Skip to main content
Shaping Europe’s digital future
News article | Publicatie

Risicobeoordelingsverslag over cyberweerbaarheid in de telecommunicatie- en elektriciteitssectoren van de EU

De EU-lidstaten hebben met de steun van de Europese Commissie en Enisa, het Agentschap van de Europese Unie voor cyberbeveiliging, het eerste verslag over de cyberbeveiliging en veerkracht van de Europese telecommunicatie- en elektriciteitssectoren gepubliceerd.

Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors

iStock Photo Getty Images +

Het rapport wijst op bezorgdheid over een aantal risico’s, waaronder risico’s voor de beveiliging van de toeleveringsketen, het gebrek aan cyberprofessionals en de risico’s van kwaadwillige activiteiten van cybercriminelen en door de staat gesponsorde dreigingsactoren.

Bij de risicobeoordeling zijn technische en niet-technische risico’s nader in kaart gebracht. Zowel in de telecommunicatie- als de elektriciteitssector blijven de risico’s voor de toeleveringsketen de belangrijkste zorg, met name met betrekking tot de uitrol van 5G en infrastructuur voor hernieuwbare energie. Ransomware, gegevenswissers en de exploitatie van zero-day kwetsbaarheden werden ook geïdentificeerd als een voortdurende maar dringende bezorgdheid in beide sectoren, met name waar het operationele technologie betreft.

Voor de elektriciteitssector zijn kwaadwillende insiders het meest kritieke risico, aangespoord door een probleem bij het adequaat doorlichten van nieuw personeel en het aantrekken van lokaal cyberbeveiligingstalent. Voor de telecommunicatiesector zijn de belangrijkste bedreigingen aanvallen via roaming-infrastructuren en aanvallen afkomstig van grote botnetwerken.

Bovendien werden de fysieke sabotage van de kabelinfrastructuur en het blokkeren van satellietsignalen aangemerkt als specifieke risico’s die bijzonder moeilijk te beperken zijn.

Om deze risico's te beperken, bevat het verslag een aantal aanbevelingen op vier verbeterpunten, die als volgt kunnen worden samengevat: 

  1. De weerbaarheid en de houding ten aanzien van cyberbeveiliging kunnen worden verbeterd door goede praktijken uit te wisselen op het gebied van het beperken van ransomware, het monitoren van kwetsbaarheden, de beveiliging van personele middelen en vermogensbeheer. Daarnaast moet de samenwerking met het technische netwerk van de lidstaten, het Computer Security Incident Response Team (CSIRT’s),rechtshandhavingsinstanties en internationale partners worden geïntensiveerd.  De lidstaten moeten verdere zelfbeoordelingen voor de sectoren uitvoeren overeenkomstig de NIS2-richtlijn en de CER-richtlijn.
  2. Het collectieve cyber situationeel bewustzijn en de uitwisseling van informatie moeten worden verbeterd en moeten de geopolitieke context, mogelijke fysieke schade en desinformatie omvatten. 
  3. Noodplanning, crisisbeheersing en operationele samenwerking moeten worden verbeterd door de grenzen tussen sectoren en cyberbeveiligingsautoriteiten in procedures te verkorten.
  4. De beveiliging van de toeleveringsketen moet verder worden aangepakt met vervolgbeoordelingen van de afhankelijkheid van aanbieders uit derde landen met een hoog risico en de ontwikkeling van een EU-kader voor de beveiliging van de toeleveringsketen.

Gezien het kritieke karakter van de infrastructuren en netwerken die onder het toepassingsgebied van dit verslag vallen en gezien het snel evoluerende dreigingslandschap, en onverminderd de bevoegdheden van de lidstaten op het gebied van nationale veiligheid, worden de lidstaten, de Commissie en Enisa aangemoedigd deze veerkrachtverhogende maatregelen zo spoedig mogelijk uit te voeren, op basis van de werkzaamheden die reeds zijn begonnen met de uitvoering van sommige aanbevelingen.

Download het rapport hieronder voor meer informatie.

Achtergrond

In zijn conclusies over de ontwikkeling van de cyberpositie van de Europese Unie van 23 mei 2022 heeft de Raad de Commissie, de hoge vertegenwoordiger en de NIS-samenwerkingsgroep verzocht om, in coördinatie met de betrokken civiele en militaire organen en agentschappen en gevestigde netwerken, waaronder EU CyCLONe, een risicobeoordeling uit te voeren en risicoscenario’s op te stellen vanuit het oogpunt van cyberbeveiliging in een situatie van dreiging of mogelijke aanval tegen lidstaten of partnerlanden, en deze voor te leggen aan de betrokken Raadsinstanties.

Bovendien heeft de Raad in zijn conclusies van 23 mei 2023 over het EU-beleid inzake cyberdefensie “de bovengenoemde actoren uitgenodigd ervoor te zorgen dat risico-evaluaties, scenario’s en daaropvolgende aanbevelingen in aanmerking worden genomen bij het vaststellen en prioriteren van maatregelen en ondersteuning, op EU- en waar passend nationaal niveau”. De Raad dringt er voorts op aan dat “alle relevante actoren bij risicobeoordelingsprocessen en bij de ontwikkeling van cyberoefeningen rekening houden met de risicoscenario’s”.

De risicobeoordeling is een vervolg op een recent verslag over de cyberbeveiliging en veerkracht van de communicatie-infrastructuren en -netwerken van de EU, dat in februari 2024 is gepubliceerd.

U kunt meer informatie lezen over het beleid inzake cyberbeveiliging.

Downloads

EU cybersecurity risk evaluation and scenarios for the telecommunications and electricity sectors
Downloaden