EU-organen moeten hun paraatheid op het gebied van cyberbeveiliging opvoeren

Het aantal cyberaanvallen op EU-organen neemt sterk toe. Het peil
van paraatheid op het gebied van cyberbeveiliging binnen EU-organen varieert en is over het algemeen niet
evenredig met de toenemende bedreigingen. Aangezien EU-organen sterk zijn
onderling verbonden, kan een zwakte in de ene anderen blootstellen aan veiligheidsbedreigingen.
Dit is de conclusie van een speciaal rapport van het Europese Hof van
Controleurs die onderzoeken hoe voorbereid de bestuursorganen van de EU zijn
tegen cyberdreigingen. De auditors bevelen aan dat bindende cybersecurity
regels moeten worden ingevoerd, en de hoeveelheid middelen die beschikbaar zijn voor de
Computer Emergency Response Team (CERT-EU) moet worden uitgebreid. De
Europese Commissie moet ook verdere samenwerking tussen EU bevorderen
instanties, zeggen de controleurs, terwijl CERT-EU en het Agentschap van de Europese Unie voor
Cyberbeveiliging moet zich meer richten op die EU-organen die minder hebben
ervaring in het managen van cybersecurity.*

Aanzienlijke cyberbeveiligingsincidenten in EU-organen namen meer dan
vertienvoudigd tussen 2018 en 2021; werken op afstand is aanzienlijk toegenomen
het aantal potentiële toegangspunten voor aanvallers. Significante incidenten
worden over het algemeen veroorzaakt door complexe cyberaanvallen waarbij meestal het gebruik betrokken is
van nieuwe methoden en technologieën, en het kan weken, zo niet maanden duren om
onderzoeken en herstellen. Een voorbeeld was de cyberaanval op de
Europees Geneesmiddelenbureau, waar gevoelige gegevens zijn gelekt en gemanipuleerd
vertrouwen in vaccins te ondermijnen.

“*EU-instellingen, -organen en -agentschappen zijn aantrekkelijke doelwitten voor potentieel
aanvallers, met name groepen die in staat zijn om zeer geavanceerde
stealth-aanvallen voor cyberspionage en andere snode doeleinden*”, zei
Bettina Jakobsen, het ERK-lid dat de controle leidde. “*Dergelijke aanvallen kunnen
aanzienlijke politieke implicaties, schade toebrengen aan de algemene reputatie van de EU,
en het vertrouwen in haar instellingen ondermijnen. De EU moet haar inspanningen opvoeren om:
eigen organisaties beschermen.*”

De belangrijkste bevinding van de controleurs was dat EU-instellingen, -organen en
instanties zijn niet altijd goed beschermd tegen cyberdreigingen. Zij doen niet
benader cyberbeveiliging consequent, essentiële controles en sleutel
goede praktijken op het gebied van cyberbeveiliging zijn niet altijd aanwezig, en cyberbeveiliging
opleiding wordt niet systematisch gegeven. De toewijzing van middelen aan
cyberbeveiliging loopt sterk uiteen, en een aantal EU-organen besteden geld
aanzienlijk minder dan vergelijkbare leeftijdsgenoten. Hoewel verschillen in
cyberbeveiligingsniveaus kunnen theoretisch worden gerechtvaardigd door de verschillende risico's
profielen van elke organisatie en de verschillende gevoeligheidsniveaus van de
gegevens die ze verwerken, benadrukken de auditors dat zwakke plekken in de cyberbeveiliging in een
één EU-orgaan kan meerdere andere organisaties blootstellen aan cyberbeveiliging
bedreigingen (EU-organen zijn allemaal met elkaar verbonden, en vaak met publieke en
particuliere organisaties in de lidstaten).

Het Computer Emergency Response Team (CERT-EU) en de Europese Unie
Agentschap voor cyberbeveiliging (ENISA) zijn de twee belangrijkste entiteiten van de EU die belast zijn met:
ondersteuning bieden op het gebied van cyberbeveiliging. Ze zijn er echter niet in geslaagd
de EU-organen alle ondersteuning bieden die ze nodig hebben, dankzij de middelen
beperkingen of prioriteit worden gegeven aan andere gebieden. Het delen van informatie is
ook een tekortkoming, zeggen de controleurs: zo voeren niet alle EU-organen
tijdig rapporteren over kwetsbaarheden en significante cyberbeveiliging
incidenten die hen hebben geraakt en gevolgen kunnen hebben voor anderen.

Momenteel is er geen wettelijk kader voor informatiebeveiliging en
cyberbeveiliging in de instellingen, agentschappen en organen van de EU. Ze zijn niet onderworpen
aan de breedste EU-wetgeving inzake cyberbeveiliging, de NIS-richtlijn van 2016, of
op de voorgestelde herziening, de NIS2-richtlijn. Er is ook geen
uitgebreide informatie over het bedrag dat EU-organen besteden aan:
cyberbeveiliging. De gemeenschappelijke regels over informatiebeveiliging en on
cyberbeveiliging voor alle EU-organen zijn opgenomen in de mededeling over de EU
Strategie voor de Veiligheidsunie voor de periode 2020-2025, gepubliceerd door de
Commissie in juli 2020. In de EU-cyberbeveiligingsstrategie voor de digitale
Decennium, gepubliceerd in december 2020, heeft de Commissie toegezegd een voorstel te doen voor een
verordening betreffende gemeenschappelijke cyberbeveiligingsregels voor alle EU-organen. Het ook
stelde voor om een ​​nieuwe rechtsgrondslag voor CERT-EU tot stand te brengen ter versterking van
haar mandaat en financiering.

e>

advertentie

Deel dit artikel: