EU belicht nieuwe cybersecurity strategie
Onlangs presenteerden de Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid een nieuwe EU-strategie voor cyberbeveiliging. Als een belangrijk onderdeel van Shaping Europe's Digital Future, het herstelplan voor Europa en de EU-strategie voor de veiligheidsunie, zal de strategie de collectieve weerbaarheid van Europa tegen cyberdreigingen versterken en ertoe bijdragen dat alle burgers en bedrijven ten volle kunnen profiteren van betrouwbare en betrouwbare diensten en digitale tools zo meldt de EU. Of het nu gaat om de aangesloten apparaten, het elektriciteitsnet, of de banken, vliegtuigen, overheidsdiensten en ziekenhuizen die Europeanen gebruiken of frequent gebruiken, ze verdienen het om dit te doen met de zekerheid dat ze worden beschermd tegen cyberdreigingen.
De nieuwe cyberbeveiligingsstrategie stelt de EU ook in staat haar leiderschap op het gebied van internationale normen en standaarden op het gebied van cyberspace te versterken en de samenwerking met partners over de hele wereld te versterken om een mondiale, open, stabiele en veilige cyberspace te bevorderen, gebaseerd op de rechtsstaat, mensenrechten , fundamentele vrijheden en democratische waarden zo meldt de EU.
Bovendien doet de Commissie voorstellen om de cyber- en fysieke weerbaarheid van kritieke entiteiten en netwerken aan te pakken: een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of '' NIS 2 ''), en een nieuwe richtlijn betreffende de veerkracht van kritische entiteiten. Ze bestrijken een breed scala aan sectoren en zijn bedoeld om de huidige en toekomstige online en offline risico's, van cyberaanvallen tot misdaad of natuurrampen, op een coherente en complementaire manier aan te pakken.
Vertrouwen
De nieuwe cyberbeveiligingsstrategie heeft tot doel een mondiaal en open internet te waarborgen en tegelijkertijd waarborgen te bieden, niet alleen om de veiligheid te waarborgen, maar ook om de Europese waarden en de grondrechten van iedereen te beschermen. Voortbouwend op de resultaten van de afgelopen maanden en jaren, bevat het concrete voorstellen voor regelgevings-, investerings- en beleidsinitiatieven op drie gebieden van EU-optreden:
Veerkracht, technologische soevereiniteit en leiderschap
In het kader van dit actielandschap stelt de Commissie voor om de regels voor de beveiliging van netwerk- en informatiesystemen te hervormen, op grond van een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of '' NIS 2 ''), om het niveau van cyberweerbaarheid van kritieke publieke en private sectoren: ziekenhuizen, energienetten, spoorwegen, maar ook datacentra, openbare besturen, onderzoekslaboratoria en de fabricage van kritische medische apparatuur en medicijnen, evenals andere kritieke infrastructuur en diensten, moet ondoordringbaar blijven , in een steeds sneller veranderende en complexe dreigingsomgeving.
De Commissie stelt ook voor om in de hele EU een netwerk van Security Operations Centres op te zetten, aangedreven door kunstmatige intelligentie (AI), dat een echt '' cyberbeveiligingsschild '' voor de EU zal vormen, dat vroeg genoeg tekenen van een cyberaanval kan detecteren en proactief actie, voordat er schade optreedt. Aanvullende maatregelen zijn onder meer specifieke steun voor kleine en middelgrote ondernemingen (kmo's) in het kader van de digitale-innovatiehubs , evenals grotere inspanningen om de beroepsbevolking bij te scholen, het beste cyberbeveiligingstalent aan te trekken en te behouden en te investeren in open onderzoek en innovatie, concurrerend en gebaseerd op uitmuntendheid.
Operationele capaciteit opbouwen om te voorkomen, af te schrikken en te reageren
De Commissie bereidt, via een progressief en inclusief proces met de lidstaten, een nieuwe gezamenlijke cybereenheid voor ter versterking van de samenwerking tussen EU-organen en de autoriteiten van de lidstaten die verantwoordelijk zijn voor het voorkomen, afschrikken van en reageren op cyberaanvallen, met inbegrip van civiele, rechtshandhavingsinstanties, diplomatieke en cyberdefensiegemeenschappen. De hoge vertegenwoordiger doet voorstellen om de EU-toolbox voor cyberdiplomatie te versterken om kwaadwillende cyberactiviteiten te voorkomen, te ontmoedigen, af te schrikken en doeltreffend te reageren, met name die welke onze kritieke infrastructuur, toeleveringsketens, democratische instellingen en processen aantasten. De EU zal er ook naar streven de samenwerking op het gebied van cyberdefensie verder te versterken en geavanceerde cyberdefensiecapaciteiten te ontwikkelen met het Europees Defensiefonds.
Het bevorderen van een wereldwijde en open cyberspace door intensievere samenwerking
De EU zal de samenwerking met internationale partners intensiveren om de op regels gebaseerde wereldorde te versterken, de internationale veiligheid en stabiliteit in de cyberspace te bevorderen en de mensenrechten en fundamentele vrijheden online te beschermen. Het zal internationale normen en standaarden bevorderen die deze kernwaarden van de EU weerspiegelen, door samen te werken met zijn internationale partners in de Verenigde Naties en andere relevante fora. De EU zal haar EU-instrumentarium voor cyberdiplomatie verder versterken en de inspanningen voor cybercapaciteitsopbouw voor derde landen opvoeren door een EU-agenda voor externe cybercapaciteitsopbouw te ontwikkelen. De cyberdialogen met derde landen, regionale en internationale organisaties en de gemeenschap met meerdere belanghebbenden zullen worden geïntensiveerd. De EU zal ook een EU-netwerk voor cyberdiplomatie over de hele wereld vormen om haar visie op cyberspace te promoten.
De EU heeft zich ertoe verbonden de nieuwe cyberbeveiligingsstrategie te ondersteunen met een ongekend niveau van investeringen in de digitale transitie van de EU in de komende zeven jaar, via de volgende langetermijnbegroting van de EU, met name het programma Digitaal Europa en Horizon Europa , en het herstel Plan voor Europa . De lidstaten worden daarom aangemoedigd om ten volle gebruik te maken van de EU-herstel- en veerkrachtfaciliteit om cyberbeveiliging te stimuleren en investeringen op EU-niveau aan te passen. Het doel is om tot 4,5 miljard euro aan gecombineerde investeringen van de EU, de lidstaten en de industrie te bereiken, met name in het kader van het kenniscentrum voor cyberbeveiliging en het netwerk van coördinatiecentra, en ervoor te zorgen dat een groot deel naar het mkb gaat.
De Commissie wil ook de industriële en technologische capaciteiten van de EU op het gebied van cyberbeveiliging versterken, onder meer door projecten die gezamenlijk worden ondersteund door EU- en nationale begrotingen. In overeenstemming met waarden en prioriteiten.
Cyber- en fysieke veerkracht van netwerk, informatiesystemen en kritische entiteiten
De bestaande maatregelen op EU-niveau die bedoeld zijn om essentiële diensten en infrastructuren te beschermen tegen zowel cyberrisico's als fysieke risico's, moeten worden bijgewerkt. Cyberveiligheidsrisico's blijven evolueren naarmate de digitalisering en onderlinge verbondenheid toenemen. Fysieke risico's zijn ook ingewikkelder geworden sinds de goedkeuring van de EU-regels van 2008 inzake kritieke infrastructuur, die momenteel alleen betrekking hebben op de energie- en transportsector. De herzieningen hebben tot doel de regels bij te werken volgens de logica van de EU-strategie voor de Veiligheidsunie, de valse dichotomie tussen online en offline te doorbreken en de silobenadering te doorbreken.
Om te reageren op de toenemende dreigingen als gevolg van digitalisering en onderlinge verbondenheid, zal de voorgestelde richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of '' NIS 2 '') middelgrote en grote entiteiten uit meer sectoren bestrijken op basis van hun kriticiteit voor de economie en de samenleving. NIS 2 verscherpt de veiligheidseisen die aan de bedrijven worden opgelegd, pakt de veiligheid van toeleveringsketens en leveranciersrelaties aan, stroomlijnt rapportageverplichtingen, introduceert strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingsvereisten en heeft tot doel de sanctieregelingen in de lidstaten te harmoniseren. Het NIS 2-voorstel zal bijdragen tot meer informatie-uitwisseling en meer samenwerking inzake cybercrisisbeheer op nationaal en EU-niveau.
De voorgestelde richtlijn inzake de veerkracht van kritieke entiteiten (Critical Entities Resilience, CER)breidt zowel het toepassingsgebied als de diepgang van de Europese richtlijn inzake kritieke infrastructuur uit 2008 uit. Er zijn nu tien sectoren: energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur en ruimtevaart. Krachtens het richtlijnvoorstel zouden de lidstaten elk een nationale strategie aannemen om de veerkracht van kritieke entiteiten te waarborgen en regelmatig risicobeoordelingen uitvoeren. Deze beoordelingen zouden ook helpen bij het identificeren van een kleinere subset van kritieke entiteiten die onderworpen zouden zijn aan verplichtingen die bedoeld zijn om hun veerkracht te vergroten in het licht van niet-cyberrisico's, waaronder risicobeoordelingen op entiteitsniveau, het nemen van technische en organisatorische maatregelen en melding van incidenten. De Commissie zou op haar beurt aanvullende steun bieden aan de lidstaten en kritieke entiteiten,
Beveiliging van de volgende generatie netwerken: 5G en meer
In het kader van de nieuwe cyberbeveiligingsstrategie worden de lidstaten, met de steun van de Commissie en ENISA - het Europees cyberbeveiligingsagentschap, aangemoedigd om de uitvoering van de EU 5G-toolbox , een alomvattende en objectieve risicogebaseerde aanpak voor de veiligheid van 5G en toekomstige generaties netwerken.
Volgens een eerder gepubliceerd rapport over de impact van de aanbeveling van de Commissie op de cyberbeveiliging van 5G-netwerken en de voortgang bij de uitvoering van de EU-toolbox met verzachtende maatregelen , zijn de meeste lidstaten sinds het voortgangsverslag van juli 2020 al goed op weg met de uitvoering de aanbevolen maatregelen. Ze moeten er nu naar streven om de uitvoering ervan tegen het tweede kwartaal van 2021 af te ronden en ervoor te zorgen dat de geïdentificeerde risico's op een gecoördineerde manier adequaat worden beperkt, met name om de blootstelling aan leveranciers met een hoog risico tot een minimum te beperken en de afhankelijkheid van deze leveranciers te vermijden. De Commissie zet vandaag ook de belangrijkste doelstellingen en maatregelen uiteen om de gecoördineerde werkzaamheden op EU-niveau voort te zetten.
Volgende stappen
De Europese Commissie en de hoge vertegenwoordiger verbinden zich ertoe de nieuwe cyberbeveiligingsstrategie de komende maanden uit te voeren. Ze zullen regelmatig verslag uitbrengen over de geboekte vooruitgang en het Europees Parlement, de Raad van de Europese Unie en belanghebbenden volledig op de hoogte houden en betrokken houden bij alle relevante acties.
Het is nu aan het Europees Parlement en de Raad om de voorgestelde NIS 2-richtlijn en de Critical Entities Resilience-richtlijn te bestuderen en aan te nemen. Als de voorstellen eenmaal zijn goedgekeurd en vervolgens zijn aangenomen, moeten de lidstaten ze binnen 18 maanden na de inwerkingtreding ervan omzetten.
De Commissie zal periodiek de NIS 2-richtlijn en de Critical Entities Resilience-richtlijn herzien en verslag uitbrengen over hun werking.