Cyberbeveiliging: naar meer EU-capaciteit voor doeltreffende operationele samenwerking, solidariteit en weerbaarheid

Temps de lecture: 7 min |24 avril 2023 à 09:29

De Commissie heeft een voorstel voor een verordening cybersolidariteit goedgekeurd om de cyberbeveiligingscapaciteit van de EU uit te breiden. Die verordening moet de opsporing en bewustmaking van cyberdreigingen en cyberincidenten verbeteren, de paraatheid van kritieke entiteiten versterken, en de solidariteit en de gezamenlijke crisisbeheersings- en responscapaciteit in de lidstaten versterken. De verordening cybersolidariteit zorgt voor meer EU-capaciteit zodat Europa weerbaarder wordt en beter kan inspelen op cyberdreigingen. Tegelijkertijd zal zij het bestaande samenwerkingsmechanisme versterken. De verordening moet bijdragen tot een veilig en beveiligd digitaal landschap voor burgers en bedrijven en tot de bescherming van kritieke entiteiten en essentiële diensten, zoals ziekenhuizen en openbare nutsvoorzieningen.

De Commissie heeft ook een academie voor cyberbeveiligingsvaardigheden voorgesteld in het kader van het Europees Jaar van de vaardigheden. Die academie moet zorgen voor een beter gecoördineerde aanpak om het tekort aan cyberbeveiligingsprofessionals weg te werken, een onontbeerlijke stap om de weerbaarheid van Europa te versterken. De academie zal verschillende bestaande initiatieven ter bevordering van cyberbeveiligingsvaardigheden bundelen en deze op een onlineplatform beschikbaar stellen, zodat de initiatieven meer ruchtbaarheid krijgen en het aantal geschoolde cyberbeveiligingsprofessionals in de EU toeneemt.

In het kader van de Europese veiligheidsunie wil de EU ervoor zorgen dat alle Europese burgers en bedrijven online en offline goed worden beschermd, en streeft zij een open, veilige en stabiele cyberspace na. Toch vormen de toenemende omvang, frequentie en impact van cyberbeveiligingsincidenten een grote bedreiging voor de werking van zowel netwerk- en informatiesystemen als de Europese eengemaakte markt. De militaire agressie van Rusland tegen Oekraïne maakt deze dreiging nog groter, samen met de grote groep van door staten aangestuurde, criminele en hacktivistische actoren die een rol spelen in de huidige geopolitieke spanningen.

De voorgestelde verordening cybersolidariteit en de academie voor cyberbeveiligingsvaardigheden bouwen voort op het reeds bestaande sterke strategische beleids- en wetgevingskader en draagt zo bij tot een betere opsporing van cyberdreigingen en tot meer weerbaarheid en paraatheid op alle niveaus van het cyberbeveiligingsecosysteem van de EU.

Achtergrond

Met de voorgestelde verordening cybersolidariteit komt de Commissie tegemoet aan de oproep van de lidstaten om de cyberweerbaarheid van de EU te versterken en komt zij haar toezegging in de recente gezamenlijke mededeling over cyberdefensie na om een EU-initiatief inzake cybersolidariteit voor te bereiden.

Met de verordening cybersolidariteit en de academie voor cyberbeveiligingsvaardigheden wordt voortgebouwd op de EU-strategie inzake cyberbeveiliging en op het Europese wetgevingskader om de EU in haar geheel weerbaarder te maken tegen toenemende cyberdreigingen. Tot dat kader behoren onder meer de richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS 2) en de cyberbeveiligingsverordening.

Verordening cybersolidariteit

De verordening cybersolidariteit zal zorgen voor meer solidariteit op het niveau van de Unie zodat de opsporing, de paraatheid en het reactievermogen ten opzichte van significante of grootschalige cyberincidenten worden verbeterd. Dit wordt verwezenlijkt door het opzetten van een Europees cyberbeveiligingsschild en een alomvattend cybernoodmechanisme.

Om ernstige cyberdreigingen snel en doeltreffend op te sporen, stelt de Commissie voor een Europees cyberschild op te zetten. Dat is een pan-Europese infrastructuur bestaande uit nationale en landsgrensoverschrijdende centra voor beveiligingsoperaties (SOC's) in de hele EU. Dit zijn entiteiten die belast zijn met het opsporen van en reageren op cyberdreigingen. Zij zullen gebruikmaken van geavanceerde technologie, waaronder artificiële intelligentie (AI) en geavanceerde gegevensanalyse, om landsgrensoverschrijdende cyberdreigingen en -incidenten op te sporen en er tijdig voor te waarschuwen. De autoriteiten en de betrokken entiteiten zullen op hun beurt efficiënter en doeltreffender kunnen reageren op ernstige incidenten.

Deze centra kunnen begin 2024 operationeel zijn. In een voorbereidende fase van het Europees cyberschild heeft de Commissie in april 2023 in het kader van het programma Digitaal Europa drie consortia van landsgrensoverschrijdende centra voor beveiligingsoperaties (SOC's) geselecteerd, waaraan overheidsinstanties uit 17 lidstaten en IJsland deelnamen.

De verordening cybersolidariteit voorziet ook in een cybernoodmechanisme om de paraatheid te vergroten en de responscapaciteit bij incidenten in de EU te verbeteren. Dit mechanisme zal bijdragen tot:

paraatheidsacties, bijvoorbeeld door entiteiten in de meest kritieke sectoren (gezondheidszorg, vervoer, energie enz.) op basis van gemeenschappelijke risicoscenario's en -methoden te testen op potentiële kwetsbaarheden;
de opbouw van een EU-cyberbeveiligingsreserve. Die reserve moet bestaan uit betrouwbare aanbieders die diensten voor de respons op incidenten leveren en waarmee vooraf een contract wordt gesloten zodat zij op verzoek van lidstaten, instellingen, organen en agentschappen van de Unie meteen kunnen ingrijpen bij een significant of grootschalig cyberbeveiligingsincident;
financiële steun voor wederzijdse bijstand, wanneer een lidstaat steun kan verlenen aan een andere lidstaat.

Bovendien wordt bij de voorgestelde verordening een evaluatiemechanisme voor cyberbeveiligingsincidenten ingesteld. Door significante of grootschalige cyberbeveiligingsincidenten achteraf te evalueren, lessen te trekken uit de opgedane ervaring en waar nodig aanbevelingen te doen om de beveiligingsmentaliteit van de Unie te verbeteren, wordt de Unie weerbaarder.

Het totale budget voor alle maatregelen in het kader van de verordening cybersolidariteit bedraagt 1,1 miljard euro, waarvan ongeveer twee derde door de EU zal worden gefinancierd via het programma Digitaal Europa.

EU-academie voor cyberbeveiligingsvaardigheden

De EU-academie voor cyberbeveiligingsvaardigheden zal particuliere en publieke initiatieven bundelen om de cyberbeveiligingsvaardigheden op Europees en nationaal niveau op een hoger niveau te brengen, zal meer ruchtbaarheid geven aan die initiatieven en is bedoeld om het tekort aan cyberbeveiligingsprofessionals weg te werken.

De academie zal in eerste instantie worden gehost op het platform voor digitale vaardigheden en banen van de Commissie. Wie een loopbaan in de cyberbeveiligingssector wil uitbouwen, zal online op één plek alle informatie over opleidingen en certificeringen uit de hele EU kunnen vinden. Belanghebbenden zullen ook hun steentje kunnen bijdragen tot de verbetering van de cyberbeveiligingsvaardigheden in de EU door specifieke acties te lanceren, zoals het aanbieden van opleidingen en certificeringen op het gebied van cyberbeveiliging.

De academie wordt ook een gemeenschappelijke ruimte voor academici, onderwijsaanbieders en het bedrijfsleven. Zij zullen er hulp krijgen om onderwijsprogramma's, opleidingen en financieringsmogelijkheden te coördineren en de ontwikkeling van de arbeidsmarkt op het gebied van cyberbeveiliging te monitoren.

Certificeringsregelingen voor beheerde beveiligingsdiensten

De Commissie heeft vandaag ook een gerichte wijziging van de cyberbeveiligingsverordening voorgesteld. De bedoeling van die wijziging is om de toekomstige vaststelling van Europese certificeringsregelingen voor “beheerde beveiligingsdiensten” mogelijk te maken. Dit zijn zeer kritieke en gevoelige diensten die worden verleend door aanbieders van cyberbeveiligingsdiensten. Het gaat hierbij om respons op incidenten, penetratietests en beveiligingsaudits en -consultancy, om bedrijven en andere organisaties te helpen cyberincidenten te voorkomen, op te sporen, erop te reageren of te boven te komen.

Certificering is van cruciaal belang en kan een belangrijke rol spelen in het kader van de EU-cyberbeveiligingsreserve en de richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn), door ook de landsgrensoverschrijdende verlening van deze diensten te vergemakkelijken.

Volgende stappen

Het Europees Parlement en de Raad zullen zich nu buigen over de voorgestelde verordening cybersolidariteit en over de gerichte wijziging van de cyberbeveiligingsverordening.

Het Europees Kenniscentrum voor cyberbeveiliging zal samen met de geselecteerde landsgrensoverschrijdende centra voor beveiligingsoperaties een gezamenlijke aanbesteding van instrumenten en infrastructuurvoorzieningen uitschrijven om cyberdetectiecapaciteit op te bouwen.

Het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en het Europees Kenniscentrum voor cyberbeveiliging zullen overeenkomstig hun respectieve mandaten inspanningen blijven leveren om de cyberbeveiligingsvaardigheden te verbeteren. Dit doen zij door in nauwe samenwerking met de Commissie en de lidstaten bij te dragen tot de verwezenlijking van de academie voor cyberbeveiligingsvaardigheden.

De Commissie stelt voor dat de academie de vorm aanneemt van een Europees consortium voor digitale infrastructuur (EDIC), een nieuw rechtskader voor de uitvoering van meerlandenprojecten. Deze mogelijkheid zal nu met de lidstaten worden besproken.

Er moet ook voor worden gezorgd dat beroepsbeoefenaars de vereiste opleidingen van de juiste kwaliteit volgen. In dit verband zal Enisa een proefproject opzetten om onderzoek te doen naar een Europese attestregeling voor cyberbeveiligingsvaardigheden.