Vragen en antwoorden — Cyberbeveiliging in de EU

Source: European Commission (EC) i, published on Wednesday, June 26 2019.

Wat heeft de EU tot nu toe gedaan voor betere cyberbeveiliging?

De EU beschikt inmiddels over een aantal instrumenten om elektronische communicatienetwerken te beschermen, zoals de richtlijn beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), de EU-cyberbeveiligingsverordening en de nieuwe telecomregels.

De richtlijn voorziet in nieuwe mechanismen voor samenwerking op EU-niveau, maatregelen om de nationale capaciteit te versterken en de verplichting voor aanbieders van essentiële diensten en digitaledienstverleners om risicobeheerspraktijken toe te passen en significante incidenten aan de nationale autoriteiten te melden.

De cyberbeveiligingsverordening introduceert voor het eerst EU-brede regels voor de cyberbeveiligingscertificering van producten, processen en diensten. Daarnaast voorziet de cyberbeveiligingsverordening in een nieuw permanent mandaat voor het EU-agentschap voor cyberbeveiliging (Enisa) en wijst zij meer middelen aan het agentschap toe om het in staat te stellen zijn doelstellingen te verwezenlijken.

Volgens de nieuwe telecomregels (het wetboek voor elektronische communicatie) moeten de lidstaten de betrouwbaarheid en de veiligheid van netwerken en diensten garanderen, onder andere door ervoor te zorgen dat exploitanten technische en organisatorische maatregelen nemen om alle risico's voor de veiligheid van netwerken en diensten te beheersen. Ook hebben de betrokken nationale regelgevende instanties volgens de nieuwe regels onder meer de bevoegdheid om bindende instructies uit te vaardigen en die te handhaven. Verder mogen de lidstaten, om de vertrouwelijkheid van de communicatie te waarborgen, extra voorwaarden toevoegen aan de algemene vergunningen voor operatoren om openbare netwerken te beschermen tegen ongeoorloofde toegang.

Tot slot heeft de Raad in mei 2019 een sanctieregeling vastgesteld, op grond waarvan de EU gerichte beperkende maatregelen kan opleggen om cyberaanvallen die een externe bedreiging voor de EU of haar lidstaten vormen, te ontmoedigen en af te weren. De nieuwe sanctieregeling maakt deel uit van het instrumentarium van de EU voor cyberdiplomatie. Dit is een kader voor een gezamenlijke diplomatieke EU-respons op kwaadwillige cyberactiviteiten, waardoor de EU daartegen alle maatregelen kan inzetten waarin het gemeenschappelijk buitenlands en veiligheidsbeleid voorziet, zoals verklaringen van de hoge vertegenwoordiger, diplomatieke demarches en zo nodig beperkende maatregelen.

Wat is het EU-kader voor cyberbeveiligingscertificering en wat zijn de voordelen ervan?

Een Europese cyberbeveiligingscertificeringsregeling is een uitvoerige reeks voorschriften, technische vereisten, normen en procedures die op Europees niveau zijn overeengekomen voor de evaluatie van de cyberbeveiligingseigenschappen van specifieke producten, diensten en processen.

Cyberbeveiligingscertificering speelt een belangrijke rol voor de versterking van het vertrouwen in en de veiligheid van producten, diensten en processen die essentieel zijn voor de goede werking van de digitale eengemaakte markt. Gezien de grote diversiteit en de vele toepassingen van ICT-producten, ‑diensten en ‑processen maakt het Europees kader voor cyberbeveiligingscertificering het mogelijk om op maat gesneden en op risico's gebaseerde EU-certificeringsregelingen tot stand te brengen.

In elke Europese regeling moeten met name worden gespecificeerd: a) de categorieën producten en diensten die eronder vallen, b) de vereisten inzake cyberbeveiliging, bijvoorbeeld door verwijzing naar normen of technische specificaties, c) het type evaluatie (bv. zelfbeoordeling of evaluatie door een derde partij), en d) het beoogde zekerheidsniveau (“basis”, “substantieel” en/of “hoog”).

Om het cyberbeveiligingsrisico aan te geven, kan een certificaat verwijzen naar drie zekerheidsniveaus (“basis”, “substantieel” en “hoog”), die in verhouding staan tot het niveau van risico dat verbonden is aan het beoogde gebruik van het product, de dienst of het proces, wat de waarschijnlijkheid en de gevolgen van een incident betreft. Een hoog zekerheidsniveau betekent bijvoorbeeld dat het gecertificeerde product de strengste beveiligingstests heeft doorstaan.

Het daaruit voortkomend certificaat zal worden erkend in alle lidstaten, zodat ondernemingen gemakkelijker over de grenzen heen zaken kunnen doen en gebruikers de beveiligingskenmerken van een product of dienst beter kunnen begrijpen. Dit maakt nuttige concurrentie tussen aanbieders op de hele EU-markt mogelijk, met betere producten en een betere kosteneffectiviteit tot gevolg.

Beveiliging door ontwerp: Daarnaast spoort het kader fabrikanten en aanbieders die bij het ontwerp en de ontwikkeling van producten, diensten en processen betrokken zijn, ertoe aan om al in de eerste fasen van ontwerp en ontwikkeling maatregelen te treffen. Zo kunnen die producten, diensten en processen zo goed mogelijk worden beveiligd, zodat op cyberaanvallen kan worden geanticipeerd en de gevolgen daarvan tot een minimum kunnen worden beperkt (“beveiliging door ontwerp”).

Het Europees certificeringskader zal zoveel mogelijk steunen op internationale normen. Zo kan het ontstaan van handelsbelemmeringen of problemen met de technische interoperabiliteit worden vermeden.

Wie zal van dit certificeringskader profiteren en hoe?

Het vermogen om te beoordelen of een product, systeem of dienst aan specifieke eisen voldoet, is essentieel om de digitale systemen waar we op rekenen, te kunnen vertrouwen. Het kader zal daarom nuttig zijn voor:

  • burgers en eindgebruikers (bv. aanbieders van essentiële diensten), die een beter gefundeerde aankoopbeslissing zullen kunnen nemen wanneer het gaat om producten en diensten waar zij elke dag op moeten kunnen rekenen. Een burger die overweegt een smart tv te kopen en zich bewust is van de cyberbeveiligingsrisico's die verbonden zijn aan het aansluiten van slimme apparaten op het internet, kan bijvoorbeeld de website over Europese cyberbeveiligingscertificering van het EU-agentschap voor cyberbeveiliging raadplegen. Burgers kunnen daar uitzoeken welke modellen gecertificeerd voldoen aan de cyberbeveiligingseisen. Ook kunnen zij advies van de verkoper vinden om de televisie veilig te configureren, af te stellen en te bedienen, en wordt aangegeven hoelang de verkoper cyberbeveiligingspatches zal uitbrengen als er nieuwe kwetsbaarheden worden gevonden.
  • verkopers en aanbieders van producten en diensten (waaronder kleine en middelgrote ondernemingen en nieuwe bedrijven), die kosten en tijd zullen besparen, doordat zij maar één procedure hoeven te doorlopen om een Europees certificaat te krijgen dat in alle lidstaten geldig is, zodat zij in alle lidstaten effectief kunnen concurreren. Verkopers van ICT-producten en -diensten zullen kopers graag daarop wijzen door bijvoorbeeld een specifiek label te gebruiken dat aan het certificaat is gekoppeld.
  • overheden, die net als alle particuliere en commerciële kopers beter toegerust zullen zijn om weloverwogen aankoopbesluiten te nemen.

Om extra waarde toe te voegen aan cyberbeveiligingscertificering, moeten fabrikanten of aanbieders van gecertificeerde producten, diensten of processen, met inbegrip van die waarvoor een EU-conformiteitsverklaring is afgegeven, specifieke aanvullende informatie over cyberbeveiliging verstrekken (zoals advies en aanbevelingen om eindgebruikers te helpen producten of diensten veilig te configureren, te installeren, uit te rollen, te exploiteren en te onderhouden).

Welke toegevoegde waarde heeft het kader voor met name kleine en middelgrote ondernemingen en starters?

Kmo's en nieuwe bedrijven ondervinden van oudsher meer problemen bij de aanpassing aan nieuwe markten waar andere eisen worden gesteld. Het kader draagt ertoe bij dergelijke belemmeringen voor markttoegang voor kleine en middelgrote ondernemingen en nieuwe bedrijven te verminderen; ondernemingen hoeven namelijk slechts één keer het certificeringsproces van hun producten te doorlopen, en het bijbehorende certificaat is in de hele EU geldig. Aangezien bovendien de vraag naar betrouwbare oplossingen wereldwijd waarschijnlijk zal stijgen, zullen ondernemers (waaronder kmo's) waarvan de producten gecertificeerd zijn, een concurrentievoordeel hebben als het erom gaat aan die vraag te voldoen. Het kader wordt bovendien voor kmo's en nieuwe bedrijven nog aantrekkelijker doordat ondernemingen een conformiteitszelfbeoordeling kunnen uitvoeren met betrekking tot de beveiligingsvereisten voor producten, processen en diensten met een laag risico.

Neem bijvoorbeeld een kmo die ICT-applicaties ontwikkelt en verkoopt aan grotere bedrijven die bepaalde garanties vragen dat de applicaties goed zijn beveiligd en dat bij de ontwikkeling ervan de beste praktijken op het gebied van veilig programmeren zijn gevolgd. Met een Europees cyberbeveiligingscertificaat kan de kmo zowel de veiligheid van haar producten als de veiligheid van haar ontwikkelingsmethoden aantonen. Zo kan de kmo, anders dan nu meestal het geval is, niet slechts in één lidstaat, maar in de hele EU voldoen aan de eisen van haar afnemers.

Wordt cyberbeveiligingscertificering verplicht?

De regelingen die volgens het kader worden vastgesteld, zijn vrijwillig, wat wil zeggen dat verkopers zelf kunnen beslissen of zij hun producten willen laten certificeren. De cyberbeveiligingsverordening bepaalt echter dat de Europese Commissie de efficiëntie en het gebruik van de vastgestelde Europese regelingen voor cyberbeveiligingscertificering moet beoordelen. Zij zal met name beoordelen of er een specifieke Europese regeling voor cyberbeveiligingscertificering verplicht moet worden gesteld door middel van EU-wetgeving, om een geschikt niveau van cyberbeveiliging van ICT-producten, -diensten en -processen te garanderen en de werking van de interne markt te verbeteren. Bovendien kan andere wetgeving op nationaal of EU-niveau gebruikmaken van bestaande regelingen om op eenvoudige wijze toekomstige verplichtingen voor producten of systemen te beschrijven.

Hoe wordt het EU-agentschap voor cyberbeveiliging versterkt?

Tot nu toe had het EU-agentschap voor cyberbeveiliging een tijdelijk mandaat, dat in 2013 voor het laatst werd verlengd en in 2020 zou aflopen. De cyberbeveiligingsverordening geeft het agentschap nu een permanent mandaat, waardoor het een stabiele basis krijgt voor de toekomst.

De huidige taken van het EU-agentschap voor cyberbeveiliging, zoals het ondersteunen van de ontwikkeling en uitvoering van beleid en het opbouwen van cybercapaciteit, zijn versterkt en verscherpt. Daarnaast zijn nieuwe taken toegevoegd, met name op het gebied van cyberbeveiligingscertificering.

Het nieuwe mandaat omvat ook belangrijke extra taken waarmee de in 2016 overeengekomen NIS-richtlijn het EU-agentschap voor cyberbeveiliging reeds belast, zoals het verzorgen van het secretariaat van het netwerk van Computer Security Incident Response Teams (CSIRT's), dat de nationale CSIRT's van de EU-lidstaten samenbrengt. Om deze uitgebreide taken te vervullen, kan het personeelsbestand van het agentschap met 50% groeien en krijgt het de beschikking over tweemaal zoveel financiële middelen: van 11 miljoen euro naar 23 miljoen euro over een periode van vijf jaar.

Wat zijn de belangrijkste taken van het EU-agentschap voor cyberbeveiliging volgens het nieuwe mandaat?

  • ondersteuning van de uitvoering van het beleid op het gebied van cyberbeveiliging, met name de NIS-richtlijn, alsook van andere beleidsinitiatieven met cyberbeveiligingselementen in diverse sectoren, zoals energie, vervoer en financiering. Het EU-agentschap voor cyberbeveiliging zal de lidstaten ook helpen bij de uitvoering van specifieke cyberbeveiligingsaspecten van het EU-beleid en de EU-wetgeving op het gebied van gegevensbescherming en privacy;
  • capaciteitsopbouw op het gebied van cyberbeveiliging, onder meer door opleiding ter versterking van de capaciteit en deskundigheid van de EU en de nationale overheden met betrekking tot onder andere de respons op incidenten en het toezicht op de regelgeving inzake cyberbeveiliging;
  • marktgerelateerde taken (normalisatie, cyberbeveiligingscertificering), zoals het analyseren van relevante trends op de markt voor cyberbeveiliging om vraag en aanbod beter op elkaar af te stemmen en de beleidsontwikkeling van de EU op het gebied van ICT-normalisatie en ICT-cyberbeveiligingscertificering te ondersteunen;
  • operationele samenwerking en crisisbeheersing met het oog op de versterking van de bestaande preventieve operationele capaciteit en de ondersteuning van operationele samenwerking via het secretariaat van het CSIRT-netwerk. Het EU-agentschap voor cyberbeveiliging zal desgevraagd ook bijstand verlenen aan lidstaten bij het afhandelen van incidenten en zal ook een rol spelen bij de coördinatie van de EU-respons op grootschalige grensoverschrijdende cyberincidenten en ‑crises;
  • gecoördineerde openbaarmaking van kwetsbaarheden: het EU-agentschap voor cyberbeveiliging helpt de lidstaten en instellingen, instanties en organen van de Unie bij het opstellen en uitvoeren van beleidsmaatregelen voor openbaarmaking van kwetsbaarheden op vrijwillige basis. Het helpt ook bij het verbeteren van de samenwerking tussen organisaties, fabrikanten en aanbieders van kwetsbare producten en diensten, en leden van de onderzoeksgemeenschap op cyberbeveiligingsgebied die dergelijke kwetsbaarheden identificeren.

Wat beveelt de Europese Commissie aan als gemeenschappelijke EU-aanpak voor de beveiliging van 5G-netwerken?

De netwerken van de vijfde generatie (5G) zullen zich ontwikkelen tot de ruggengraat van onze samenlevingen en economieën, onder andere in een groot aantal kritieke sectoren zoals energie, vervoer, bankwezen en gezondheidszorg. Het is dus essentieel dat alle kwetsbaarheden op het gebied van veiligheid en vertrouwen worden aangepakt. De Europese Commissie heeft in maart 2019 een aantal operationele stappen en maatregelen aanbevolen om te zorgen voor een goede cyberbeveiliging van 5G-netwerken in de hele EU. Met name werd de lidstaten aanbevolen om vóór eind oktober 2019 een EU-brede risicobeoordeling uit te voeren en uiterlijk in december 2019 een aantal mogelijke risicobeperkende maatregelen vast te stellen. Meer informatie over deze aanbeveling, met inbegrip van de volgende stappen, is te vinden in dit persbericht en deze vragen en antwoorden.

Wat zijn de volgende stappen?

De Europese Commissie heeft voorgesteld om in de volgende begrotingsperiode van de EU aanzienlijk meer te investeren in cyberbeveiliging en geavanceerde digitale technologieën in de EU, met name in haar voorstel voor het programma Digitaal Europa. Zij heeft ook voorgesteld een nieuw Europees kenniscentrum en netwerk op het gebied van cyberbeveiliging op te richten. Daarmee worden de middelen gebundeld en de prioriteiten gecoördineerd met de lidstaten, zodat relevante projecten op het gebied van cyberbeveiliging kunnen worden uitgevoerd. Het voorstel betreft ook de oprichting van een netwerk van nationale coördinatiecentra en een kennisgemeenschap voor cyberbeveiliging. Dit moet zorgen voor betere samenwerking en synergieën tussen de bestaande expertise en gespecialiseerde structuren in de lidstaten. Dit gaat hand in hand met de hoofddoelstelling om het concurrentievermogen van de cyberbeveiligingsbranche van de EU te vergroten en cyberbeveiliging tot een concurrentievoordeel voor andere Europese industrieën te maken.

Meer informatie

Brochure — Building strong cybersecurity in the European Union (Bouwen aan sterke cyberbeveiliging in de Europese Unie)

Factsheet — Weerbaarheid, afschrikking en defensie — Bouwen aan sterke cyberbeveiliging in Europa

Voorstel tot oprichting van een Europees kenniscentrum voor cyberbeveiliging en een netwerk van nationale coördinatiecentra

Veiligheidsunie: 15 van de 22 wetgevingsinitiatieven tot dusver goedgekeurd

Persbericht: EU-onderhandelaars zijn het eens over versterking van Europa's cyberveiligheid

Persbericht: Europese Commissie pleit voor gemeenschappelijke EU-aanpak voor de veiligheid van 5G-netwerken

QANDA/19/3369

 

Contactpersoon voor de pers:

Voor het publiek: Europe Direct per telefoon 00 800 67 89 10 11 of e-mail