Cyberbeveiligingsbeleid

De Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid hebben eind 2020 een nieuwe EU-strategie inzake cyberbeveiliging gepresenteerd.

De strategie heeft betrekking op de beveiliging van essentiële diensten zoals ziekenhuizen, energienetten en spoorwegen. Het dekt ook de veiligheid van het steeds toenemende aantal verbonden objecten in onze huizen, kantoren en fabrieken.

De strategie richt zich op het opbouwen van collectieve capaciteiten om te reageren op grote cyberaanvallen en het samenwerken met partners over de hele wereld om de internationale veiligheid en stabiliteit in cyberspace te waarborgen.

Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn)

Cyberdreigingen zijn bijna altijd grensoverschrijdend en een cyberaanval op de kritieke faciliteiten van één land kan gevolgen hebben voor de EU als geheel. EU-landen moeten beschikken over sterke overheidsinstanties die toezicht houden op cyberbeveiliging in hun land en die samenwerken met hun tegenhangers in andere lidstaten door informatie uit te wisselen. Dit is met name belangrijk voor sectoren die van cruciaal belang zijn voor onze samenlevingen.

De eerste richtlijn inzake de beveiliging van netwerk-en informatiesystemen (NIS-richtlijn)zorgt voor de oprichting en samenwerking van dergelijke overheidsinstanties. Deze richtlijn is eind 2020 geëvalueerd, wat heeft geleid tot het voorstel voor en de vaststelling van de NIS2-richtlijn. De lidstaten hadden tot 18 oktober 2024 de tijd om NIS2 volledig om te zetten en uit te voeren.

Enisa – het EU-agentschap voor cyberbeveiliging

Enisa is het Agentschap van de Europese Unie voor cyberbeveiliging, dat in 2005 is opgericht. Het mandaat is in 2019 herzien en sindsdien heeft het Agentschap een permanent mandaat. 

De belangrijkste doelstellingen en taken van Enisa zijn vastgelegd in de basishandeling, namelijk de cyberbeveiligingsverordening (CSA). Enisa verleent steun aan lidstaten, EU-instellingen en bedrijven op belangrijke gebieden, waaronder de uitvoering van de NIB-richtlijn, de wet inzake cyberweerbaarheid en de wet inzake cybersolidariteit. Het Agentschap ondersteunt ook het cyberbeveiligingscertificeringsproces van ICT-producten, -diensten en -processen, zoals vastgesteld in titel III van de CSA. 

De cyberbeveiligingsverordening

De cyberbeveiligingsverordening is in 2019 vastgesteld en heeft de rol van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) versterkt. Het gaf het agentschap een permanent mandaat en gaf het de bevoegdheid om bij te dragen tot de intensivering van zowel de operationele samenwerking als de crisisbeheersing in de hele EU. Het heeft ook meer financiële en personele middelen dan voorheen.

Bij de cyberbeveiligingsverordening is ook het Europees kader voor cyberbeveiligingscertificering (ECCF) vastgesteld, dat voorziet in gemeenschappelijke cyberbeveiligingsvereisten en evaluatiecriteria voor de certificering van ICT-producten, -diensten en -processen. Meer informatie vindt u op de speciale website van Enisa.

Bij een gerichte wijziging van de cyberbeveiligingsverordening, die op 15 januari 2025 is aangenomen, is het toepassingsgebied van de certificering uitgebreid tot beheerde beveiligingsdiensten.

Op 11 april 2025 is de Commissie een openbare raadpleging gestart met het oog op de evaluatie en herziening van de cyberbeveiligingsverordening.
 

Wet cyberweerbaarheid

Wet cybersolidariteit

De wet inzake cybersolidariteit is op 4 februari 2025 in werking getreden met als doel de paraatheid voor, de opsporing van en de respons op cyberbeveiligingsincidenten in de hele EU te verbeteren.

De cyberblauwdruk

Op 24 februari 2025 is een ontwerpaanbeveling van de Raad over de EU-blauwdruk voor crisisbeheersing op het gebied van cyberbeveiliging (cyberblauwdruk) gepubliceerd. Het doel van deze aanbeveling is om het EU-kader voor cybercrisisbeheersing op een duidelijke, eenvoudige en toegankelijke manier te presenteren. De voorgestelde blauwdruk actualiseert het alomvattende EU-kader voor crisisbeheersing op het gebied van cyberbeveiliging en brengt de relevante EU-actoren in kaart, met een overzicht van hun rol gedurende de hele crisiscyclus. Dit omvat paraatheid en gedeeld situationeel bewustzijn om te anticiperen op cyberincidenten, en de nodige opsporingscapaciteiten om deze te identificeren, met inbegrip van de respons- en herstelinstrumenten die nodig zijn om die incidenten te beperken, af te schrikken en in te dammen.

Herstelplan

Cyberbeveiliging is een van de prioriteiten van de Commissie in haar reactie op de coronacrisis, aangezien er tijdens de lockdown meer cyberaanvallen zijn geweest. Het herstelplan voor Europa omvat aanvullende investeringen in cyberbeveiliging.

Steun voor onderzoek en innovatie: Horizon 2020 en cPPP; Horizon Europa

Onderzoek naar digitale beveiliging is essentieel voor het bouwen van innovatieve oplossingen die ons kunnen beschermen tegen de nieuwste, meest geavanceerde cyberbedreigingen. Daarom is cyberbeveiliging een belangrijk onderdeel van Horizon 2020 en de opvolger daarvan, Horizon Europa. 

In Horizon Europa maakt cyberbeveiliging voor de periode 2021-2027 deel uit van de cluster “Civiele veiligheid voor de samenleving”. 

Als onderdeel van Horizon 2020 heeft de Commissie onderzoek en innovatie op het gebied van onderwerpen zoals paraatheid voor cyberbeveiliging medegefinancierd door middel van cyberbereiken en -simulatie, cyberbeveiliging voor kleine en middelgrote ondernemingen, cyberbeveiliging in het elektriciteits- en energiesysteem, en cyberbeveiliging en gegevensbescherming in kritieke sectoren. Deze onderwerpen vallen onder de cluster "Veilige samenlevingen — Bescherming van de vrijheid en veiligheid van Europa en zijn burgers".

In 2016 werd het contractuele publiek-private partnerschap (cPPP) inzake cyberbeveiliging van Horizon 2020 opgericht tussen de Europese Commissie en de Europese Organisatie voor cyberbeveiliging (ECSO), een vereniging bestaande uit leden uit de cyberindustrie, de academische wereld, overheidsdiensten en meer.

Steun voor cybercapaciteiten en -implementatie

Onze fysieke en digitale infrastructuren zijn nauw met elkaar verweven. Daarom heeft de Commissie ook geïnvesteerd in cyberbeveiliging als onderdeel van haar financieringsprogramma voor infrastructuurinvesteringen, de Connecting Europe Facility (CEF), voor de periode 2014-2020.

CEF-steun ging naar responsteams voor computerbeveiligingsincidenten, aanbieders van essentiële diensten (OES), digitaledienstverleners (DSP’s), centrale contactpunten (SPOC’s) en nationale bevoegde autoriteiten (NBA’s). Dit versterkt de cyberbeveiligingscapaciteiten en de grensoverschrijdende samenwerking binnen de EU en ondersteunt de uitvoering van de EU-strategie inzake cyberbeveiliging.

Het programma Digitaal Europa voor de periode 2021-2027 is een ambitieus programma dat van plan is 1,9 miljard EUR te investeren in cyberbeveiligingscapaciteit en de brede uitrol van cyberbeveiligingsinfrastructuren en -instrumenten in de hele EU voor overheidsdiensten, bedrijven en particulieren.

Cyberbeveiliging maakt ook deel uit van InvestEU, een algemeen programma dat veel financiële instrumenten samenbrengt en overheidsinvesteringen gebruikt om verdere investeringen van de particuliere sector veilig te stellen. De strategische investeringsfaciliteit zal belangrijke waardeketens op het gebied van cyberbeveiliging ondersteunen. Het is een belangrijk onderdeel van het herstelpakket als reactie op de coronacrisis.

Atlas voor cyberbeveiliging

Het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zal expertise bundelen en de Europese ontwikkeling en uitrol van cyberbeveiligingstechnologie op elkaar afstemmen. Zij zal met het bedrijfsleven, de academische wereld en anderen samenwerken om een gemeenschappelijke agenda voor investeringen in cyberbeveiliging op te stellen en besluiten nemen over financieringsprioriteiten voor onderzoek, ontwikkeling en uitrol van cyberbeveiligingsoplossingen via de programma’s Horizon Europa en Digitaal Europa.

Momenteel lopen er vier proefprojecten om de basis te leggen voor het kenniscentrum en het netwerk. Er zijn meer dan 170 partners bij betrokken.

Voor een beter overzicht van de deskundigheid en capaciteit op het gebied van cyberbeveiliging in de hele EU heeft de Commissie een uitgebreid platform ontwikkeld, de cyberbeveiligingsatlas. 

Veilige uitrol van 5G in de EU

5G-netwerken vormen een belangrijke digitale infrastructuur, aangezien zij de ruggengraat vormen voor veel kritieke diensten. Het waarborgen van de cyberbeveiliging en veerkracht van deze kritieke infrastructuur is van essentieel belang. Op basis van een gecoördineerde risicobeoordeling hebben de lidstaten in de NIS-samenwerkingsgroep samen met de Commissie en Enisa de EU-toolbox voor 5G-cyberbeveiliging ontwikkeld, die maatregelen bevat om de beveiligingsvereisten voor 5G-netwerken aan te scherpen, relevante beperkingen voor leveranciers met een hoog risico toe te passen en de diversificatie van leveranciers te waarborgen.

De stand van zaken met betrekking tot de uitvoering van de 5G-toolbox door de lidstaten wordt beschreven in het tweede voortgangsverslag van juni 2023 van de NIS-samenwerkingsgroep. De Commissie heeft ook haar eigen beoordeling van 5G-leveranciers gemaakt, die beschikbaar is in de mededeling van juni 2023. 

Bewaking van het verkiezingsproces

Onze Europese democratieën zijn steeds digitaler geworden: politieke campagnes vinden online plaats en verkiezingen zelf vinden in veel landen plaats via elektronisch stemmen. 

De Commissie heeft aanbevelingen gedaan voor de cyberbeveiliging van verkiezingen voor het Europees Parlement, als onderdeel van een breder pakket aanbevelingen ter ondersteuning van vrije en eerlijke Europese verkiezingen. Een maand voor de Europese verkiezingen van 2019 hebben het Europees Parlement, de EU-landen, de Commissie en Enisa hun paraatheid live getest.

Cybersecurity van ziekenhuizen en zorgverleners

Digitalisering zorgt voor een revolutie in de gezondheidszorg en maakt betere dienstverlening aan patiënten mogelijk. Cyberaanvallen kunnen deze vitale diensten echter verstoren. Op 15 januari 2025 heeft de Commissie een Europees actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders gepresenteerd, als een van de prioritaire initiatieven in de politieke beleidslijnen voor de Commissie 2024/29.

In het actieplan wordt onder meer voorgesteld dat Enisa, het EU-agentschap voor cyberbeveiliging, een pan-Europees ondersteuningscentrum voor cyberbeveiliging opricht voor ziekenhuizen en zorgaanbieders, dat hen begeleiding, instrumenten, diensten en opleiding op maat biedt. Het initiatief bouwt voort op het bredere EU-kader om de cyberbeveiliging in kritieke infrastructuur te versterken.

Op 7 april 2025 is de Commissie een gerichte raadpleging gestart over het actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders, waarbij belanghebbenden zijn uitgenodigd om hun standpunten te delen. De resultaten van de raadpleging zullen in aanmerking worden genomen voor verdere aanbevelingen die de Commissie voor het einde van het jaar wil doen.

Vaardigheden voor de beroepsbevolking

We kunnen alleen zorgen voor digitale veiligheid als we beschikken over experts met de juiste kennis en vaardigheden, en er zijn er momenteel niet genoeg. Daarom neemt de Commissie maatregelen om de ontwikkeling van vaardigheden op het gebied van cyberbeveiliging te stimuleren en de beroepsbevolking van de Europese Unie te laten groeien.

Cyberbeveiligingsvaardigheden, die onder de algemene agenda van de Commissie voor digitale vaardigheden vallen, zullen hoog op de politieke agenda van de Commissie blijven staan, waarbij de Unie van vaardigheden is opgenomen in de politieke richtsnoeren van de Commissie voor 2024-2029. Projecten zullen verder worden gefinancierd in het kader van verschillende programma’s, met name het programma Digitaal Europa en Erasmus+, om de kloof tussen de beroepsbevolking in de Europese Unie te dichten. De Commissie zal verder gebruik blijven maken van bestaande beleidsinstrumenten zoals het beleidsprogramma 2030 voor het digitale decennium en de mogelijkheid die zij biedt om meerlandenprojecten op te zetten op het gebied van cyberbeveiligingsvaardigheden, zoals voorzien in de mededeling van de Commissie over het dichten van de kloof op het gebied van cyberbeveiligingstalent om het concurrentievermogen, de groei en de veerkracht van de EU te stimuleren (“de academie voor cyberbeveiligingsvaardigheden”).

De academie voor cyberbeveiligingsvaardigheden

De academie voor cyberbeveiligingsvaardigheden, die in het kader van het Europees Jaar van de vaardigheden 2023 van start is gegaan, bundelt particuliere en publieke initiatieven op Europees en nationaal niveau om de groeiende kloof in de beroepsbevolking op het gebied van cyberbeveiliging aan te pakken. De Academie, die online wordt gehost op het platform voor digitale banen en vaardigheden van de Commissie, krijgt steun van alle belanghebbenden, met name de industrie via een mechanisme van toezeggingen, en de academische wereld, met een vlaggenschipinitiatief dat voortbouwt op het succes van de Academie: het Industry-Academia Network.

Mededeling over de EU-academie voor cybervaardigheden

Factsheet van de EU Cyber Skills Academy

Bewustzijn

De menselijke factor is vaak de zwakke schakel in cyberbeveiliging: Iemand die op een phishing-link klikt, kan enorme gevolgen hebben. Daarom vergroot de Commissie het bewustzijn van cyberbeveiliging en bevordert zij beste praktijken bij het grote publiek. Zo organiseert zij één keer per jaar samen met Enisa de Europese maand van de cyberbeveiliging.

Enisa – het EU-agentschap voor cyberbeveiliging

Enisa is het EU-agentschap dat zich bezighoudt met cyberbeveiliging. Het biedt ondersteuning aan lidstaten, EU-instellingen en bedrijven op belangrijke gebieden, waaronder de uitvoering van de NIS-richtlijn.

ISAC's

Centra voor informatie-uitwisseling en -analyse (ISAC’s) bevorderen de samenwerking tussen de cyberbeveiligingsgemeenschap in verschillende sectoren van de economie. De verdere ontwikkeling van ISAC's op zowel EU- als nationaal niveau is een prioriteit voor de Commissie. In samenwerking met Enisa bevordert de Commissie ook de oprichting van nieuwe ISAC's in sectoren die er niet onder vallen. Het “empowering EU ISACs consortium”, onder toezicht van de Commissie, biedt juridische, technische en organisatorische ondersteuning voor ISACs.

GCO

Het Gemeenschappelijk Centrum voor onderzoek (GCO) van de Commissie draagt actief bij aan cyberbeveiliging in de EU. Zo heeft het JRC een cyberbeveiligingstaxonomie ontwikkeld. Dit brengt de terminologie die in cyberbeveiliging wordt gebruikt op één lijn, zodat we een duidelijker overzicht hebben van de cyberbeveiligingscapaciteiten in de EU.

Het JRC heeft onlangs ook een verslag gepubliceerd met inzichten in het huidige cyberbeveiligingslandschap van de EU en de geschiedenis ervan, getiteld “Cybersecurity– our digital anchor”.

CSIRT's/CERT's

Krachtens de NIS2-richtlijn moeten de EU-lidstaten ervoor zorgen dat zij beschikken over goed functionerende Computer Security Incident Response Teams (CSIRT's), ook bekend als Computer Emergency Response Teams (CERT's). Deze teams zorgen in de praktijk voor cybersecurity-incidenten en -risico's. Zij werken met elkaar samen op EU-niveau en ook met de particuliere sector.

Alle soorten aanbieders van essentiële diensten en digitaledienstverleners moeten onder de aangewezen CSIRT’s vallen.

De belangrijkste taken van de CSIRT's zijn:

• het monitoren van incidenten op nationaal niveau;
• het verstrekken van vroegtijdige waarschuwingen, waarschuwingen, aankondigingen en andere informatie over risico’s en incidenten aan relevante belanghebbenden;
• reageren op incidenten;
• het verstrekken van dynamische risico- en incidentanalyses en situationeel bewustzijn;
• deelnemen aan het CSIRT-netwerk.

ECSO

De Europese Organisatie voor cyberbeveiliging (ECSO) is in 2016 opgericht om op te treden als tegenhanger van de Commissie in een contractueel publiek-privaat partnerschap voor Horizon 2020 in de jaren 2016 tot 2020. De meerderheid van de 250 leden van ECSO behoort tot de cyberbeveiligingsindustrie of tot onderzoeks- en academische instellingen op dit gebied. In mindere mate bestaan de leden van ECSO ook uit actoren uit de publieke sector en industrieën aan de vraagzijde.

Naast het doen van aanbevelingen over Horizon 2020 voert ECSO verschillende activiteiten uit die gericht zijn op gemeenschapsopbouw en industriële ontwikkeling op Europees niveau.

Vrouwen4Cyber

Het is belangrijk om de rol van vrouwen in de cyberbeveiligingsgemeenschap, die ondervertegenwoordigd zijn, te benadrukken. Daarom heeft de Commissie in samenwerking met het Women4Cyber-initiatief van ECSO het Women4Cyber-register opgezet. Het maakt het voor de media, organisatoren van evenementen en anderen gemakkelijker om de vele getalenteerde vrouwen te vinden die werkzaam zijn in cybersecurity, zodat deze vrouwen zichtbaarder en prominenter worden in de cybergemeenschap en het publieke debat.

De EU werkt samen met partners om gemeenschappelijke belangen in het cyberbeveiligingsbeleid te bevorderen. De 9e cyberdialoog tussen de EU en de VS vond in december 2023 in Brussel plaats. De EU en de VS werken nauw samen op gebieden als cyberdiplomatie, crisisbeheersing, capaciteitsopbouw, cyberbeveiliging van kritieke infrastructuur (met inbegrip van het meldenvan incidenten), cyberbeveiliging van hardware- en softwareproducten (met inbegrip van hetgezamenlijk actieplan voor cyberveilige producten)en cyberbeveiligingsaspecten van opkomende technologieën zoals AI. 

Sinds 2021 hebben de EU en Oekraïne drie cyberdialogen gehouden. In 2023 heeft het EU-agentschap voor cyberbeveiliging Enisa een werkregeling met Oekraïense tegenhangers geformaliseerd om capaciteitsopbouw, de uitwisseling van beste praktijken en situationeel bewustzijn te bevorderen. De EU is ook begonnen met cyberdialogen met India, Japan, de Republiek Korea en Brazilië. De eerste cyberdialoog tussen de EU enhet VK vond in december 2023 in Brussel plaats, de tweede een jaar later, op 6 december 2024.

Cyberbeveiliging wordt ook besproken in het kader van bilaterale digitale partnerschappen en digitale dialogen, alsook de digitale alliantie EU-LAC, de regelgevingsdialoog tussen de EU en de Westelijke Balkan, de gestructureerde dialoog tussen de EU en de NAVO over weerbaarheid en de gestructureerde dialoog tussen de EU en de NAVO over cyberbeveiliging en defensie. In 2023 publiceerde de taskforce EU-NAVO voor de veerkracht van kritieke infrastructuur een verslag waarin belangrijke transversale sectoren in kaart werden gebracht. 

Op 11 november 2024 hielden de EU en Japan hun zesde cyberdialoog in Tokio, waar zij van gedachten wisselden over het dreigingslandschap en de respons op kwaadwillige cyberactiviteiten, updates verstrekten over hun meest recente beleids- en wetgevingsontwikkelingen op het gebied van cyberbeveiliging, alsook op het gebied van opkomende technologieën, cybercrisisbeheersing en cyberdefensie.

Op 20 maart 2025 hielden de EU en India hun achtste cyberdialoog in New Delhi, waar zij van gedachten wisselden over het landschap van cyberdreigingen en updates verstrekten over de recente ontwikkelingen op het gebied van beleid en wetgeving inzake cyberbeveiliging. Zij hadden ook betrekking op de beveiliging van de toeleveringsketen, productcyberbeveiliging en opkomende technologieën.

Cybercriminaliteit

Gewone criminelen maken gebruik van cyberaanvallen die Europeanen bedreigen. De afdeling Migratie en Binnenlandse Zaken van de Commissie monitort en actualiseert de EU-wetgeving inzake cybercriminaliteit en ondersteunt de rechtshandhavingscapaciteit. De Commissie werkt ook samen met het Europees Centrum voor de bestrijding van cybercriminaliteit in Europol.

Cyberdiplomatie

De EU spant zich in om zich te beschermen tegen cyberdreigingen van buiten haar grenzen. Als onderdeel hiervan werkt de Commissie samen met de Europese Dienst voor extern optreden en de lidstaten aan de uitvoering van een gezamenlijke diplomatieke respons op kwaadwillige cyberactiviteiten (het “instrumentarium voor cyberdiplomatie”). Deze respons omvat diplomatieke samenwerking en dialoog, preventieve maatregelen tegen cyberaanvallen en sancties tegen degenen die betrokken zijn bij cyberaanvallen die de EU bedreigen.

De Commissie helpt bij de besluitvorming over het reageren op externe cyberdreigingen waar dat nodig is. Het financiert ook rechtstreeks het lopende EU-initiatief ter ondersteuning van cyberdiplomatie.

Cyberdefensie

Op 10 november 2022 hebben de Commissie en de hoge vertegenwoordiger een gezamenlijke mededeling over een EU-cyberdefensiebeleid gepresenteerd om de verslechterende veiligheidsomgeving na de Russische agressie tegen Oekraïne aan te pakken en de capaciteit van de EU om haar burgers en infrastructuur te beschermen te vergroten.  

Het EU-beleid inzake cyberdefensie is opgebouwd rond vier pijlers die een breed scala aan initiatieven bestrijken die de EU en de lidstaten zullen helpen cyberaanvallen beter op te sporen, af te schrikken en zich ertegen te verdedigen:

1. Samen optreden voor een sterkere cyberdefensie in de EU

2. Beveilig het defensie-ecosysteem

3. Investeren in cyberdefensievermogens

4. Partner om gemeenschappelijke uitdagingen aan te pakken

Het nieuwe beleid vraagt om investeringen in cyberdefensievermogens meteen volledig spectrum en zal de coördinatie en samenwerking tussen de militaire en civiele cybergemeenschappen van de EU versterken. Het zal de samenwerking met de particuliere sector en een efficiënte cybercrisisbeheersing binnen de Unie versterken. Het nieuwe beleid zal ook helpen onze strategische afhankelijkheid van kritieke cybertechnologieën te verminderen en de Europese technologische industriële defensiebasis (EDTIB) te versterken. Het stimuleert het opleiden, aantrekken en behouden van cybertalent.

De EU werkt samen op het gebied van defensie in de cyberruimte via de activiteiten van de Europese Commissie, de Europese Dienst voor extern optreden (EDEO),het Europees Defensieagentschap, het Enisa en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol).

Cybercapaciteitsopbouw in derde landen

De EU werkt samen met andere landen om hun verdedigingscapaciteit tegen cyberdreigingen op te bouwen. De Commissie ondersteunt verschillende cyberbeveiligingsprogramma’s in de uitbreidingslanden en in andere landen wereldwijd via haar afdeling Internationale Samenwerking en Ontwikkeling.