DHS en DG CONNECT kondigen initiatief aan om melding van cyberincidenten te vergelijken om trans-Atlantische benaderingen beter op elkaar af te stemmen

Het directoraat-generaal Communicatie, Netwerken, Inhoud en Technologie van de Europese Commissie (DG CONNECT) en het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) hebben vandaag een initiatief aangekondigd om de rapportage-elementen voor cyberincidenten te vergelijken die de VS en de Europese Unie (EU) onder de NIS 2-richtlijn zullen informeren. Deze trans-Atlantische samenwerking tussen de EU en de VS bouwt voort op hun inspanningen om hun mensen, kritieke infrastructuur en bedrijven te beschermen tegen schadelijke cyberactiviteiten. 

Het gezamenlijk verslag van DG CONNECT en het DHS, met steun van hun respectieve cyberbeveiligingsagentschappen, het Europees Agentschap voor cyberbeveiliging (ENISA) en het Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA), bevat een vergelijkende beoordeling en een feitelijk overzicht van de aanbevelingen van de Amerikaanse Cyber Incident Reporting Council en het verslag van 2023 over de harmonisatie van cyberincidenten aan de federale regering en Richtlijn 2022/2555 van de EU betreffende maatregelen voor een hoog niveau van cyberbeveiliging in de hele Unie (NIS2-richtlijn) door de belangrijkste overeenkomsten en verschillen vast te stellen. De bevindingen in dit verslag zullen de aanpak van DG CONNECT en DHS voor de evaluatie van processen voor melding van cyberincidenten in de toekomst helpen informeren. In het verslag worden zes belangrijke gebieden voor vergelijkende analyse tussen het verslag van het DHS en de EU-richtlijn genoemd, waaronder: I) definities en rapportagedrempels, ii) tijdschema’s, triggers en soorten melding van cyberincidenten, iii) inhoud van meldingen van cyberincidenten, iv) rapportagemechanismen, v) aggregatie van incidentgegevens en vi) openbaarmaking van informatie over cyberincidenten. 

Cyberincidenten herkennen grenzen niet en multinationals zijn vaak verplicht om incidenten in verschillende rechtsgebieden te melden. Wij verbinden ons ertoe de regels voor het melden van incidenten in eigen land en met gelijkgestemde partners zoals de Europese Unie waar mogelijk te harmoniseren. Onze aanpak zal overheden in staat stellen om de informatie te krijgen die ze nodig hebben om cyberdefensie te bieden en tegelijkertijd het proces voor slachtofferorganisaties te stroomlijnen.

Robert Silvers, onderminister van Beleid en voorzitter van de Cyber Incident Reporting Council. 

Aan de andere kant van de Atlantische Oceaan proberen we samen te werken om relevante rapportagevereisten te vergelijken, met inbegrip van de vorm of het formaat van de gevraagde informatie op zoek naar manieren om de administratieve lasten voor rapporterende entiteiten tot een minimum te beperken,

Roberto Viola, directeur-generaal Communicatienetwerken, Inhoud en Technologie van de Europese Commissie 

Dit initiatief — dat aansluit bij de gezamenlijke verklaring van minister van Binnenlandse Veiligheid Alejandro N. Mayorkas van 2024 en de Europese commissaris voor Interne Markt Thierry Breton — markeert het begin van een proces om de melding van trans-Atlantische cyberincidenten waar mogelijk op elkaar af te stemmen. DHS & DG CONNECT nodigen de industrie uit zowel de VS als de EU uit om hun input en reacties te delen op onze gezamenlijke samenwerking en aanpak bij het evalueren van processen voor het melden van cyberincidenten. 

Dit domein is van cruciaal belang omdat relevante overheidsinstanties toegang moeten hebben tot informatie over cyberincidenten die van invloed zijn op hun burgers of die anderszins zorgen doen rijzen over veiligheid en beveiliging. Bovendien erkennen wij dat zowel de Verenigde Staten als de Europese Unie de komende maanden zullen blijven werken aan de uitvoering van verplichte rapportageregelingen, onder meer door preciezere bepalingen in te voeren over het proces voor de melding van incidenten, de inhoud van de verslagen en de tijdschema’s. Het is belangrijk om op deze punten in contact te blijven en waar mogelijk op elkaar af te stemmen.

Lorena Boix Alonso, directeur van de EC voor Digital Society, Trust and Cybersecurity

In het komende jaar zijn onze teams van plan om onze samenwerking op een meer technisch niveau voort te zetten, onder meer door elementen in kaart te brengen zoals taxonomieën voor cyberincidenten, rapportagesjablonen en de inhoud van rapporten en formaten. We zullen een diepgaande dwarsdoorsnede van het door DHS ontwikkelde Model Reporting Form uitvoeren tegen de vereiste NIS 2-inhoud van rapporten om vast te stellen waar overlappingen en verschillen zijn in de soorten gegevens die worden aangevraagd. Naarmate we deze inspanningen voortzetten, moeten we wendbaar blijven en ons aanpassen aan het snel evoluerende cyberdreigingslandschap, omdat niets lang statisch blijft in onze digitale wereld.

Iranga Kahangama, assistent-secretaris van DHS voor cyber, infrastructuur, risico’s en veerkracht.

De Cyber Incident Reporting for Critical Infrastructure Act (Circia), ondertekend door president Biden in 2022, heeft de Cyber Incident Reporting Council (CIRC) opgericht, onder leiding van DHS om „federale rapportagevereisten voor incidenten te coördineren, de conflicteren en harmoniseren, inclusief die uitgegeven door regelgeving.” De CIRC, die wordt voorgezeten door DHS en vertegenwoordiging van meer dan 30 agentschappen omvat, schetste een reeks bruikbare aanbevelingen over hoe de Amerikaanse regering de rapportage van cyberincidenten kan stroomlijnen en harmoniseren om de kritieke infrastructuur van de natie beter te beschermen. In 2023 heeft DHS een rapport aan het Congres voorgelegd met aanbevelingen van de Raad getiteld Harmonization of Cyber Incident Reporting aan de federale regering.

In januari 2023 trad de NIS2-richtlijn in werking, waardoor de EU-lidstaten 21 maanden de tijd kregen om deze in nationaal recht om te zetten. De NIS2-richtlijn bouwt voort op de vereisten van haar voorganger, Richtlijn (EU) 2016/1148, betreffende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de NIS-richtlijn), die sinds 2016 van kracht is, maar verhoogt het gemeenschappelijke ambitieniveau van de EU op het gebied van cyberbeveiliging, door middel van een breder toepassingsgebied, duidelijkere regels en sterkere toezichtsinstrumenten. De NIS2-richtlijn harmoniseert, versterkt en stroomlijnt de vereisten inzake beveiligings- en incidentrapportage voor een groter aantal entiteiten, die van cruciaal belang zijn voor de Europese economie en samenleving.