiatieven aangekondigd. Het gaat onder meer om een EU-breed cyberschild dat bestaat uit centra voor beveiligingsoperaties die AI en machinaal leren gebruiken om vroegtijdige signalen van dreigende cyberaanvallen op te sporen en maatregelen mogelijk te maken voordat schade wordt aangericht, een gezamenlijke cybereenheid die alle cyberbeveiligingsgemeenschappen samenbrengt om het bewustzijn van bedreigingen te delen en collectief te reageren op incidenten en bedreigingen, en Europese oplossingen om de internetbeveiliging wereldwijd te versterken, met inbegrip van een verordening inzake een openbare EU-domeinnaamsysteemoplosser om een internet van veilige dingen te waarborgen. De strategie introduceert meer en sterkere cyberdialogen met derde landen en regionale en internationale organisaties, waaronder de NAVO, een actieprogramma in de Verenigde Naties om de internationale veiligheid in de cyberruimte aan te pakken en een sterker EU-instrumentarium voor cyberdiplomatie om cyberaanvallen te voorkomen, af te schrikken en erop te reageren. En er komt een EU-agenda voor externe cybercapaciteitsopbouw en een interinstitutionele raad voor de opbouw van cybercapaciteitsopbouw van de EU om de doeltreffendheid en efficiëntie van de externe cybercapaciteitsopbouw van de EU te vergroten.

De EU heeft behoefte aan flexibele middelen om steeds complexere en frequentere cyberaanvallen op te sporen en af te wenden. Momenteel helpen informatie-uitwisselings- en analysecentra (ISAC's) belanghebbenden in het bedrijfsleven en overheidsinstanties bij de uitwisseling van informatie over bedreigingen. Maar we moeten voortdurend netwerken en computersystemen monitoren om indringers en anomalieën in realtime te detecteren. Veel particuliere bedrijven, overheidsorganisaties en nationale autoriteiten doen dit via centra voor beveiligingsoperaties. Dit is zeer veeleisend en snel werk, daarom kan AI, en met name machine learning-technieken, onschatbare ondersteuning bieden aan beoefenaars. De Commissie stelt voor een netwerk van centra voor beveiligingsoperaties in de hele EU op te zetten en de verbetering van bestaande centra en de oprichting van nieuwe centra te ondersteunen. Het zal de opleiding en de ontwikkeling van vaardigheden van het personeel dat deze centra exploiteert, ondersteunen. Dit netwerk zal autoriteiten en alle belanghebbenden, waaronder de gezamenlijke cybereenheid, tijdig waarschuwen over cyberbeveiligingsincidenten, als een netwerk van wachttorens.

Investeringen in de hele toeleveringsketen voor digitale technologie die bijdragen tot de digitale transitie of tot het aanpakken van de daaruit voortvloeiende uitdagingen, moeten ten minste 20 % — wat overeenkomt met 134,5 miljard EUR — bedragen van de herstel- en veerkrachtfaciliteit van 672,5 miljard EUR, bestaande uit subsidies en leningen. In het meerjarig financieel kader 2021-2027 is voorzien in EU-financiering voor cyberbeveiliging in het kader van het programma Digitaal Europa. Ondertussen is financiering voor cyberbeveiligingsonderzoek gepland in het kader van Horizon Europa, met bijzondere aandacht voor steun voor kmo’s. In totaal zou dit kunnen oplopen tot 2 miljard euro, plus investeringen van de lidstaten en de industrie. Het Europees Defensiefonds (EDF) zal Europese cyberdefensieoplossingen ondersteunen als onderdeel van de Europese technologische en industriële defensiebasis. Cyberbeveiliging is opgenomen in externe financiële instrumenten ter ondersteuning van onze partners, met name het instrument voor nabuurschapsbeleid, ontwikkeling en internationale samenwerking.

De gezamenlijke cybereenheid is een platform dat de EU beter zal helpen beschermen tegen de ernstigste cyberaanvallen, met name grensoverschrijdende. Het is gebaseerd op het concept dat het delen van informatie tussen relevante EU- en nationale belanghebbenden een aanzienlijke impuls kan geven aan de EU-respons op cyberbeveiligingsrisico’s en -dreigingen, zoals blijkt uit de oproep van de voorzitter van de Commissie in haar politieke richtsnoeren van 2019. Dit geldt met name voor gemeenschappen, zoals defensie, civiele zaken, rechtshandhaving en extern optreden. De gezamenlijke cybereenheid kan de deelnemers dus helpen een gemeenschappelijk inzicht te verwerven in het dreigingslandschap en hen helpen hun respons te coördineren. We hebben de Joint Cyber Unit om verschillende redenen nodig. Ten eerste beschikt de EU momenteel niet over ruimten om een gestructureerde samenwerking tussen de lidstaten en alle relevante EU-instellingen, -organen en -agentschappen op het gebied van cyberbeveiliging te vergemakkelijken. Ten tweede moeten bestaande netwerken en gemeenschappen hun volledige potentieel benutten en de informatie-uitwisseling opvoeren, ook met de particuliere sector. Dit is iets wat vandaag de dag niet genoeg gebeurt. Ten derde zou de gezamenlijke cybereenheid de lacunes in en een impuls geven aan het bestaande kader voor samenwerking tussen de EU-instellingen, -organen en -agentschappen en de autoriteiten van de lidstaten in geval van grote grensoverschrijdende cyberincidenten of -dreigingen. Tot slot zou de eenheid de civiele, diplomatieke, rechtshandhavings- en defensiecyberbeveiligingsgemeenschappen de ruimte bieden om samen te werken. Bovendien zou het belanghebbenden op het gebied van cyberbeveiliging, met inbegrip van verkopers van cyberbeveiligingsproducten en partners uit derde landen, een contactpunt bieden voor het delen van informatie over bedreigingen. De gezamenlijke cybereenheid zou geen aanvullend, op zichzelf staand orgaan zijn en geen invloed hebben op de rol en de functies van bestaande autoriteiten, maar zou hen helpen samen te komen en elkaars expertise aan te boren.

De oprichting van de eenheid is gepland in vier stappen: 1. het definiëren en in kaart brengen van de beschikbare capaciteiten; 2. de totstandbrenging van een kader voor gestructureerde samenwerking en bijstand; 3. de uitvoering van het kader; 4. capaciteitsuitbreiding, met inbreng van de industrie en partners.

Het opbouwen van een gemeenschappelijk operationeel platform vereist vertrouwen en de juiste betrokkenheid van alle relevante deelnemers. Dit kan niet van de ene op de andere dag gebeuren en moet zorgvuldig worden gedefinieerd en voorbereid voordat alle capaciteiten van de eenheid worden uitgerold. Daarnaast is het noodzakelijk om eerst goed functionerende mechanismen tot stand te brengen tussen institutionele belanghebbenden in de EU, in de eerste plaats de lidstaten, alvorens deze uit te breiden naar belanghebbenden uit de particuliere sector. In overeenstemming met wat in de afgelopen maanden is gedaan, zal de Commissie tussen nu en februari de relevante belanghebbenden blijven raadplegen om de meest geschikte processen, mijlpalen en tijdschema’s voor de verwezenlijking van de eenheid vast te stellen.

Elk verbonden ding bevat kwetsbaarheden die kunnen worden uitgebuit en andere diensten, netwerken of zelfs hele economieën kunnen beïnvloeden. De internemarktregels omvatten waarborgen tegen onveilige producten en diensten. Certificering in het kader van de cyberbeveiligingsverordening is bedoeld om veilige producten en diensten te stimuleren zonder afbreuk te doen aan de prestaties. Het eerste voortschrijdend werkprogramma van de Unie dat in het eerste kwartaal van 2021 zal worden vastgesteld, zal het bedrijfsleven, de nationale autoriteiten en normalisatie-instellingen in staat stellen zich voor te bereiden op toekomstige Europese regelingen voor cyberbeveiligingscertificering. We hebben echter een nog bredere aanpak nodig. De Commissie is al van plan de regels in het kader van de richtlijn radioapparatuur te actualiseren. Zij zal ook nieuwe horizontale regels overwegen voor alle verbonden producten en bijbehorende diensten, met inbegrip van een nieuwe zorgplicht voor fabrikanten van verbonden apparaten om softwarekwetsbaarheden aan te pakken, de voortzetting van software- en beveiligingsupdates te vereisen en ervoor te zorgen dat persoonlijke en andere gevoelige gegevens aan het einde van hun levensduur worden verwijderd. Dit zou een aanvulling vormen op zowel de verordening inzake algemene productveiligheid (die in 2021 moet worden bijgewerkt, maar niet rechtstreeks betrekking heeft op cyberbeveiliging) als het “recht op reparatie van verouderde software”-initiatief dat in het actieplan voor de circulaire economie wordt gepresenteerd.

Als u toegang wilt krijgen tot een bron – zoals een webpagina – onder een bepaalde domeinnaam zoals .eu of .com op internet, moet uw verzoek worden vertaald of “opgelost” van de naam van de site naar een nummer. Meer in het bijzonder het numerieke IP-adres (Internet Protocol). Een resolver-service verwijst de aanvraag vervolgens door naar de DNS-servers (Domain Name System) zodat u toegang hebt tot de webpagina. De basisstructuur van het internet, evenals de kernprotocollen en ondersteunende infrastructuur, is echter kwetsbaar voor aanvallen en verstoringen. Dit geldt ook voor het Domain Name System (DNS). De meeste bedrijven in de EU zijn afhankelijk van een paar publieke DNS-resolvers die door niet-EU-entiteiten worden beheerd. Als een van deze resolverdiensten wordt verstoord, wordt het voor de EU-autoriteiten veel moeilijker om mogelijke kwaadwillige cyberaanvallen en grote geopolitieke en technische incidenten aan te pakken. Daarom moedigt de Commissie EU-bedrijven, internetproviders en browserverkopers aan om hun afhankelijkheid van DNS-oplossingsdiensten te diversifiëren. Om hen verder bij te staan, zal de Commissie de ontwikkeling van een openbare Europese DNS-resolverdienst ondersteunen. “DNS4EU” biedt een alternatieve, Europese dienst voor toegang tot het wereldwijde internet. Het zal transparant zijn, voldoen aan de nieuwste normen en regels op het gebied van beveiliging, gegevensbescherming en privacy by design en standaard, en deel uitmaken van de Europese industriële alliantie voor data en cloud.