Overwegingen bij COM(2022)122 - Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

 
 
(1) In het digitale tijdperk vormt informatie- en communicatietechnologie een hoeksteen van een open, efficiënt en onafhankelijk openbaar bestuur van de Unie. Technologische ontwikkelingen en toegenomen complexiteit en onderlinge verwevenheid van digitale systemen vergroten de risico’s op het gebied van cyberbeveiliging, waardoor het openbaar bestuur van de Unie kwetsbaarder wordt voor cyberdreigingen en cyberincidenten, wat uiteindelijk de bedrijfscontinuïteit en de gegevensbeveiligingscapaciteit in gevaar brengt. Het toegenomen gebruik van clouddiensten, een alomtegenwoordig gebruik van IT, een hoge graad van digitalisering, thuiswerk en technologische ontwikkelingen en connectiviteit zijn tegenwoordig kernkenmerken van alle activiteiten van de entiteiten van de Unie, maar digitale weerbaarheid is hier nog onvoldoende ingebouwd.

(2) De instellingen, organen en instanties van de Unie hebben te kampen met constant veranderende dreigingen op het gebied van cyberveiligheid. De tactieken, technieken en procedures van dreigingsactoren evolueren constant, maar de voornaamste motieven voor die aanvallen blijven dezelfde: die gaan van diefstal van waardevolle niet openbaar gemaakte informatie tot geld verdienen, het manipuleren van de publieke opinie en het ondermijnen van de digitale infrastructuur. Cyberaanvallen volgen elkaar steeds sneller op, met steeds geavanceerdere en meer geautomatiseerde campagnes, gericht tegen zwakke plekken, en daarbij worden kwetsbaarheden snel uitgebuit.

(3) De IT-omgevingen van de instellingen, organen en instanties van de Unie hebben onderlinge afhankelijkheden en geïntegreerde gegevensstromen, en hun gebruikers werken nauw samen. Deze onderlinge afhankelijkheid betekent dat elke verstoring, zelfs als die in eerste instantie beperkt is tot één instelling, orgaan of instantie van de Unie, breder kan uitwaaieren en ingrijpende langdurige negatieve gevolgen voor de andere entiteiten kan hebben. Bovendien zijn de IT-omgevingen van bepaalde instellingen, organen en instanties van de Unie verbonden met de IT-omgevingen van de lidstaten, zodat een incident in één entiteit van de Unie een risico kan vormen voor de cyberbeveiliging van de IT-omgevingen van de lidstaten, en omgekeerd.

(4) De instellingen, organen en instanties van de Unie zijn aantrekkelijke doelwitten die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de instellingen, organen en instanties van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door tot een basisniveau van cyberbeveiliging te komen (minimumregels inzake cyberbeveiliging waaraan netwerk- en informatiesystemen en hun beheerders en gebruikers moeten voldoen om cyberbeveiligingsrisico’s tot een minimum te beperken), informatie uit te wisselen en samen te werken.

(5) De richtlijn [NIS 2-voorstel] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt de weerbaarheid op het gebied van cyberbeveiliging en de responscapaciteit bij incidenten van publieke en private entiteiten, nationale bevoegde autoriteiten en organen alsmede de Unie als geheel verder te verbeteren. Daarom moeten de instellingen, organen en instanties van de Unie hetzelfde doen en zorgen voor regels die in overeenstemming zijn met de richtlijn [NIS 2-voorstel] en het ambitieniveau ervan weerspiegelen.

(6) Om een hoog gezamenlijk niveau van cyberbeveiliging te bereiken, moeten de instellingen, organen en instanties van de Unie elk een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opzetten, dat een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s waarborgt en rekening houdt met bedrijfscontinuïteit en crisisbeheer.

(7) De verschillen tussen de instellingen, organen en instanties van de Unie vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging mogen geen verplichtingen omvatten die rechtstreeks ingrijpen in de uitoefening van de missie van de instellingen, organen en instanties van de Unie, of hun institutionele autonomie aantasten. Die instellingen, organen en instanties van de Unie moeten dus hun eigen kaders voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen basisniveau van cyberbeveiliging en cyberbeveiligingsplannen vaststellen.

(8) Om te voorkomen dat aan de instellingen, organen en instanties van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, in verhouding staan tot het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De instellingen, organen en instanties van de Unie moeten beogen een passend percentage van hun IT-begroting aan betere cyberbeveiliging te besteden; op langere termijn moet een doel van ongeveer 10 % worden nagestreefd.

(9) Voor een hoog gezamenlijk niveau van cyberbeveiliging is vereist dat cyberbeveiliging wordt geplaatst onder het toezicht van het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie, dat een basisniveau van cyberbeveiliging moet goedkeuren om de risico’s aan te pakken die in het door de afzonderlijke instellingen, organen en instanties van de Unie op te stellen kader zijn aangeduid. Het aanpakken van de cyberbeveiligingscultuur, dat wil zeggen de dagelijkse cyberbeveiligingspraktijk, maakt integraal deel uit van een basisniveau van cyberbeveiliging binnen de instellingen, organen en instanties van de Unie.

(10) De instellingen, organen en instanties van de Unie moeten de risico’s betreffende de betrekkingen met leveranciers en dienstverleners, inclusief leveranciers van gegevensopslag- en gegevensverwerkingsdiensten of beheerde beveiligingsdiensten, beoordelen, en daarvoor passende maatregelen treffen. Deze maatregelen moeten deel uitmaken van het basisniveau van cyberbeveiliging en nader worden gespecificeerd in richtsnoeren of aanbevelingen van CERT-EU. Bij het definiëren van maatregelen en richtsnoeren moet terdege rekening worden gehouden met de toepasselijke Uniewetgeving en ‑beleidsmaatregelen, met inbegrip van risicobeoordelingen en aanbevelingen van de NIS-samenwerkingsgroep, zoals de gecoördineerde EU‑risicobeoordeling en de EU-toolbox inzake 5G-cyberbeveiliging. Bovendien kan het noodzakelijk zijn dat relevante ICT-systemen, diensten en processen worden gecertificeerd op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde specifieke EU-cyberbeveiligingscertificeringsregelingen.

(11) In mei 2011 hebben de secretarissen-generaal van de instellingen, organen en instanties van de Unie besloten een preconfiguratieteam voor een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) in te stellen, onder toezicht van een interinstitutionele stuurgroep. In juli 2012 bevestigden de secretarissen-generaal de praktische regelingen en kwamen zij overeen CERT-EU te handhaven als permanente entiteit om het algehele niveau van IT-veiligheid van de instellingen, organen en instanties van de EU verder te helpen verbeteren, als voorbeeld van zichtbare interinstitutionele samenwerking op het gebied van cyberveiligheid. In september 2012 is CERT-EU opgericht als taskforce van de Europese Commissie, met een interinstitutioneel mandaat. In december 2017 zijn de instellingen, organen en instanties van de Unie een interinstitutionele regeling overeengekomen over de organisatie en de werking van CERT-EU 3 . Deze regeling moet doorlopend evolueren ter ondersteuning van de uitvoering van deze verordening.

(12) CERT-EU moet worden omgedoopt van “computercrisisteam” in “cyberbeveiligingscentrum” voor de instellingen, organen en instanties van de Unie, in overeenstemming met de ontwikkelingen in de lidstaten en wereldwijd, waar veel CERT’s worden omgedoopt tot cyberbeveiligingscentra, maar de korte naam “CERT-EU” moet vanwege de herkenbaarheid behouden blijven.

(13) Veel cyberaanvallen zijn onderdeel van bredere campagnes die gericht zijn tegen groepen instellingen, organen en instanties van de Unie of belangengemeenschappen die de instellingen, organen en instanties van de Unie omvatten. Om proactief opsporings-, incidentrespons- of beperkende maatregelen te kunnen treffen, moeten de instellingen, organen en instanties van de Unie CERT-EU onverwijld in kennis stellen van significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid en passende technische details delen, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen tegen vergelijkbare dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid binnen andere instellingen, organen en instanties van de Unie. Op basis van dezelfde aanpak als die voorzien in richtlijn [NIS 2-voorstel] moeten entiteiten binnen 24 uur nadat zij daarvan kennis hebben gekregen, CERT-EU initieel van significante incidenten op de hoogte stellen. Aan de hand van die informatie-uitwisseling moet CERT-EU de informatie kunnen verspreiden onder de andere instellingen, organen en instanties van de Unie en aan passende tegenhangers, om de IT-omgevingen van de Unie en die van de tegenhangers van de Unie te helpen beschermen tegen soortgelijke incidenten, dreigingen en kwetsbaarheden.

(14) Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de instellingen, organen en instanties van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet vertegenwoordiging van de instellingen waarborgen, en via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten.

(15) CERT-EU moet de uitvoering van maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging ondersteunen middels voorstellen voor richtsnoeren en aanbevelingen aan de IICB of oproepen tot actie. Deze richtsnoeren en aanbevelingen moeten door de IICB worden goedgekeurd. Indien nodig moet CERT-EU oproepen tot actie uitvaardigen betreffende dringende veiligheidsmaatregelen die instellingen, organen en instanties van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen.

(16) De IICB moet toezicht houden op de naleving van deze verordening en van de richtsnoeren, aanbevelingen en oproepen tot actie van CERT-EU. De IICB moet op technisch gebied worden ondersteund door technische adviesgroepen, die de IICB naar eigen inzicht samenstelt, en die voor zover nodig nauw moeten samenwerken met CERT-EU, de instellingen, organen en instanties van de Unie en andere belanghebbenden. Indien nodig moet de IICB niet-bindende waarschuwingen geven en audits aanbevelen.

(17) Het moet de missie van CERT-EU zijn om bij te dragen tot de beveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie. CERT-EU moet optreden als het equivalent van de aangewezen coördinator voor de instellingen, organen en instanties van de Unie, met het oog op de gecoördineerde bekendmaking van kwetsbaarheid aan een Europees kwetsbaarheidsregister, als bedoeld in artikel 6 van richtlijn [NIS 2-voorstel].

(18) Het CERT-EU-bestuur heeft in 2020 een nieuwe strategische doelstelling voor CERT-EU vastgesteld, namelijk om te zorgen voor een alomvattend niveau van cyberdefensie voor alle instellingen, organen en instanties van de Unie, met een passend bereik en met voortdurende aanpassing aan huidige of op handen zijnde dreigingen, waaronder aanvallen tegen mobiele apparatuur, cloudomgevingen en apparaten voor het internet der dingen. Het strategische doel omvat op brede basis werkzame operationele beveiligingscentra (SOC’s) die continu netwerken monitoren voor zeer ernstige dreigingen. CERT-EU moet de IT-beveiligingsteams van de grotere instellingen, organen en instanties van de Unie ondersteunen, onder meer met continue eerstelijnsmonitoring. Voor kleinere en enkele middelgrote instellingen, organen en instanties van de Unie moet CERT-EU alle diensten verlenen.

(19) CERT-EU moet ook de rol vervullen waarin is voorzien in richtlijn [NIS 2-voorstel] inzake samenwerking en informatie-uitwisseling met het netwerk van computer security incident response teams (CSIRTs). Verder moet CERT-EU overeenkomstig Aanbeveling (EU) 2017/1584 4 van de Commissie samenwerken met de belanghebbende partijen en de respons coördineren. Met het oog op een hoog niveau van cyberbeveiliging in de hele Unie, moet CERT-EU incidentspecifieke informatie delen met nationale tegenhangers. CERT-EU moet ook samenwerken met andere publieke en private tegenhangers, zoals bij de NAVO, na voorafgaande goedkeuring door de IICB.

(20) Bij de ondersteuning van operationele cyberbeveiliging moet CERT-EU gebruikmaken van de beschikbare deskundigheid van het agentschap van de Europese Unie voor cyberbeveiliging, door middel van gestructureerde samenwerking zoals bedoeld in Verordening (EU) 2019/881 5 van het Europees Parlement en de Raad. Indien passend moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van die samenwerking te bepalen en dubbel werk te vermijden. CERT-EU moet met het agentschap van de Europese Unie voor cyberbeveiliging samenwerken inzake dreigingsanalyse en zijn dreigingslandschapverslag regelmatig met het agentschap delen.

(21) Ter ondersteuning van de gezamenlijke cybereenheid die overeenkomstig de aanbeveling van de Commissie van 23 juni 2021 6 is opgezet, moet CERT-EU samenwerken en informatie uitwisselen met belanghebbende partijen om operationele samenwerking te bevorderen en de bestaande netwerken hun volledige potentieel voor de bescherming van de Unie te laten ontplooien.

(22) Alle overeenkomstig deze verordening verwerkte persoonsgegevens moeten overeenkomstig de gegevensbeschermingswetgeving, met inbegrip van Verordening (EU) 2018/1725 7 van het Europees Parlement en de Raad, worden verwerkt.

(23) CERT-EU en de instellingen, organen en instanties van de Unie moeten informatie verwerken overeenkomstig de regels zoals bepaald in verordening [de voorgestelde verordening inzake informatiebeveiliging]. Met het oog op de coördinatie van veiligheidskwesties moeten alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, onverwijld aan het directoraat Beveiliging van de Commissie en de voorzitter van de IICB worden meegedeeld.

(24) Aangezien de diensten en taken van CERT-EU in het belang van alle instellingen, organen en instanties van de Unie zijn, moeten de individuele instellingen, organen en instanties van de Unie met IT-uitgaven een billijke bijdrage aan die diensten en taken leveren. Die bijdragen laten de budgettaire autonomie van de instellingen, organen en instanties van de Unie onverlet.

(25) De IICB moet, met de hulp van CERT-EU, de uitvoering van deze verordening evalueren en beoordelen en daarover verslag uitbrengen aan de Commissie. Op basis van die input moet de Commissie regelmatig verslag uitbrengen aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.