Beleid inzake cyberbeveiliging

Strategie voor cyberbeveiliging

De Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid hebben eind 2020 een nieuwe EU-strategie voor cyberbeveiliging gepresenteerd.

De strategie heeft betrekking op de veiligheid van essentiële diensten zoals ziekenhuizen, energienetten en spoorwegen. Het dekt ook de veiligheid van het steeds toenemende aantal verbonden objecten in onze huizen, kantoren en fabrieken.

De strategie richt zich op het opbouwen van collectieve capaciteiten om te reageren op grote cyberaanvallen en samen te werken met partners over de hele wereld om internationale veiligheid en stabiliteit in cyberspace te waarborgen. Daarin wordt uiteengezet hoe een gezamenlijke cybereenheid kan zorgen voor de meest doeltreffende respons op cyberdreigingen met behulp van de collectieve middelen en deskundigheid die de EU en de lidstaten ter beschikking staan.

Wetgeving en certificering

Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn)

Cyberdreigingen zijn bijna altijd grensoverschrijdend en een cyberaanval op de kritieke faciliteiten van een land kan gevolgen hebben voor de EU als geheel. De EU-landen moeten beschikken over sterke overheidsinstanties die toezicht houden op cyberbeveiliging in hun land en die samenwerken met hun tegenhangers in andere lidstaten door informatie uit te wisselen. Dit is met name belangrijk voor sectoren die van cruciaal belang zijn voor onze samenlevingen.

De richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), die alle landen inmiddels ten uitvoer hebben gelegd, waarborgt de oprichting en samenwerking van dergelijke overheidsinstanties. Deze richtlijn is eind 2020 herzien.

Naar aanleiding van het evaluatieproces heeft de Commissie op 16 december 2020 het voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn) ingediend. 

De richtlijn is in december 2022 bekendgemaakt in het Publicatieblad van de Europese Unie en is op 16 januari 2023 in werking getreden. De lidstaten hebben 21 maanden na de inwerkingtreding van de richtlijn de tijd om de bepalingen in hun nationale wetgeving op te nemen (werkelijke datum: 18 oktober 2024).

Enisa — het EU-agentschap voor cyberbeveiliging

Enisa (Agentschap van de Europese Unie voor cyberbeveiliging) is het EU-agentschap dat zich bezighoudt met cyberbeveiliging. Het biedt steun aan lidstaten, EU-instellingen en bedrijven op belangrijke gebieden, waaronder de tenuitvoerlegging van de NIS-richtlijn.

De Cyber Resilience Act

Het voorstel voor een verordening inzake cyberbeveiligingsvereisten voor producten met digitale elementen, bekend als de Cyber Resilience Act, versterkt de cyberbeveiligingsregels om te zorgen voor veiliger hardware en softwareproducten.

Wet inzake cyberbeveiliging

De cyberbeveiligingswet versterkt de rol van Enisa. Het agentschap heeft nu een permanent mandaat en is bevoegd om bij te dragen aan de intensivering van zowel de operationele samenwerking als de crisisbeheersing in de hele EU. Het heeft ook meer financiële en personele middelen dan voorheen. Op 18 april 2023 heeft de Commissie een gerichte wijziging van de EU-wetgeving inzake cyberbeveiliging voorgesteld.

Wet inzake cybersolidariteit

Op 18 april 2023 heeft de Europese Commissie de EU-wet inzake cybersolidariteit voorgesteld om de respons op cyberdreigingen in de hele EU te verbeteren. Het voorstel omvat een Europees cyberbeveiligingsschild en een alomvattend mechanisme voor cybernoodsituaties om een betere cyberdefensiemethode te creëren.

Certificering

Ons digitale leven kan alleen goed werken als er algemeen vertrouwen is in de cyberbeveiliging van IT-producten en -diensten. Het is belangrijk dat we kunnen zien dat een product is gecontroleerd en gecertificeerd om te voldoen aan hoge cyberbeveiligingsnormen. Er zijn momenteel verschillende beveiligingscertificeringsregelingen voor IT-producten in de hele EU. Een gemeenschappelijke certificeringsregeling zou voor iedereen gemakkelijker en duidelijker zijn.

De Commissie werkt daarom aan een EU-breed certificeringskader, waarbij Enisa centraal staat. De Cybersecurity Act schetst het proces voor de verwezenlijking van dit kader.

Investering

Herstelplan

Cyberbeveiliging is een van de prioriteiten van de Commissie in haar reactie op de coronacrisis, aangezien er tijdens de lockdown steeds meer cyberaanvallen plaatsvonden. Het herstelplan voor Europa omvat extra investeringen in cyberbeveiliging.

Steun voor onderzoek en innovatie: Horizon 2020 en cPPP; Horizon Europa

Onderzoek naar digitale beveiliging is essentieel voor het bouwen van innovatieve oplossingen die ons kunnen beschermen tegen de nieuwste, meest geavanceerde cyberbedreigingen. Daarom is cybersecurity een belangrijk onderdeel van Horizon 2020 en zijn opvolger Horizon Europa. 

In Horizon Europa maakt cyberbeveiliging voor de periode 2021-2027 deel uit van de cluster „Civil Security for Society”. 

In het kader van Horizon 2020 heeft de Commissie onderzoek en innovatie medegefinancierd naar onderwerpen als paraatheid op het gebied van cyberbeveiliging door middel van cyberbereiken en -simulaties, cyberbeveiliging voor kleine en middelgrote ondernemingen, cyberbeveiliging in het elektriciteits- en energiesysteem en cyberbeveiliging en gegevensbescherming in kritieke sectoren. Deze onderwerpen vallen onder het cluster „Secure society — Protecting the freedom and safety of Europe and its citizens”.

In 2016 werd het contractueel publiek-privaat partnerschap (cPPP) inzake cyberbeveiliging van Horizon 2020 opgericht tussen de Europese Commissie en de Europese organisatie voor cyberbeveiliging (ECSO), een vereniging bestaande uit leden uit de cyberindustrie, de academische wereld, overheidsdiensten en meer.

Ondersteuning voor cybercapaciteit en uitrol

Onze fysieke en digitale infrastructuren zijn nauw met elkaar verweven. Daarom heeft de Commissie ook geïnvesteerd in cyberbeveiliging als onderdeel van haar financieringsprogramma voor infrastructuurinvesteringen, de Connecting Europe Facility (CEF), voor de periode 2014-2020.

CEF-ondersteuning is verleend aan computerbeveiligingsincidentresponsteams, exploitanten van essentiële diensten (OES), digitale dienstverleners (DSP’s), centrale contactpunten (SPOC’s) en nationale bevoegde autoriteiten (NCA’s). Dit versterkt de cyberbeveiligingscapaciteiten en de grensoverschrijdende samenwerking binnen de EU en ondersteunt de uitvoering van de EU-strategie voor cyberbeveiliging.

Het programma Digitaal Europa voor de periode 2021-2027 is een ambitieus programma dat van plan is 1,9 miljard EUR te investeren in cyberbeveiligingscapaciteit en de brede uitrol van cyberbeveiligingsinfrastructuren en -instrumenten in de hele EU voor overheidsdiensten, bedrijven en particulieren.

Cyberbeveiliging maakt ook deel uit van InvestEU. InvestEU is een algemeen programma dat veel financiële instrumenten samenbrengt en overheidsinvesteringen gebruikt om verdere investeringen van de particuliere sector veilig te stellen. De strategische investeringsfaciliteit zal belangrijke waardeketens op het gebied van cyberbeveiliging ondersteunen. Het is een belangrijk onderdeel van het herstelpakket als reactie op de coronacrisis.

Kenniscentrum en -netwerk voor cyberbeveiliging; Atlas

Het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zal expertise bundelen en de Europese ontwikkeling en uitrol van cyberbeveiligingstechnologie op elkaar afstemmen. Het zal samenwerken met het bedrijfsleven, de academische gemeenschap en anderen om een gemeenschappelijke agenda voor investeringen in cyberbeveiliging op te stellen en te beslissen over financieringsprioriteiten voor onderzoek, ontwikkeling en uitrol van cyberbeveiligingsoplossingen via de programma’s Horizon Europa en Digitaal Europa.

Momenteel lopen er vier proefprojecten om de basis te leggen voor het kenniscentrum en het netwerk. Er zijn meer dan 170 partners bij betrokken.

Voor een beter overzicht van cyberbeveiligingsexpertise en -capaciteit in de hele EU heeft de Commissie een uitgebreid platform ontwikkeld, de cyberbeveiligingsatlas.

Beleidsrichtsnoeren

Blauwdruk voor gecoördineerde respons op grote cyberaanvallen

De blauwdruk van de Commissie voor snelle noodhulp voorziet in een plan in geval van een grootschalig grensoverschrijdend cyberincident of -crisis. Het bevat de doelstellingen en vormen van samenwerking tussen de lidstaten en de EU-instellingen bij het reageren op dergelijke incidenten en crises. Hierin wordt uitgelegd hoe bestaande crisisbeheersingsmechanismen ten volle gebruik kunnen maken van bestaande cyberbeveiligingsentiteiten op EU-niveau.

Gezamenlijke cybereenheid

Als follow-up kondigde Commissievoorzitter Ursula von der Leyen een voorstel aan voor een EU-brede gezamenlijke cybereenheid. De aanbeveling tot oprichting van de gezamenlijke cybereenheid die de Commissie op 23 juni 2021 heeft aangekondigd, is een belangrijke stap in de richting van de voltooiing van het Europees kader voor crisisbeheersing op het gebied van cyberbeveiliging. Het is een concreet resultaat van de EU-strategie voor cyberbeveiliging en de EU-strategie voor de veiligheidsunie en draagt bij tot een veilige digitale economie en samenleving.

De gezamenlijke cybereenheid zal fungeren als een platform om te zorgen voor een gecoördineerde EU-respons op grootschalige cyberincidenten en -crises, en om hulp te bieden bij het herstel van deze aanvallen.

Veilige 5G-uitrol in de EU

5G-netwerken zullen in de hele EU worden uitgerold. Ze zullen enorme voordelen bieden, maar hebben ook meer potentiële toegangspunten voor aanvallers vanwege de minder gecentraliseerde aard van hun architectuur, een groter aantal antennes en een grotere afhankelijkheid van software. De EU-toolbox voor 5G bevat maatregelen om de beveiligingseisen voor 5G-netwerken aan te scherpen, relevante beperkingen toe te passen voor leveranciers die als een hoog risico worden beschouwd, en de diversificatie van leveranciers te waarborgen.

Waarborging van het verkiezingsproces

Onze Europese democratieën zijn steeds digitaler geworden: politieke campagnes vinden online plaats en verkiezingen zelf vinden plaats door middel van elektronisch stemmen in veel landen. 

De Commissie heeft aanbevelingen gedaan voor de cyberbeveiliging van verkiezingen voor het Europees Parlement, als onderdeel van een breder pakket aanbevelingen ter ondersteuning van vrije en eerlijke Europese verkiezingen. Een maand voor de Europese verkiezingen van 2019 hebben het Europees Parlement, de EU-landen, de Commissie en Enisa een live test van hun paraatheid uitgevoerd.

Vaardigheden en bewustzijn

Vaardigheden

We kunnen alleen zorgen voor digitale veiligheid als we experts hebben met de juiste kennis en vaardigheden, en er zijn op dit moment niet genoeg. Daarom neemt de Commissie maatregelen om de ontwikkeling van cyberbeveiligingsvaardigheden te stimuleren.

De Commissie heeft een oproep gedaan voor een samenhangend kader voor het onderwijzen van cyberbeveiligingsvaardigheden in universitair en beroepsonderwijs. De vier proefprojecten ter voorbereiding van het competentiecentrum en het netwerk van ECSO op het gebied van cyberbeveiliging werken hier momenteel aan. Er zijn ook terugkerende initiatieven die rechtstreeks bedoeld zijn voor studenten, zoals de jaarlijkse Europese uitdaging op het gebied van cyberbeveiliging.

Cyberbeveiligingsvaardigheden vallen onder de algemene agenda van de Commissie inzake digitale vaardigheden. Zij maken ook deel uit van de financieringsinspanningen in het kader van Horizon 2020, Horizon Europa en het programma Digitaal Europa. Een voorbeeld is de financiering van „cyberranges”, die live simulatieomgevingen van cyberbedreigingen zijn voor training.

Bewustzijn

De menselijke factor is vaak de zwakke schakel in cybersecurity: iemand die op een phishing-link klikt, kan grote gevolgen hebben. Daarom vergroot de Commissie het bewustzijn van cyberbeveiliging en bevordert zij beste praktijken bij het grote publiek. Zo organiseert het één keer per jaar samen met Enisa de Europese maand voor cyberbeveiliging.

De EU-academie voor cyberbeveiligingsvaardigheden

De EU-academie voor cyberbeveiligingsvaardigheden, die is opgericht in het kader van het Europees Jaar van de vaardigheden, zal particuliere en publieke initiatieven op Europees en nationaal niveau bundelen om de kloof in de cyberbeveiligingsberoepsbevolking aan te pakken. Het initiatief zal online worden gehost op het platform voor banen en vaardigheden van de Commissie en zal financieringsmogelijkheden, opleiding en certificeringen uit de hele EU bevatten voor diegenen die geïnteresseerd zijn in een carrière in cyberbeveiliging.

Mededeling over de EU-academie voor cybervaardigheden

Het factsheet van de EU Cyber Skills Academy

Cybergemeenschap

Enisa — het EU-agentschap voor cyberbeveiliging

Enisa is het agentschap van de EU dat zich bezighoudt met cyberbeveiliging. Het biedt steun aan lidstaten, EU-instellingen en bedrijven op belangrijke gebieden, waaronder de tenuitvoerlegging van de NIS-richtlijn.

ISAC’s

Information Sharing and Analysis Centres (ISAC’s) bevorderen de samenwerking tussen de cyberbeveiligingsgemeenschap in verschillende sectoren van de economie. De verdere ontwikkeling van ISAC’s op zowel EU- als nationaal niveau is een prioriteit voor de Commissie. In samenwerking met Enisa bevordert de Commissie ook de oprichting van nieuwe ISAC’s in sectoren die niet onder de regeling vallen. Het „empowering EU ISACs consortium”, onder toezicht van de Commissie, biedt juridische, technische en organisatorische ondersteuning aan ISAC’s.

GCO

Het Gemeenschappelijk Centrum voor Onderzoek (GCO) van de Commissie draagt actief bij aan cyberbeveiliging in de EU. Zo heeft het GCO een taxonomie op het gebied van cyberbeveiliging ontwikkeld. Dit sluit aan bij de terminologie die in cyberbeveiliging wordt gebruikt, zodat we een duidelijker overzicht kunnen krijgen van de cyberbeveiligingscapaciteiten in de EU.

Het JRC heeft onlangs ook een rapport gepubliceerd dat inzicht geeft in het huidige cyberbeveiligingslandschap van de EU en de geschiedenis ervan, getiteld „Cybersecurity — our digital anchor”.

CSIRT’s/CERT’s

Op grond van de NIS-richtlijn moeten de EU-lidstaten ervoor zorgen dat zij beschikken over goed functionerende Computer Security Incident Response Teams („CSIRT’s”), ook wel bekend als Computer Emergency Response Teams („CERT’s”). Deze teams zorgen in de praktijk voor cyberincidenten en -risico’s. Zij werken op EU-niveau met elkaar samen en werken ook samen met de particuliere sector.
Alle soorten exploitanten van essentiële diensten en digitaledienstverleners moeten onder de aangewezen CSIRT’s vallen.

De belangrijkste taken van de CSIRT’s zijn:

• monitoring van incidenten op nationaal niveau;
• het verstrekken van vroegtijdige waarschuwingen, waarschuwingen, aankondigingen en andere informatie over risico’s en incidenten aan relevante belanghebbenden;
• reageren op incidenten;
• het verstrekken van dynamische risico- en incidentanalyses en situationeel bewustzijn;
• deelname aan het CSIRT-netwerk.

ECSO

De Europese cyberbeveiligingsorganisatie (ECSO) is in 2016 opgericht om als tegenhanger van de Commissie op te treden in een contractueel publiek-privaat partnerschap voor Horizon 2020 in de jaren 2016 tot 2020. De meerderheid van de 250 leden van ECSO behoren tot de cyberbeveiligingsindustrie of tot onderzoeks- en academische instellingen in het veld. In mindere mate bestaan de leden van ECSO ook uit actoren uit de publieke sector en bedrijfstakken aan de vraagzijde.

Naast aanbevelingen over Horizon 2020 voert ECSO diverse activiteiten uit die gericht zijn op gemeenschapsopbouw en industriële ontwikkeling op Europees niveau.

Women4Cyber

Het is belangrijk om de rol van vrouwen in de cybersecuritygemeenschap, die ondervertegenwoordigd zijn, te benadrukken. Daarom heeft de Commissie het Women4Cyber- register opgezet, in samenwerking met het initiatief Women4Cyber van ECSO. Het maakt het makkelijker voor de media, organisatoren van evenementen en anderen om de vele getalenteerde vrouwen die werkzaam zijn in cybersecurity te vinden, zodat deze vrouwen zichtbaarder en prominenter worden in de cybergemeenschap en het publieke debat.

Cyberdialogen

De EU werkt samen met partners om gedeelde belangen in het cyberbeveiligingsbeleid te bevorderen. De 9e cyberdialoog tussen de EU en de VS vond plaats in Brussel in december 2023. De EU en de VS hebben de samenwerking op gebieden als cyberdiplomatie, crisisbeheersing, capaciteitsopbouw, cyberbeveiliging van kritieke infrastructuur (met inbegrip van meldingvan incidenten), cyberbeveiliging van hardware en softwareproducten (met inbegrip van het gezamenlijk actieplan voorcyberbeveiligingsproducten)en cyberbeveiligingsaspecten van opkomende technologieën zoals AI verbeterd.

Sinds 2021 houden de EU en Oekraïne twee cyberdialogen. In 2023 heeft het Europees Agentschap voor cyberbeveiliging Enisa een werkovereenkomst met Oekraïense tegenhangers geformaliseerd om capaciteitsopbouw, uitwisseling van beste praktijken en situationeel bewustzijn te bevorderen. De EU heeft ook cyberdialogen gevoerd met India, Japan, de Republiek Korea en Brazilië. De eerste cyberdialoog tussen de EU en het VK vond plaats in Brussel in december 2023.

Cyberbeveiliging wordt ook besproken in de context van bilaterale digitale partnerschappen en digitale dialogen, evenals de digitale alliantie EU-LAC, de regelgevingsdialoog tussen de EU en de Westelijke Balkan, de gestructureerde dialoog tussen de EU en de NAVO over veerkracht en de gestructureerde dialoog tussen de EU en de NAVO over cyberbeveiliging en defensie. In 2023 publiceerde de taskforce EU-NAVO voor veerkracht van kritieke infrastructuur een verslag waarin belangrijke horizontale sectoren in kaart werden gebracht.

Andere cyberbeleidsgebieden

Cybercriminaliteit

Gewone criminelen maken gebruik van cyberaanvallen die Europeanen bedreigen. De afdeling Migratie en Binnenlandse Zaken van de Commissie monitort en actualiseert het EU-recht inzake cybercriminaliteit en ondersteunt rechtshandhavingscapaciteit. De Commissie werkt ook samen met het Europees Centrum voor de bestrijding van cybercriminaliteit in Europol.

Cyberdiplomatie

De EU spant zich in om zich te beschermen tegen cyberdreigingen van buiten haar grenzen. In het kader hiervan werkt de Commissie samen met de Europese Dienst voor extern optreden en de lidstaten aan de uitvoering van een gezamenlijke diplomatieke respons op kwaadwillige cyberactiviteiten (het „instrumentarium voor cyberdiplomatie”). Deze reactie omvat diplomatieke samenwerking en dialoog, preventieve maatregelen tegen cyberaanvallen en sancties tegen degenen die betrokken zijn bij cyberaanvallen die de EU bedreigen.

De Commissie helpt waar nodig bij de besluitvorming over het reageren op externe cyberdreigingen. Zij financiert ook rechtstreeks het lopende EU-initiatief ter ondersteuning van cyberdiplomatie.

Cyberdefensie

Op 10 november 2022 hebben de Commissie en de hoge vertegenwoordiger een gezamenlijke mededeling over een EU-cyberdefensiebeleid ingediend om de verslechterende veiligheidsomgeving na de Russische agressie tegen Oekraïne aan te pakken en de capaciteit van de EU om haar burgers en infrastructuur te beschermen te versterken.  

Het EU-beleid inzake cyberdefensie is opgebouwd rond vier pijlers die een breed scala aan initiatieven bestrijken die de EU en de lidstaten zullen helpen cyberaanvallen beter op te sporen, te ontmoedigen en te verdedigen:

1. Samen optreden voor een sterkere cyberdefensie in de EU

2. Het defensie-ecosysteem beveiligen

3. Investeer in cyberdefensiecapaciteiten

4. Partner om gemeenschappelijke uitdagingen aan te pakken

Het nieuwe beleid vraagt om investeringen in cyberdefensiecapaciteiten met een volledig spectrum en zal de coördinatie en samenwerking tussen de militaire en civiele cybergemeenschappen van de EU versterken. Het zal de samenwerking met de particuliere sector en efficiënte cybercrisisbeheersing binnen de Unie versterken. Het nieuwe beleid zal ook helpen om onze strategische afhankelijkheid van kritieke cybertechnologieën te verminderen en de Europese technologische defensie-industriebasis (EDTIB) te versterken. Het stimuleert training, het aantrekken en behouden van cybertalenten.

De EU werkt samen op het gebied van defensie in cyberspace via de activiteiten van de Europese Commissie, de Europese Dienst voor extern optreden (EDEO), het Europees Defensieagentschap, het Enisa en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol).

Cybercapaciteitsopbouw in derde landen

De EU werkt samen met andere landen om bij te dragen aan de opbouw van hun capaciteit om zich te verdedigen tegen cyberdreigingen. De Commissie ondersteunt verschillende cyberbeveiligingsprogramma’s in de Westelijke Balkan en de zes oostelijke partnerlanden in de directe buurlanden van de EU, alsook in andere landen wereldwijd via haar afdeling Internationale Samenwerking en Ontwikkeling.