Toelichting bij COM(2022)119 - Informatiebeveiliging in de instellingen, organen en instanties van de Unie - Hoofdinhoud

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier	COM(2022)119 - Informatiebeveiliging in de instellingen, organen en instanties van de Unie.
bron	COM(2022)119
datum	22-03-2022

1. ACHTERGROND VAN HET VOORSTEL

• Motivering en doel van het voorstel

Dit voorstel is een onderdeel van de EU-strategie voor de veiligheidsunie ¹ die de Commissie op 24 juli 2020 heeft aangenomen, waarbij zij zich ertoe verbond de nationale veiligheidsinspanningen te ondersteunen met de meerwaarde die de Europese Unie biedt. Onderdeel van deze verbintenis is het initiatief om de interne rechtskaders op het gebied van informatiebeveiliging in alle instellingen en organen van de Unie te stroomlijnen.

Een belangrijk onderdeel van de strategische agenda voor 2019–2024, die de Europese Raad in juni 2019 heeft aangenomen, is de bescherming van onze samenlevingen tegen de steeds veranderende dreigingen waaraan de door de instellingen en organen verwerkte informatie blootstaat. De Europese Raad verzocht in zijn conclusies ² in het bijzonder “de EU-instellingen om samen met de lidstaten aan maatregelen te werken om de weerbaarheid te vergroten en de veiligheidscultuur van de EU tegen cyber- en hybride dreigingen van buiten de EU te verbeteren, en om de informatie- en communicatienetwerken en de besluitvormingsprocessen van de EU beter te beschermen tegen alle soorten kwaadwillige activiteiten”.

Op diezelfde lijn concludeerde de Raad Algemene Zaken van december 2019 ³ dat de instellingen, organen en instanties, ondersteund door de lidstaten, een uitgebreide reeks maatregelen moeten uitwerken en toepassen om hun veiligheid te waarborgen. Ook het Beveiligingscomité van de Raad vraagt al geruime tijd dat onderzoek wordt gedaan naar een gemeenschappelijke kern van beveiligingsvoorschriften voor de Raad, de Commissie en de Europese Dienst voor extern optreden ⁴.

De instellingen en organen van de Unie hebben momenteel ofwel elk hun eigen voorschriften op het gebied van informatiebeveiliging, gebaseerd op hun reglement van orde of oprichtingshandeling, ofwel helemaal geen voorschriften op dat gebied. Dat laatste geldt met name voor enkele kleine entiteiten die geen formeel beleid hebben op het gebied van informatiebeveiliging.

Door de steeds grotere hoeveelheden gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (“EUCI”) die de instellingen en organen van de Unie onderling moeten uitwisselen en door de dramatische ontwikkeling van het dreigingslandschap staat het Europese bestuur bloot aan aanvallen op alle gebieden waarop het actief is. De informatie die onze instellingen en organen verwerken, is zeer aantrekkelijk voor de dreigingsactoren en moet adequaat worden beschermd. Voor een betere bescherming moet daarom snel actie worden ondernomen.

Om de door het Europese bestuur verwerkte informatie beter te beschermen, beoogt dit initiatief de verschillende rechtskaders van de instellingen en organen van de Unie op dit gebied te stroomlijnen door:

• uitgebreide geharmoniseerde informatiecategorieën en gemeenschappelijke verwerkingsvoorschriften vast te stellen voor alle instellingen en organen van de Unie;

• een flexibele regeling voor de samenwerking inzake informatiebeveiliging tussen de instellingen en organen van de Unie op te zetten, waarmee voor het gehele Europese bestuur een samenhangende informatiebeveiligingscultuur tot stand kan worden gebracht;

• het informatiebeveiligingsbeleid op alle rubricerings- en categoriseringsniveaus te moderniseren voor alle instellingen en organen van de Unie, rekening houdend met de digitale transformatie en de ontwikkeling van thuiswerken als structurele praktijk.

• Samenhang met bestaande bepalingen op het beleidsterrein

Dit initiatief is in overeenstemming met een breed scala aan EU-beleid op het gebied van veiligheid en informatiebeveiliging.

Al in 2016 stelden het Europees Parlement en de Raad een richtlijn ⁵ vast met maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. Die richtlijn was de eerste EU-brede wetgevingsmaatregel waarmee werd gestreefd naar nauwere samenwerking tussen de lidstaten op het gebied van cyberbeveiliging. De Commissie kwam in december 2020 met een voorstel tot herziening van dit instrument, waarbij toezichtmaatregelen voor de nationale autoriteiten werden voorgesteld, maar dat had geen betrekking op het bestuur van de Unie.

Ter bescherming van de informatiebeveiliging is het ook, als aanvulling op de inspanningen van de lidstaten op veiligheidsgebied, van het allergrootste belang dat de instellingen en organen van de Unie zorgen voor een hoog niveau van bescherming van hun informatie en de daarmee samenhangende informatie- en communicatiesystemen.

De Commissie stelde in juli 2020 de strategie voor de veiligheidsunie vast ⁶, waarin de EU zich er op alle vlakken toe verbindt de inspanningen van de lidstaten op alle beveiligingsterreinen aan te vullen. De strategie loopt van 2020 tot en met 2025 en voorziet in vier grote actiegebieden: een toekomstbestendige veiligheidsomgeving, aanpak van veranderende dreigingen, bescherming van Europeanen tegen terrorisme en georganiseerde misdaad en een krachtig Europees veiligheidsecosysteem. Verschillende thema’s op deze gebieden zijn gericht op informatiebeveiliging, cyberbeveiliging, samenwerking en informatie-uitwisseling en kritieke infrastructuur.

In overeenstemming met de strategie voor de veiligheidsunie stelt de Europese Commissie voor een minimumreeks voorschriften op het gebied van informatiebeveiliging op te stellen voor alle instellingen en organen van de Unie, waarbij verplichte, strikte gemeenschappelijke normen voor de veilige uitwisseling van informatie tot stand zullen komen. Dit initiatief toont aan dat de instellingen en organen zich ertoe verbinden om binnen het Europese bestuur evenveel ambitie op het gebied van veiligheid te tonen als van de lidstaten wordt geëist.

Op 16 december 2020 hebben de Commissie en de hoge vertegenwoordiger voor buitenlandse zaken en veiligheidsbeleid een nieuwe EU-strategie inzake cyberbeveiliging ⁷ gepresenteerd. Daarin werden prioriteiten en belangrijke maatregelen voorgesteld om veerkracht, autonomie, leiderschap en operationele capaciteit voor Europa op te bouwen in het licht van de toenemende complexe dreigingen voor netwerk- en informatiesystemen, en om een mondiale open cyberspace en internationale partnerschappen in dat verband te bevorderen. Het is evenzeer belangrijk dat de instellingen en organen van de Unie bijdragen tot de verwezenlijking van deze prioriteiten door gelijkwaardige eisen op het gebied van informatiebeveiliging en cyberbeveiliging vast te stellen.

Samen met het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt dit voorstel de regelgeving in het kader van de strategie voor de veiligheidsunie te vervolledigen met specifieke vereisten voor het Europese bestuur. Gezien de onderlinge verbanden tussen informatiebeveiliging en cyberbeveiliging moet ten aanzien van deze twee voorstellen worden gezorgd voor een coherente aanpak van de bescherming van niet-gerubriceerde informatie.

• Verenigbaarheid met andere beleidsterreinen van de Unie

Dit initiatief houdt ook rekening met andere beleidsterreinen van de Unie die voor informatiebeveiliging relevant zijn.

Op het gebied van gegevensbescherming is Verordening (EU) 2018/1725 ⁸ betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens van toepassing op het bestuur van de Europese Unie en de Europese Gemeenschap voor Atoomenergie (Euratom). Ook moet worden vermeld dat de EU-wetgevers voor sommige instellingen en organen van de Unie specifieke relevante regels voor de bescherming van persoonsgegevens hebben vastgesteld.

Wat transparantie betreft, bouwt dit voorstel voort op de beginselen die zijn neergelegd in Verordening (EG) nr. 1049/2001 ⁹ inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie, met betrekking tot andere relevante regels.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

• Rechtsgrondslag

Gezien het doel en de inhoud van dit voorstel vormen artikel 298 van het Verdrag betreffende de werking van de Europese Unie (VWEU) en artikel 106 bis van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie de meest geschikte rechtsgrondslag.

Artikel 298 VWEU, ingevoerd bij het Verdrag van Lissabon, stelt de wetgevers in staat bepalingen vast te stellen voor de totstandbrenging van een efficiënt en onafhankelijk ambtenarenapparaat dat de instellingen, organen en instanties bij de uitvoering van hun taken ondersteunt.

Een efficiënt en onafhankelijk ambtenarenapparaat moet kunnen vertrouwen op de veiligheid van zijn informatie. Om hun taken te vervullen, moeten de instellingen en organen van de Unie kunnen beschikken over een beveiligde omgeving voor de informatie die zij dagelijks verwerken en opslaan. Bovendien zou een gemeenschappelijk basisniveau van verplichte normen voor iedereen een hoge mate van veiligheid garanderen, het risico op zwakke schakels bij de ondersteuning van de interoperabiliteit tussen instellingen en organen verminderen en synergie tot stand brengen, waardoor de overheid beter weerbaar is tegen de veranderende dreigingen.

Dit voorstel, waarvan het algemene doel is een hoog gemeenschappelijk niveau van beveiliging tot stand te brengen voor EUCI en niet-gerubriceerde informatie die door de instellingen en organen van de Unie worden verwerkt en opgeslagen, zal het Europese bestuur bovendien in staat stellen zich beter te verweren tegen externe inmenging en spionageactiviteiten.

Op grond van artikel 298 VWEU kan de Unie gemeenschappelijke regels vaststellen voor het gehele Europese bestuur en aldus waarborgen dat zowel EUCI als niet-gerubriceerde informatie door alle instellingen en organen van de Unie op dezelfde wijze wordt behandeld. Zo worden bij deze verordening regels vastgesteld die van toepassing zijn op het bestuur en kunnen indirect alleen verplichtingen worden opgelegd aan personen die taken verrichten namens dit bestuur of op contractuele basis; dus niet aan de commissarissen, de vertegenwoordigers van de lidstaten die in het kader van de Raad handelen, de leden van het Europees Parlement, de rechters van de rechterlijke instanties van de Unie of de leden van de Europese Rekenkamer.

Overeenkomstig artikel 298 VWEU moeten het Europees Parlement en de Raad de desbetreffende bepalingen volgens de gewone wetgevingsprocedure bij verordeningen vaststellen.

Dit voorstel vereist een aanvullende rechtsgrondslag aangezien het ook betrekking heeft op de informatie die verband houdt met bepaalde activiteiten van de Europese Gemeenschap voor Atoomenergie. Dergelijke informatie is geen gerubriceerde Euratom-informatie, maar wordt door de instellingen en organen van de Unie behandeld in het kader van de algemene regeling voor EUCI.

Deze aanvullende rechtsgrondslag is artikel 106 bis van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, waardoor artikel 298 VWEU ook van toepassing is op bovengenoemde Euratom-activiteiten.

• Subsidiariteit (voor niet-exclusieve bevoegdheden)

Overeenkomstig het in artikel 5, lid 3, van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel mag slechts op het niveau van de Unie worden opgetreden wanneer de doelstellingen van het overwogen optreden niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de EU kunnen worden bereikt.

Aangezien alleen de Unie voorschriften kan vaststellen en inzake EUCI en gevoelige niet-gerubriceerde informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, is het subsidiariteitsbeginsel niet van toepassing.

• Evenredigheid

De vaststelling van een gemeenschappelijk basisniveau van informatiebeveiliging dat voor alle instellingen en organen van de Unie geldt, is noodzakelijk om bij te dragen tot een onafhankelijk en efficiënt bestuur.

Overeenkomstig het in artikel 5, lid 4, VEU neergelegde evenredigheidsbeginsel zijn de bepalingen van de verordening niet te prescriptief en laten zij ruimte voor verschillende niveaus van specifiek optreden, in overeenstemming met het maturiteitsniveau op beveiligingsgebied van elke instelling en elk orgaan van de Unie.

Bovendien heeft de oplossing beperkte gevolgen voor de grondrechten van personen. Het voorstel gaat derhalve niet verder dan wat nodig is voor de aanpak van het probleem dat er geen gemeenschappelijke reeks voorschriften inzake informatiebeveiliging bestaat voor alle instellingen en organen van de Unie.

• Keuze van het instrument

Een verordening op basis van artikel 298 VWEU wordt als het passende rechtsinstrument beschouwd.

De reden daarvoor is de overheersende rol van elementen die een uniforme toepassing vereisen, die de instellingen en organen van de Unie geen uitvoeringsmarge laat en die een horizontaal minimumkader creëert.

3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

• Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

Inhoudsopgave

Niet van toepassing
Onderwerp en toepassingsgebied (artikel 1 en artikel 2)
Definities en algemene beginselen (artikelen 3 tot en met 5)
Governance en organisatie van de beveiliging (artikelen 6 tot en met 8)
Informatieborging en communicatie- en informatiesystemen (artikelen 9 tot en met 11)
Niet-gerubriceerde informatie (artikelen 12 tot en met 17 en bijlage I)
EUCI (artikelen 18 tot en met 58 en bijlagen II tot en met VI)
Slotbepalingen (artikelen 59 en 62)

1. Niet van toepassing

• Raadpleging van belanghebbenden

De Commissie heeft de belangrijkste belanghebbenden op brede basis geraadpleegd over diverse aspecten van de voorschriften inzake informatiebeveiliging van de instellingen en organen van de Unie. De raadplegingsactiviteiten waren er met name op gericht relevante input te verzamelen voor het opstellen van een wetgevingsinitiatief inzake de voorschriften voor informatiebeveiliging die voor alle instellingen en organen van de Unie gelden. De raadplegingen waren bedoeld om input te verzamelen over:

• problemen in verband met het bestaande kader voor informatiebeveiliging binnen de instellingen en organen van de Unie die volgens belanghebbenden in het kader van het initiatief moeten worden aangepakt;

• de relevantie, doeltreffendheid, efficiëntie en toegevoegde waarde van het initiatief;

• de verwachte effecten van het initiatief en mogelijke andere consequenties voor de belanghebbenden.

Bij de voorbereiding van dit wetgevingsvoorstel heeft de Commissie de volgende categorieën belanghebbenden geraadpleegd:

1. instellingen, organen en instanties van de Unie;

2. nationale veiligheidsautoriteiten in de lidstaten;

3. onderzoeksdeskundigen van het JRC.

Gezien de bijzondere kenmerken van dit initiatief, dat uitsluitend van toepassing is op de instellingen en organen van de Unie en weinig gevolgen heeft voor de Europese burgers en bedrijven, hebben de diensten van de Commissie ervoor gekozen prioriteit te geven aan het verzamelen van de standpunten van de relevante groepen belanghebbenden. Er is daarom geen openbare raadpleging specifiek voor dit wetgevingsinitiatief gehouden.

Tijdens het raadplegingsproces hebben de diensten van de Commissie de volgende methoden en vormen van raadpleging gebruikt:

1. de mogelijkheid voor alle belanghebbenden om via het platform “Geef uw mening” van de Commissie feedback te geven over de aanvangseffectbeoordeling;

2. een gerichte vragenlijst voor deskundigen op het gebied van informatiebeveiliging binnen de instellingen en organen van de Unie, via een online EU-enquête;

3. een gerichte vragenlijst voor de nationale veiligheidsautoriteiten van de lidstaten, via een online EU-enquête;

4. een verzoek om een op maat gesneden risicobeoordeling van de essentiële informatiebeveiligingsinstrumenten;

5. een groot aantal bijeenkomsten en uitwisselingen met instellingen, organen en instanties, en nationale veiligheidsautoriteiten van de lidstaten.

De belangrijkste inzichten waartoe de raadplegingsactiviteiten hebben geleid, zijn volgens de Commissie:

• de versnippering van de relevante rechtskaders tussen onze instellingen en organen leidt tot veel dubbel werk voor het opstellen en handhaven van interne regels en tot niet-interoperabele praktijken bij de verwerking van informatie. Voor de lidstaten leiden de verschillende regels tot een groter risico op misverstanden, verkeerde interpretatie en niet-naleving;

• door een basisniveau van informatiebeveiliging voor alle instellingen en organen van de Unie vast te stellen, wordt een ecosysteem gecreëerd met gestandaardiseerde beveiligingsvoorschriften en beste praktijken, maar er moet rekening worden gehouden met de diversiteit en het verschillende bedrijfsklimaat van alle instellingen en organen van de Unie en lokale oplossingen moeten mogelijk zijn;

• alle instellingen en organen van de Unie blijven volledig verantwoordelijk voor hun organisatie van de informatiebeveiliging, en dit initiatief moet derhalve de autonomie en de verschillende niveaus van beveiligingsmaturiteit van elk van die instellingen en organen respecteren.

• Bijeenbrengen en benutten van deskundigheid

De Commissie heeft haar eigen middelen gebruikt voor de raadpleging van belanghebbenden. Het directoraat Beveiliging van DG HR heeft werkzaamheden verricht met betrekking tot de enquêtes, videoconferenties en andere workshops. Deze taak omvatte zowel de selectie van deelnemers als de organisatie van evenementen en de verwerking van de ontvangen input.

Het Gemeenschappelijk Centrum voor Onderzoek (JRC) heeft een risicobeoordeling uitgevoerd van de belangrijkste informatiebeveiligingsvoorzieningen, die als basis voor de effectbeoordeling is gebruikt.

• Effectbeoordeling

Dit initiatief is uitsluitend gericht tot de instellingen en organen van de Unie en heeft beperkte gevolgen voor de lidstaten en individuele personen. Het was daarom niet nodig om een volledige effectbeoordeling uit te voeren, aangezien er geen duidelijk identificeerbare of significante gevolgen zijn voor burgers en bedrijven. Op de Europa-website is een uitgebreide routekaart gepubliceerd en feedback van de relevante belanghebbenden is verzameld.

• Resultaatgerichtheid en vereenvoudiging

Niet van toepassing.

• Grondrechten

De EU heeft zich ertoe verbonden hoge normen voor de bescherming van de grondrechten te waarborgen. Dit initiatief waarborgt volledige naleving van de grondrechten die zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie ¹⁰, namelijk:

• Recht op behoorlijk bestuur ¹¹

Door de beveiliging van de informatie die zij verwerken bij de behandeling van zaken van Europese burgers te verbeteren, dragen de instellingen en organen van de Unie bij tot de verwezenlijking van het beginsel van behoorlijk bestuur.

• De bescherming van persoonsgegevens ¹²

Alle verwerking van persoonsgegevens in het kader van dit voorstel vindt plaats in een betrouwbare omgeving met volledige inachtneming van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad.

• Recht van inzage in documenten ¹³

De toegang van het publiek tot EUCI en gevoelige niet-gerubriceerde documenten blijft volledig geregeld bij Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad.

• Het recht op intellectuele eigendom ¹⁴

Bij de verwerking en opslag van niet-gerubriceerde informatie en EUCI beschermen de instellingen en organen van de Unie de intellectuele eigendom overeenkomstig Richtlijn 2001/29/EG van het Europees Parlement en de Raad ¹⁵.

• De vrijheid van meningsuiting en van informatie ¹⁶

Hoewel het iedereen vrijstaat om zonder inmenging van het openbaar gezag informatie en ideeën te ontvangen en te delen, belet dit de Unie niet de voorwaarden vast te stellen voor de toegang tot en de verwerking en de opslag van bepaalde soorten informatie, op basis van hun vertrouwelijkheidsniveau.

De uitoefening van deze vrijheden kan worden onderworpen aan voorwaarden en beperkingen die bij de wet worden bepaald en die in een democratische samenleving noodzakelijk zijn om te voorkomen dat in vertrouwen en in het belang van de veiligheid van de EU ontvangen informatie openbaar wordt gemaakt.

4. GEVOLGEN VOOR DE BEGROTING

Dit voorstel vereist de aanstelling van één AD-ambtenaar en één AST-assistent voor het permanente secretariaat van de coördinatiegroep, dat wordt verzorgd door de Commissie en wordt ondergebracht bij het directoraat Beveiliging van het directoraat-generaal Personele Middelen en Veiligheid.

Voor de instellingen en organen worden kostenbesparingen verwacht in verband met gedeelde en gezamenlijke taken en doordat potentiële economische schade als gevolg van veiligheidsincidenten wordt voorkomen door verbetering van de informatiebeveiliging. Anderzijds kunnen de financiële inspanningen die nodig zijn voor de uitvoering van de nieuwe wetgeving worden gedekt in het kader van de bestaande programma’s ter verbetering van de informatiebeveiliging in elke instelling en elk orgaan van de Unie.

5. ANDERE ELEMENTEN

• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

Het voorstel voorziet in een verplichting voor de Commissie om iedere drie jaar aan het Europees Parlement en de Raad verslag uit te brengen over de uitvoering van deze verordening, met inbegrip van de werking van de bij deze verordening ingestelde governance.

Bovendien evalueert de Commissie om de vijf jaar deze verordening om de feitelijke prestaties ervan te beoordelen en op basis daarvan na te gaan of de wetgeving moet worden gewijzigd.

• Artikelsgewijze toelichting

Dit voorstel is opgebouwd rond de vereisten voor het verwerken en opslaan van niet-gerubriceerde informatie en EUCI; dit zijn de belangrijkste onderwerpen van het initiatief en betere bescherming ervan is het onderliggende doel.

2. Onderwerp en toepassingsgebied (artikel 1 en artikel 2)

Bij deze verordening wordt een minimumreeks regels inzake informatiebeveiliging vastgesteld, die van toepassing zijn op alle instellingen en organen van de Unie.

Het voorstel is van toepassing op alle informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, met inbegrip van informatie in verband met de activiteiten van de Europese Gemeenschap voor Atoomenergie, met uitzondering van gerubriceerde Euratom-informatie. Zowel niet-gerubriceerde informatie als EUCI valt onder deze verordening.

3. Definities en algemene beginselen (artikelen 3 tot en met 5)

De definities in artikel 3 zijn gebaseerd op de huidige regels inzake informatiebeveiliging die door de afzonderlijke instellingen en organen van de Unie zijn vastgesteld.

Naast de algemene beginselen van de wetgeving van de Unie: transparantie, evenredigheid, efficiëntie en verantwoordingsplicht, worden bij deze verordening de belangrijkste bindende richtsnoeren vastgesteld, zoals een afzonderlijk risicobeheerproces op het gebied van informatiebeveiliging dat door elke instelling en elk orgaan van de Unie wordt uitgevoerd en een beoordeling van hun informatie, zodat die naar behoren kan worden gecategoriseerd.

4. Governance en organisatie van de beveiliging (artikelen 6 tot en met 8)

Alle instellingen en organen van de Unie moeten samenwerken in een interinstitutionele coördinatiegroep voor informatiebeveiliging, die bij consensus handelt, in het gemeenschappelijk belang van de instellingen en organen van de Unie.

De coördinatiegroep bestaat uit de beveiligingsautoriteiten van alle instellingen en organen en stelt richtsnoeren op voor de uitvoering van deze verordening. De groep onderhoudt regelmatig contact met de nationale veiligheidsautoriteiten van de lidstaten, die samenwerken in een comité voor informatiebeveiliging.

Om de procedures en andere praktische aspecten in verband met informatiebeveiliging te stroomlijnen, worden vijf subgroepen opgericht met deskundigen die verschillende instellingen en organen vertegenwoordigen.

Elke instelling en elk orgaan van de Unie moet een veiligheidsautoriteit aanwijzen die belast wordt met het bepalen en uitvoeren van het interne beleid inzake informatiebeveiliging. De beveiligingsautoriteit stelt specifieke functies vast, zoals de Information Assurance Authority (instantie voor informatieborging), de Information Assurance Operational Authority (operationele instantie voor informatieborging), de Security Accreditation Authority (instantie voor beveiligingshomologatie), de TEMPEST Authority (Tempest-instantie), de Crypto Approval Authority (instantie voor de goedkeuring van cryptografische producten) en de Crypto Distribution Authority (instantie voor de distributie van cryptografische producten), die om redenen van efficiëntie of beschikbare middelen aan een andere instelling of ander orgaan kunnen worden gedelegeerd.

5. Informatieborging en communicatie- en informatiesystemen (artikelen 9 tot en met 11)

Bij de verordening wordt een subgroep informatieborging opgericht, die tot taak heeft de samenhang te verbeteren van de informatiebeveiligingsvoorschriften en het basisniveau op het gebied van cyberbeveiliging, zoals gedefinieerd in de verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie.

De instellingen en organen van de Unie zijn verplicht de in die artikelen genoemde beginselen na te leven en afzonderlijke interne regels voor specifieke beveiligingsmaatregelen vast te stellen, aangepast aan hun eigen veiligheidsomgeving.

6. Niet-gerubriceerde informatie (artikelen 12 tot en met 17 en bijlage I)

De verordening onderscheidt drie categorieën niet-gerubriceerde informatie: informatie voor openbaar gebruik, normale informatie en gevoelige niet-gerubriceerde informatie. Alle categorieën worden gedefinieerd en er worden markeringen en verwerkingsvoorwaarden vastgesteld voor de bescherming van dergelijke informatie.

Ter coördinatie van het werk in verband met de gelijkwaardigheid tussen bepaalde categorieën die door sommige instellingen en organen van de Unie zijn vastgesteld en de gemeenschappelijke categorieën waarin de verordening voorziet, wordt in het voorstel een subgroep voor niet-gerubriceerde informatie ingesteld.

7. EUCI (artikelen 18 tot en met 58 en bijlagen II tot en met VI)

Dit is het omvangrijkste hoofdstuk van het voorstel. Het bestaat uit de volgende zeven delen: algemene bepalingen, personeelsbeveiliging, fysieke beveiliging, beheer van EUCI, bescherming van communicatie- en informatiesystemen, industriële beveiliging, delen van EUCI en uitwisseling van gerubriceerde informatie.

In het deel over algemene bepalingen worden vier niveaus van EUCI onderscheiden: TRÈS SECRET UE/EU TOP SECRET, SECRET UE/EU SECRET, CONFIDENTIEL UE/EU CONFIDENTIAL, RESTREINT UE/EU RESTRICTED. Het voorziet in de verplichting voor de instellingen en organen van de Unie om de nodige beveiligingsmaatregelen te nemen overeenkomstig de resultaten van het risicobeheer op het gebied van informatiebeveiliging.

In de overige delen wordt ingegaan op de normen voor de bescherming van EUCI die verband houden met het specifieke gebied dat in die delen wordt behandeld. Nadere details voor deze bescherming van EUCI worden gespecificeerd in de bijlagen II tot en met V. Bijlage VI bevat een equivalentietabel van EUCI en de rubriceringsgraden van de lidstaten en de Europese Gemeenschap voor Atoomenergie.

Om de relevante processen op dit gebied te stroomlijnen en dubbel werk te voorkomen, worden bij de verordening subgroepen ingesteld inzake informatieborging, niet-gerubriceerde informatie, fysieke beveiliging, homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan, en uitwisseling van EUCI en gerubriceerde informatie.

8. Slotbepalingen (artikelen 59 en 62)

Dit deel behandelt de overgang van de huidige regels en procedures naar het nieuwe rechtskader dat bij deze verordening wordt ingesteld. De slotbepalingen hebben betrekking op de interne voorschriften inzake informatiebeveiliging die momenteel van toepassing zijn in de instellingen en organen van de Unie, de erkenning van evaluatiebezoeken die plaatsvinden voordat de verordening van toepassing wordt, de behandeling van eerder gesloten administratieve regelingen en de voortzetting van specifieke beveiligingskaders die van toepassing zijn op subsidieovereenkomsten.

Deze verordening wordt van toepassing twee jaar na de datum van inwerkingtreding.