Nieuwe EU-strategie voor cyberbeveiliging en nieuwe regels om fysieke en digitale kritieke entiteiten weerbaarder te maken

Vandaag (16 december) presenteren de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid een nieuwe EU-cyberbeveiligingsstrategie. Als essentieel onderdeel van de digitale toekomst van Europa vormgeven, het herstelplan voor Europa en de strategie van de EU-Veiligheidsunie, zal de strategie de collectieve weerbaarheid van Europa tegen cyberdreigingen versterken en ervoor zorgen dat alle burgers en bedrijven ten volle kunnen profiteren van betrouwbare diensten en digitale instrumenten. Of het nu gaat om de aangesloten apparaten, het elektriciteitsnet of de banken, vliegtuigen, overheidsdiensten en ziekenhuizen die Europeanen gebruiken of vaak bezoeken, ze verdienen het om dit te doen met de zekerheid dat ze beschermd zijn tegen cyberdreigingen.

De nieuwe cyberbeveiligingsstrategie stelt de EU ook in staat haar leiderschap op het gebied van internationale normen en standaarden in cyberspace te versterken en de samenwerking met partners over de hele wereld te versterken ter bevordering van een wereldwijde, open, stabiele en veilige cyberspace, gebaseerd op de rechtsstaat, mensenrechten , fundamentele vrijheden en democratische waarden. Verder doet de Commissie voorstellen om zowel de cyber- als de fysieke weerbaarheid van kritieke entiteiten en netwerken aan te pakken: een richtlijn over maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of "NIS 2"), en een nieuwe richtlijn over de veerkracht van kritieke entiteiten.

Ze bestrijken een breed scala van sectoren en hebben tot doel de huidige en toekomstige online en offline risico's, van cyberaanvallen tot misdaad of natuurrampen, op een coherente en complementaire manier aan te pakken. Vertrouwen en veiligheid centraal in het digitale decennium van de EU De nieuwe cyberbeveiligingsstrategie heeft tot doel een mondiaal en open internet te beschermen en tegelijkertijd waarborgen te bieden, niet alleen om de veiligheid te waarborgen, maar ook om de Europese waarden en de grondrechten van iedereen te beschermen.

Voortbouwend op de resultaten van de afgelopen maanden en jaren, bevat het concrete voorstellen voor regelgevings-, investerings- en beleidsinitiatieven op drie actieterreinen van de EU: 1. Veerkracht, technologische soevereiniteit en leiderschap
In het kader van dit actieonderdeel stelt de Commissie voor om de regels voor de beveiliging van netwerk- en informatiesystemen te hervormen, in het kader van een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of "NIS 2"), om het niveau van cyberweerbaarheid van kritieke openbare en particuliere sectoren te verhogen: ziekenhuizen, energienetwerken, spoorwegen, maar ook datacentra, overheidsdiensten, onderzoekslaboratoria en de productie van kritieke medische hulpmiddelen en medicijnen, evenals andere kritieke infrastructuur en diensten, moeten ondoordringbaar blijven in een steeds sneller evoluerend en complexe bedreigingsomgeving. De Commissie stelt ook voor om in de hele EU een netwerk van Security Operations Centres op te richten, aangedreven door kunstmatige intelligentie (AI), dat een echt "cyberbeveiligingsschild" voor de EU zal vormen, dat in staat zal zijn om tekenen van een cyberaanval vroeg genoeg te detecteren en proactief optreden mogelijk te maken, voordat er schade ontstaat. Aanvullende maatregelen omvatten specifieke steun aan het midden- en kleinbedrijf (mkb) in het kader van de digitale-innovatiehubs, evenals grotere inspanningen om de beroepsbevolking bij te scholen, het beste cyberbeveiligingstalent aan te trekken en te behouden en te investeren in onderzoek en innovatie dat open, concurrerend en gebaseerd is op uitmuntendheid.
2. Het opbouwen van operationele capaciteit om te voorkomen, af te schrikken en te reageren
De Commissie bereidt, via een progressief en inclusief proces met de lidstaten, een nieuwe gezamenlijke cybereenheid voor om de samenwerking te versterken tussen EU-organen en autoriteiten van de lidstaten die verantwoordelijk zijn voor het voorkomen, afschrikken en reageren op cyberaanvallen, waaronder civiele, wetshandhavings-, diplomatieke en cyberdefensiegemeenschappen. De hoge vertegenwoordiger doet voorstellen om het EU-instrumentarium voor cyberdiplomatie te versterken om kwaadaardige cyberactiviteiten te voorkomen, te ontmoedigen, af te schrikken en er effectief op te reageren, met name die welke onze kritieke infrastructuur, toeleveringsketens, democratische instellingen en processen aantasten. De EU zal er ook naar streven de samenwerking op het gebied van cyberdefensie verder te versterken en ultramoderne cyberdefensievermogens te ontwikkelen, voortbouwend op het werk van het Europees Defensieagentschap en de lidstaten aanmoedigen om ten volle gebruik te maken van de permanente gestructureerde samenwerking en het Europees Defensieagentschap. Fonds.
3. Bevorderen van een wereldwijde en open cyberspace door intensievere samenwerking
De EU zal nauwer samenwerken met internationale partners om de op regels gebaseerde wereldorde te versterken, de internationale veiligheid en stabiliteit in de cyberspace te bevorderen en de mensenrechten en fundamentele vrijheden online te beschermen. Het zal internationale normen en standaarden bevorderen die deze kernwaarden van de EU weerspiegelen, door samen te werken met zijn internationale partners in de Verenigde Naties en andere relevante fora. De EU zal haar EU-instrumentarium voor cyberdiplomatie verder versterken en haar inspanningen voor cybercapaciteitsopbouw voor derde landen opvoeren door een EU-agenda voor externe cybercapaciteitsopbouw te ontwikkelen. De cyberdialogen met derde landen, regionale en internationale organisaties en de multistakeholdergemeenschap zullen worden geïntensiveerd.

De EU zal ook een EU-netwerk voor cyberdiplomatie over de hele wereld vormen om haar visie op cyberspace te promoten. De EU is vastbesloten de nieuwe cyberbeveiligingsstrategie te ondersteunen met een ongekend niveau van investeringen in de digitale transitie van de EU in de komende zeven jaar, via de volgende langetermijnbegroting van de EU, met name het programma Digitaal Europa en Horizon Europa, evenals het herstelprogramma Plannen voor Europa. De lidstaten worden dus aangemoedigd om ten volle gebruik te maken van de EU-faciliteit voor herstel en veerkracht om de cyberbeveiliging te stimuleren en investeringen op EU-niveau op elkaar af te stemmen.

Het doel is om tot € 4.5 miljard aan gecombineerde investeringen van de EU, de lidstaten en de industrie te bereiken, met name in het kader van het kenniscentrum voor cyberbeveiliging en het netwerk van coördinatiecentra, en ervoor te zorgen dat een groot deel naar het mkb gaat. De Commissie streeft er ook naar de industriële en technologische capaciteiten van de EU op het gebied van cyberbeveiliging te versterken, onder meer door middel van projecten die gezamenlijk worden ondersteund door EU- en nationale begrotingen. De EU heeft de unieke kans om haar middelen te bundelen om haar strategische autonomie te versterken en haar leiderschap op het gebied van cyberbeveiliging in de hele digitale toeleveringsketen (inclusief data en cloud, processortechnologieën van de volgende generatie, ultraveilige connectiviteit en 6G-netwerken) te versterken, in overeenstemming met haar waarden en prioriteiten.

Cyber- en fysieke weerbaarheid van netwerken, informatiesystemen en kritieke entiteiten Bestaande maatregelen op EU-niveau ter bescherming van essentiële diensten en infrastructuren tegen zowel cyber- als fysieke risico's moeten worden geactualiseerd. Cyberbeveiligingsrisico's blijven evolueren met de toenemende digitalisering en onderlinge verbondenheid. Fysieke risico's zijn ook complexer geworden sinds de goedkeuring van de EU-regels van 2008 inzake kritieke infrastructuur, die momenteel alleen betrekking hebben op de energie- en vervoersector. De herzieningen hebben tot doel de regels bij te werken volgens de logica van de EU-strategie voor de Veiligheidsunie, de valse dichotomie tussen online en offline te overwinnen en de silobenadering te doorbreken.

advertentie

Om het hoofd te bieden aan de toenemende dreigingen als gevolg van digitalisering en onderlinge verwevenheid, zal de voorgestelde richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of "NIS 2") betrekking hebben op middelgrote en grote entiteiten uit meer sectoren op basis van hun kritieke positie voor de economie en de samenleving. NIS 2 versterkt de beveiligingseisen die aan de bedrijven worden opgelegd, behandelt de beveiliging van toeleveringsketens en leveranciersrelaties, stroomlijnt rapportageverplichtingen, introduceert strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingsvereisten en heeft tot doel sanctieregimes in de lidstaten te harmoniseren. Het NIS 2-voorstel zal bijdragen tot meer informatie-uitwisseling en samenwerking op het gebied van cybercrisisbeheer op nationaal en EU-niveau. De voorgestelde Critical Entities Resilience (CER)-richtlijn breidt zowel de reikwijdte als de diepte uit van de Europese richtlijn voor kritieke infrastructuur uit 2008. Er worden nu tien sectoren bestreken: energie, vervoer, bankwezen, financiële marktinfrastructuren, gezondheid, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur en ruimtevaart. Krachtens de voorgestelde richtlijn zouden de lidstaten elk een nationale strategie aannemen om de weerbaarheid van kritieke entiteiten te waarborgen en regelmatig risicobeoordelingen uitvoeren. Deze beoordelingen zouden ook helpen bij het identificeren van een kleinere subgroep van kritieke entiteiten die onderworpen zouden zijn aan verplichtingen die bedoeld zijn om hun weerbaarheid te vergroten in het licht van niet-cyberrisico's, waaronder risicobeoordelingen op entiteitsniveau, het nemen van technische en organisatorische maatregelen en het melden van incidenten.

De Commissie zou op haar beurt aanvullende ondersteuning bieden aan lidstaten en kritieke entiteiten, bijvoorbeeld door een overzicht op Unieniveau te ontwikkelen van grens- en sectoroverschrijdende risico's, beste praktijken, methodologieën, grensoverschrijdende opleidingsactiviteiten en oefeningen om de weerbaarheid van kritieke entiteiten. Beveiliging van de volgende generatie netwerken: 5G en verder In het kader van de nieuwe cyberbeveiligingsstrategie worden de lidstaten aangemoedigd om, met de steun van de Commissie en Enisa - het Europees Agentschap voor cyberbeveiliging, de implementatie van de EU 5G-toolbox, een alomvattend en objectief risico, te voltooien -gebaseerde aanpak voor de beveiliging van 5G en toekomstige generaties netwerken.

Volgens een vandaag gepubliceerd rapport over de impact van de aanbeveling van de Commissie over de cyberbeveiliging van 5G-netwerken en de voortgang bij de uitvoering van de EU-toolbox met verzachtende maatregelen, zijn de meeste lidstaten sinds het voortgangsverslag van juli 2020 al goed op weg met de uitvoering de aanbevolen maatregelen. Ze moeten er nu naar streven de implementatie tegen het tweede kwartaal van 2021 af te ronden en ervoor te zorgen dat geïdentificeerde risico's op een gecoördineerde manier adequaat worden beperkt, met name om de blootstelling aan leveranciers met een hoog risico tot een minimum te beperken en afhankelijkheid van deze leveranciers te vermijden. De Commissie stelt vandaag ook de belangrijkste doelstellingen en acties vast om de gecoördineerde werkzaamheden op EU-niveau voort te zetten.

Een Europa dat klaar is voor het digitale tijdperk Margrethe Vestager, uitvoerend vicevoorzitter: "Europa zet zich in voor de digitale transformatie van onze samenleving en economie. We moeten het dus ondersteunen met ongekende investeringsniveaus. De digitale transformatie versnelt, maar kan alleen slagen als mensen en bedrijven erop kunnen vertrouwen dat de verbonden producten en diensten - waarop ze vertrouwen - veilig zijn."

Hoge vertegenwoordiger Josep Borrell zei: "Internationale veiligheid en stabiliteit zijn meer dan ooit afhankelijk van een wereldwijde, open, stabiele en veilige cyberspace waar de rechtsstaat, mensenrechten, vrijheden en democratie worden geëerbiedigd. Met de huidige strategie voert de EU haar inspanningen op om haar regeringen, burgers en bedrijven te beschermen tegen wereldwijde cyberdreigingen, en leiderschap te bieden in cyberspace, zodat iedereen kan profiteren van de voordelen van internet en het gebruik van technologieën."

Onze Europese levenswijze promoten Vicevoorzitter Margaritis Schinas zei: "Cyberbeveiliging is een centraal onderdeel van de Veiligheidsunie. Er is geen onderscheid meer tussen online en offline dreigingen. Digitaal en fysiek zijn nu onlosmakelijk met elkaar verweven. Uit de maatregelen van vandaag blijkt dat de De EU is bereid al haar middelen en expertise in te zetten om zich met dezelfde vastberadenheid voor te bereiden op en te reageren op fysieke en cyberdreigingen."

Thierry Breton, commissaris voor Interne Markt: "Cyberdreigingen evolueren snel, ze worden steeds complexer en flexibeler. Om ervoor te zorgen dat onze burgers en infrastructuur worden beschermd, moeten we verschillende stappen vooruit denken. Het veerkrachtige en autonome cyberbeveiligingsschild van Europa betekent dat we onze expertise en kennis om sneller te detecteren en te reageren, potentiële schade te beperken en onze weerbaarheid te vergroten. Investeren in cybersecurity betekent investeren in de gezonde toekomst van onze online omgevingen en in onze strategische autonomie."

Ylva Johansson, commissaris voor Binnenlandse Zaken: "Onze ziekenhuizen, afvalwatersystemen of vervoersinfrastructuur zijn zo sterk als hun zwakste schakel; verstoringen in een deel van de Unie dreigen de levering van essentiële diensten elders in gevaar te brengen. Om de goede werking van de interne markt en het levensonderhoud van degenen die in Europa wonen, moet onze belangrijkste infrastructuur veerkrachtig zijn tegen risico's zoals natuurrampen, terroristische aanslagen, ongevallen en pandemieën zoals we die nu meemaken. Mijn voorstel over kritieke infrastructuur doet precies dat."

Volgende stappen

De Europese Commissie en de hoge vertegenwoordiger zijn vastbesloten om de nieuwe cyberbeveiligingsstrategie in de komende maanden uit te voeren. Zij zullen regelmatig verslag uitbrengen over de geboekte vooruitgang en het Europees Parlement, de Raad van de Europese Unie en belanghebbenden volledig op de hoogte houden en betrekken bij alle relevante acties. Het is nu aan het Europees Parlement en de Raad om de voorgestelde NIS 2-richtlijn en de richtlijn weerbaarheid van kritieke entiteiten te onderzoeken en goed te keuren. Zodra de voorstellen zijn overeengekomen en vervolgens zijn aangenomen, moeten de lidstaten ze binnen 18 maanden na hun inwerkingtreding omzetten.

De Commissie zal de NIS 2-richtlijn en de richtlijn veerkracht van kritieke entiteiten periodiek herzien en verslag uitbrengen over hun werking. Achtergrond Cyberbeveiliging is een van de topprioriteiten van de Commissie en een hoeksteen van het digitale en verbonden Europa. Een toename van cyberaanvallen tijdens de coronaviruscrisis heeft aangetoond hoe belangrijk het is om ziekenhuizen, onderzoekscentra en andere infrastructuur te beschermen. Krachtige actie op dit gebied is nodig om de economie en samenleving van de EU toekomstbestendig te maken. In de nieuwe cyberbeveiligingsstrategie wordt voorgesteld cyberbeveiliging te integreren in elk element van de toeleveringsketen en de activiteiten en middelen van de EU in de vier cyberbeveiligingsgemeenschappen (interne markt, wetshandhaving, diplomatie en defensie) verder samen te brengen.

Het bouwt voort op de EU 'Shaping Europe's Digital Future' en de EU-strategie voor de veiligheidsunie, en steunt op een aantal wetgevingshandelingen, acties en initiatieven die de EU heeft geïmplementeerd om de cyberbeveiligingscapaciteiten te versterken en te zorgen voor een cyberbestendiger Europa. Dit omvat de cyberbeveiligingsstrategie van 2013, herzien in 2017, en de Europese veiligheidsagenda 2015-2020 van de Commissie. Het erkent ook de toenemende verwevenheid tussen interne en externe veiligheid, met name via het gemeenschappelijk buitenlands en veiligheidsbeleid. De eerste EU-brede wet inzake cyberbeveiliging, de NIS-richtlijn, die in 2016 van kracht werd, hielp om een ​​gemeenschappelijk hoog niveau van beveiliging van netwerk- en informatiesystemen in de hele EU te bereiken. Als onderdeel van haar belangrijkste beleidsdoelstelling om Europa klaar te maken voor het digitale tijdperk, heeft de Commissie in februari van dit jaar de herziening van de NIS-richtlijn aangekondigd.

De EU-cyberbeveiligingswet die sinds 2019 van kracht is, voorzag Europa van een kader voor cyberbeveiligingscertificering van producten, diensten en processen en versterkte het mandaat van het EU-agentschap voor cyberbeveiliging (ENISA). Wat de cyberbeveiliging van 5G-netwerken betreft, hebben de lidstaten, met de steun van de Commissie en Enisa, met de in januari 5 goedgekeurde EU 2020G-toolbox, een alomvattende en objectieve risicogebaseerde aanpak vastgesteld. Uit de evaluatie van de Commissie van haar aanbeveling van maart 2019 over de cyberbeveiliging van 5G-netwerken bleek dat de meeste lidstaten vooruitgang hebben geboekt bij de uitvoering van de Toolbox. Uitgaande van de EU-cyberbeveiligingsstrategie van 2013 heeft de EU een samenhangend en holistisch internationaal cyberbeleid ontwikkeld.

In samenwerking met haar partners op bilateraal, regionaal en internationaal niveau heeft de EU een wereldwijde, open, stabiele en veilige cyberspace bevorderd, geleid door de kernwaarden van de EU en gebaseerd op de rechtsstaat. De EU heeft derde landen ondersteund bij het vergroten van hun cyberweerbaarheid en hun vermogen om cybercriminaliteit aan te pakken, en heeft haar EU-instrumentarium voor cyberdiplomatie uit 2017 gebruikt om verder bij te dragen aan de internationale veiligheid en stabiliteit in de cyberruimte, onder meer door voor het eerst haar cybersanctieregeling uit 2019 toe te passen en opsomming van 8 personen en 4 entiteiten en lichamen. De EU heeft ook aanzienlijke vooruitgang geboekt op het gebied van cyberdefensiesamenwerking, ook wat betreft cyberdefensievermogens, met name in het kader van haar cyberdefensiebeleidskader (CDPF), alsook in de context van de permanente gestructureerde samenwerking (PESCO) en de werkzaamheden van het Europees Defensieagentschap. Cyberbeveiliging is een prioriteit die ook tot uiting komt in de volgende langetermijnbegroting van de EU (2021-2027).

In het kader van het programma Digitaal Europa zal de EU onderzoek, innovatie en infrastructuur op het gebied van cyberbeveiliging, cyberdefensie en de cyberbeveiligingsindustrie van de EU ondersteunen. Bovendien worden in het kader van het herstelplan voor Europa, als reactie op de coronaviruscrisis, waarin tijdens de lockdown meer cyberaanvallen plaatsvonden, aanvullende investeringen in cyberbeveiliging verzekerd. De EU erkent al lang de noodzaak om de veerkracht te waarborgen van kritieke infrastructuur die diensten levert die essentieel zijn voor de goede werking van de interne markt en het leven en het levensonderhoud van de Europese burgers. Om deze reden heeft de EU in 2006 het Europees programma voor de bescherming van kritieke infrastructuur (EPCIP) opgesteld en in 2008 de richtlijn Europese kritieke infrastructuur (ECI) aangenomen, die van toepassing is op de energie- en transportsector. Deze maatregelen werden in latere jaren aangevuld met diverse sectorale en sectoroverschrijdende maatregelen voor specifieke aspecten zoals klimaatbestendigheid, civiele bescherming of directe buitenlandse investeringen.

Deel dit artikel: