Overwegingen bij COM(2022)119 - Informatiebeveiliging in de instellingen, organen en instanties van de Unie - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)119 - Informatiebeveiliging in de instellingen, organen en instanties van de Unie. |
|---|---|
| document | COM(2022)119   |
| datum | 22 maart 2022 |
(2) Hoewel er vooruitgang is geboekt bij de totstandkoming van consistentere regels voor de bescherming van gerubriceerde informatie van de Europese Unie (EUCI) en niet-gerubriceerde informatie, blijft de interoperabiliteit van de relevante systemen beperkt, waardoor een naadloze overdracht van informatie tussen de verschillende instellingen en organen van de Unie wordt verhinderd. Daarom moet verder worden gewerkt aan een interinstitutionele aanpak van het delen van EUCI en gevoelige niet-gerubriceerde informatie, waarvoor gemeenschappelijke categorieën informatie en gemeenschappelijke beginselen voor de behandeling van informatie moeten worden gehanteerd. Er moet ook worden nagedacht over een basisscenario ter vereenvoudiging van de procedures voor het delen van EUCI en gevoelige niet-gerubriceerde informatie tussen de instellingen en organen van de Unie en met de lidstaten.
(3) Er moeten daarom relevante regels worden vastgesteld die een gemeenschappelijk niveau van informatiebeveiliging in alle instellingen en organen van de Unie waarborgen. Die regels moeten een alomvattend en samenhangend algemeen kader vormen voor de bescherming van EUCI en niet-gerubriceerde informatie, en ervoor zorgen dat de basisbeginselen en minimumnormen gelijkwaardig zijn.
(4) De recente pandemie heeft ertoe geleid dat de werkmethoden aanzienlijk zijn veranderd, in die zin dat het gebruik van instrumenten voor communicatie op afstand de regel is geworden. Daarom werden veel procedures die nog voor ten minste een deel uitgingen van uitwisseling op papier, snel aangepast om elektronische verwerking en uitwisseling van informatie mogelijk te maken. Deze ontwikkelingen vereisen veranderingen ten aanzien van de verwerking en bescherming van informatie. Deze verordening houdt rekening met de nieuwe werkmethoden.
(5) Door een gemeenschappelijk minimumniveau van bescherming van EUCI en niet-gerubriceerde informatie te creëren, draagt deze verordening ertoe bij dat de instellingen en organen van de Unie bij de uitvoering van hun taken worden ondersteund door een efficiënt en onafhankelijk bestuur. Tegelijkertijd blijft het zo dat elke instelling en elk orgaan van de Unie autonoom kan bepalen hoe de in deze verordening vastgestelde regels moeten worden uitgevoerd, overeenkomstig de eigen beveiligingsbehoeften. Deze verordening belet de instellingen en organen van de Unie in geen geval om hun taak, zoals die hun door de EU-wetgeving is toevertrouwd, te vervullen, en laat hun institutionele autonomie onverlet.
(6) Deze verordening doet geen afbreuk aan Verordening (Euratom) nr. 3/195817, Verordening nr. 31/EEG, nr. 11/EGA, tot vaststelling van het statuut van de ambtenaren en de regeling welke van toepassing is op de andere personeelsleden van de Europese Economische Gemeenschap en de Europese Gemeenschap voor Atoomenergie18, Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad19, Verordening (EU) 2018/1725 van het Europees Parlement en de Raad20, Verordening (EEG, Euratom) nr. 354/83 van de Raad21, Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad22, Verordening (EU) 2021/697 van het Europees Parlement en de Raad23, en Verordening (EU) […] van het Europees Parlement en de Raad24 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (nog vast te stellen).
(7) Teneinde het specifieke karakter te behouden van de activiteiten van de Europese Gemeenschap voor Atoomenergie die onder Verordening (EG) nr. 3/1958 van de Raad van de Europese Gemeenschap voor Atoomenergie25 vallen, moet deze verordening niet van toepassing zijn op gerubriceerde Euratom-gegevens. Deze verordening moet echter wel van toepassing zijn op alle informatie met betrekking tot andere Euratom-activiteiten die niet onder Verordening (EG) nr. 3/1958 vallen.
(8) Er moet een formele structuur voor de samenwerking tussen de instellingen en organen van de Unie op het gebied van informatiebeveiliging tot stand worden gebracht; daartoe moet een interinstitutionele coördinatiegroep (hierna “de coördinatiegroep”) worden opgezet, waarin alle veiligheidsautoriteiten van de instellingen en organen van de Unie zijn vertegenwoordigd. De coördinatiegroep moet geen beslissingsbevoegdheid hebben, maar moet de samenhang van het beleid op het gebied van informatiebeveiliging versterken en bijdragen tot de harmonisatie van de procedures en instrumenten voor informatiebeveiliging in de instellingen en organen van de Unie.
(9) De werkzaamheden van de coördinatiegroep moeten worden ondersteund door deskundigen op verschillende gebieden van informatiebeveiliging: categorisering en markering, communicatie- en informatiesystemen, homologatie, fysieke beveiliging, delen van EUCI en uitwisseling van gerubriceerde informatie. Om dubbel werk binnen de instellingen en organen van de Unie te voorkomen, moeten daartoe thematische subgroepen worden opgericht. Bovendien moet de coördinatiegroep indien nodig andere subgroepen met specifieke taken kunnen opzetten.
(10) De coördinatiegroep moet nauw samenwerken met de nationale veiligheidsautoriteiten van de lidstaten om de informatiebeveiliging in de Unie te verbeteren. Daartoe moet een comité voor informatiebeveiliging van de lidstaten worden opgericht, dat de coördinatiegroep van advies voorziet.
(11) De gemeenschappelijke organen die alle instellingen en organen van de Unie vertegenwoordigen, zijn opgezet op basis van het samenwerkingsbeginsel, maar elke instelling en elk orgaan moet volledig verantwoordelijk blijven voor de informatiebeveiliging binnen de eigen organisatie. Elke instelling en elk orgaan van de Unie moet beschikken over een veiligheidsautoriteit en, indien nodig, andere instanties die belast zijn met specifieke taken op het gebied van informatiebeveiliging.
(12) Het beginsel van risicobeheer op het gebied van informatiebeveiliging moet de kern vormen van het beleid dat elke instelling en elk orgaan van de Unie op dit gebied moet ontwikkelen. Hoewel aan de minimumvereisten van deze verordening moet worden voldaan, moet elke instelling en elk orgaan van de Unie specifieke beveiligingsmaatregelen vaststellen voor de bescherming van informatie, overeenkomstig de resultaten van een interne risicobeoordeling. Ook moeten de technische middelen voor de bescherming van informatie worden aangepast aan de specifieke situatie van elke instelling en elk orgaan.
(13) Gezien de verscheidenheid aan categorieën niet-gerubriceerde informatie die de instellingen en organen van de Unie op basis van hun eigen beveiligingsvoorschriften hebben ontwikkeld, moeten de instellingen en organen van de Unie, om vertraging bij de uitvoering van deze verordening te voorkomen, hun eigen markeringssysteem kunnen handhaven voor interne doeleinden of bij de uitwisseling van informatie met andere instellingen en organen en met de lidstaten.
(14) Met het oog op aanpassing aan de nieuwe thuiswerkpraktijken moeten de netwerken die worden gebruikt om verbinding te maken met de diensten voor toegang op afstand van elke instelling en elk orgaan van de Unie worden beschermd met passende beveiligingsmaatregelen.
(15) Aangezien de instellingen en organen van de Unie vaak gebruikmaken van contractanten en uitbesteding, is het van belang gemeenschappelijke bepalingen vast te stellen met betrekking tot het personeel van contractanten dat taken op het gebied van informatiebeveiliging uitvoert.
(16) De materiële voorschriften betreffende de toegang tot EUCI die deel uitmaken van de interne voorschriften van de verschillende instellingen en organen van de Unie zijn momenteel op elkaar afgestemd, maar er zijn aanzienlijke verschillen wat betreft benamingen en vereiste procedures. Dit leidt tot lasten voor de nationale veiligheidsautoriteiten van de lidstaten, die zich aan verschillende vereisten moeten aanpassen. Er moeten daarom een gemeenschappelijke woordenlijst en gemeenschappelijke procedures worden vastgesteld op het gebied van personeelsbeveiliging, waardoor de samenwerking met de nationale veiligheidsautoriteiten van de lidstaten wordt vereenvoudigd en het risico op compromittering van EUCI wordt beperkt.
(17) Gezien de verschillen tussen de instellingen en organen van de Unie wat beschikbare middelen betreft en met het oog op de stroomlijning van hun relevante procedures en praktijken, kunnen de taken met betrekking tot veiligheidsmachtigingen aan de Commissie worden toevertrouwd, zodat de voortzetting van de reeds lang bestaande praktijk op het gebied van veiligheidsmachtigingen gewaarborgd is en wordt bijgedragen tot de centralisering van de aan elke veiligheidsautoriteit toegewezen taken.
(18) De bescherming van EUCI wordt ook gewaarborgd door de technische en organisatorische maatregelen die van toepassing zijn op de panden, gebouwen, ruimten, kantoren en faciliteiten van de instellingen en organen van de Unie waar EUCI wordt besproken, verwerkt of opgeslagen. Deze verordening voorziet in de uitvoering van een beheersproces voor de fysieke informatiebeveiliging dat de instellingen en organen van de Unie in staat stelt passende beveiligingsmaatregelen voor hun locaties te selecteren.
(19) Alle instellingen en organen van de Unie die EUCI verwerken en opslaan, moeten op hun locaties fysiek beschermde zones instellen om te waarborgen dat hetzelfde beschermingsniveau geldt voor de relevante rubriceringsgraden van de EUCI die binnen die locaties wordt verwerkt en opgeslagen. Die zones moeten worden aangewezen als administratieve zones en beveiligde zones en moeten voldoen aan gemeenschappelijke minimumnormen voor de bescherming van EUCI.
(20) Controle door de auteur is een belangrijk beginsel bij het beheer van EUCI, dat duidelijk moet worden omschreven en uitgewerkt. In dat verband geeft het aanmaken van EUCI de auteur een verantwoordelijkheid die de gehele levenscyclus van het desbetreffende EUCI-document moet bestrijken.
(21) De instellingen en organen van de Unie hebben van oudsher autonoom hun communicatie- en informatiesystemen ontwikkeld, waarbij onvoldoende aandacht is geschonken aan de interoperabiliteit met alle instellingen en organen van de Unie. Het is derhalve noodzakelijk minimumvoorschriften vast te stellen voor de beveiliging van communicatie- en informatiesystemen (CIS) waarin zowel EUCI als niet-gerubriceerde informatie wordt verwerkt en opgeslagen, teneinde een naadloze uitwisseling van informatie met belanghebbenden te waarborgen.
(22) Teneinde te komen tot één homologatienorm voor CIS waarin EUCI wordt verwerkt en opgeslagen, moeten de instellingen en organen van de Unie samenwerken in een daartoe opgerichte groep. Aanbevolen wordt dat al die instellingen en organen die norm toepassen om bij te dragen tot een algemeen niveau van bescherming van EUCI. Wat de organisatorische autonomie betreft, blijft het besluit echter berusten bij de bevoegde autoriteit van elk van de instellingen en organen.
(23) Alle instellingen en organen van de Unie moeten dezelfde procedures volgen en dezelfde maatregelen toepassen wanneer zij gerubriceerde contracten of subsidieovereenkomsten gunnen en uitvoeren. Daarom moeten zowel de verplichte als de facultatieve bepalingen van gerubriceerde contracten en subsidieovereenkomsten duidelijk worden vastgesteld. Bij de maatregelen ter bescherming van EUCI in verband met gerubriceerde contracten en subsidieovereenkomsten moet echter rekening worden gehouden met de voorschriften die op dit gebied reeds afzonderlijk door de instellingen en organen van de Unie en de lidstaten zijn ontwikkeld.
(24) De nauwe samenwerking tussen de instellingen en organen van de Unie en de vele synergieën die tot stand zijn gebracht, houden in dat een grote hoeveelheid informatie wordt uitgewisseld. Met het oog op de beveiliging van gerubriceerde informatie moet de betrouwbaarheid van een instelling of orgaan van de Unie worden beoordeeld voordat die instelling of dat orgaan een bepaald niveau van EUCI verwerkt en opslaat.
(25) Voorts moet het delen van EUCI tussen de instellingen en organen van de Unie en de uitwisseling van gerubriceerde informatie met internationale organisaties en derde landen ook worden geregeld door passende beveiligingsmaatregelen voor de bescherming van die informatie. Wanneer overeenkomsten inzake informatiebeveiliging worden overwogen, moeten de bepalingen van artikel 218 van het Verdrag van toepassing zijn.
(26) Overeenkomsten inzake informatiebeveiliging zijn bedoeld om het algemene rechtskader van de Unie voor de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties te waarborgen; het is ook noodzakelijk te voorzien in de mogelijkheid dat de instellingen en organen van de Unie, met het oog op de uitwisseling van EUCI, administratieve regelingen treffen met een specifieke soortgelijke instelling van een derde land of een internationale organisatie.
(27) Bij deze verordening wordt een gemeenschappelijk kader voor alle instellingen en organen van de Unie vastgesteld. Om te voorkomen dat aan de instellingen en organen van de Unie buitensporige administratieve lasten worden opgelegd in het kader van de aanpassing van hun interne veiligheidsvoorschriften aan de voorschriften van deze verordening, moet deze verordening twee jaar na de inwerkintreding ervan van toepassing worden.
(28) Overeenkomstig de punten 22 en 23 van het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven26 moet de Commissie deze verordening evalueren om na te gaan wat de daadwerkelijke effecten ervan zijn en of verdere maatregelen nodig zijn. De Commissie moet uiterlijk drie jaar na de datum waarop deze verordening van toepassing wordt, bij het Europees Parlement en de Raad een verslag indienen over de uitvoering ervan.
(29) De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad27 geraadpleegd en heeft op … advies uitgebracht.