Toelichting bij COM(2017)477 - Enisa, het agentschap van de EU voor cyberbeveiliging, en certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening") - Hoofdinhoud

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier	COM(2017)477 - Enisa, het agentschap van de EU voor cyberbeveiliging, en certificering van de cyberbeveiliging van informatie- en ...
bron	COM(2017)477
datum	13-09-2017

1. ACHTERGROND VAN HET VOORSTEL

• Motivering en doel van het voorstel

De Europese Unie heeft een aantal maatregelen getroffen om de weerbaarheid en haar paraatheid inzake cyberbeveiliging te verhogen. De eerste, in 2013 vastgestelde, EU-strategie inzake cyberbeveiliging ¹ omvat strategische doelstellingen en concrete maatregelen voor het tot stand brengen van veerkracht, voor het terugdringen van cybercriminaliteit alsmede voor de ontwikkeling van cyberdefensiebeleid- en capaciteit, van industriële en technologische voorzieningen en van een coherent internationaal cyberbeveiligingsbeleid voor de EU. Er hebben op dat gebied sindsdien belangrijke ontwikkelingen plaatsgevonden, waaronder met name het tweede mandaat voor het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) ² en de vaststelling van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen ³ ("de NIS-richtlijn"), die de basis vormen voor het onderhavige voorstel.

Verder heeft de Europese Commissie in 2016 een mededeling vastgesteld over het versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche ⁴ , waarin verdere maatregelen werden aangekondigd om nauwere samenwerking betere uitwisseling van informatie en kennis tot stand te brengen, en om weerbaarheid en paraatheid van de EU te verbeteren, waarbij ook rekening werd gehouden met het vooruitzicht op grootschalige incidenten en een eventuele pan-Europese cyberveiligheidscrisis. In dat kader heeft de Commissie aangekondigd sneller dan voorzien over te gaan tot de evaluatie en herziening van Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad inzake Enisa en tot intrekking van Verordening (EG) nr. 460/2004 ("de Enisa-verordening"). Dit evaluatieproces kan leiden tot een mogelijke hervorming van het Agentschap en versterking van haar vermogens en capaciteiten om de lidstaten op duurzame wijze te ondersteunen. Het Agentschap zou daardoor een meer operationele en centrale rol krijgen met betrekking tot de totstandbrenging van weerbaarheid op het gebied van cyberbeveiliging; tevens zouden in het nieuwe mandaat van het Agentschap haar nieuwe verantwoordelijkheden op grond van de NIS-richtlijn worden opgenomen.

De NIS-richtlijn is een eerste essentiële stap op weg naar het bevorderen van een cultuur van risicobeheersing doordat er beveiligingseisen worden ingevoerd die wettelijke verplichtingen zijn voor de belangrijkste economische actoren, en met name voor verleners van essentiële diensten en leveranciers van bepaalde belangrijke digitale diensten. Beveiligingseisen worden beschouwd als essentieel element voor de waarborging van de voordelen van de voortschrijdende digitalisering van de samenleving en het steeds aantal genetwerkte apparaten wordt steeds groter ("internet der dingen"); in de mededeling van 2016 werd daarom ook geopperd een kader voor de beveiligingscertificering van ICT-producten en -diensten tot stand te brengen om het vertrouwen en de beveiliging in de digitale eengemaakte markt te versterken. De certificering van ICT voor cyberbeveiliging wordt in het bijzonder relevant vanwege het toegenomen gebruik van technologieën en die een hoog cyberbeveiligingsniveau vergen, zoals genetwerkte en zelfrijdende auto’s, elektronische gezondheidszorg en besturingssystemen voor industriële automatisatie (IACS).

Deze beleidsmaatregelen en aankondigingen zijn verder versterkt in de conclusies van de Raad van 2016 , waarin het volgende werd erkend: 'cyberdreigingen en -kwetsbaarheden blijven evolueren en worden groter, wat noopt tot een permanente nauwere samenwerking, vooral bij de behandeling van grootschalige grensoverschrijdende cyberincidenten'. In de conclusies wordt bevestigd dat de Enisa-verordening mede de kern vormt van een EU-kader voor cyberbeveiliging ⁵ en wordt de Commissie opgeroepen om verdere stappen te nemen om de kwestie certificering op Europees niveau aan te pakken.

Om een certificeringsstelsel tot stand te brengen, moet een passend governancestelsel op EU-niveau worden opgezet, waarbij onder meer gebruik wordt gemaakt van gedegen expertise die door een onafhankelijk EU-agentschap wordt verstrekt. In dat kader wordt het Enisa in het onderhavige voorstel aangewezen als op EU-niveau voor kwesties inzake cyberbeveiliging bevoegd orgaan dat het meest in aanmerking komt om deze rol op zich te nemen en de werkzaamheden op het gebied van certificering van de desbetreffende nationale bevoegde instanties met elkaar in verbinding te brengen en te coördineren.

In haar mededeling over de tussentijdse evaluatie van de strategie voor de digitale eengemaakte markt van mei 2017 heeft de Commissie verder gepreciseerd dat zij het mandaat van het Enisa tegen september 2017 zou herzien teneinde de rol van het Enisa in het veranderde ecosysteem op het gebied van cyberbeveiliging vast te stellen en maatregelen inzake cyberbeveiligingsnormen, -certificering en -etikettering te ontwikkelen om op ICT gebaseerde systemen, met inbegrip van gekoppelde objecten, cyberveiliger te maken ⁶ . In de conclusies van de Europese Raad van juni 2017 ⁷ wordt het toegejuicht dat de Commissie de strategie voor cyberbeveiliging in september wil herzien en voor het eind van 2017 met verdere gerichte maatregelen wil komen.

2. De voorgestelde verordening voorziet in een uitgebreide reeks maatregelen die voortbouwen op voorgaande acties en draagt bij tot de verwezenlijking van specifieke doelstellingen die elkaar versterken:

·verhogen van de vermogens en paraatheid van de lidstaten en het bedrijfsleven;

·verbeteren van de samenwerking en coördinatie tussen de lidstaten en de EU-instellingen. -agentschappen en -organen;

·versterken van de vermogens op EU-niveau ter aanvulling op maatregelen van de lidstaten, met name in het geval van grensoverschrijdende cybercrises;

·versterken van het bewustzijn van de burgers en het bedrijfsleven met betrekking tot cyberbeveiligingskwesties;

·verbeteren van de algehele transparantie van de zekerheid inzake cyberbeveiliging ⁸ van ICT-producten en -diensten teneinde het vertrouwen in de digitale eengemaakte markt en in digitale innovatie te versterken; en

·voorkomen van de versnippering van certificeringsregelingen in de EU en de daarmee samenhangende beveiligingseisen en evaluatiecriteria in alle lidstaten en sectoren.

Het volgende gedeelte van de toelichting omvat een gedetailleerde motivering van het initiatief wat betreft de voorgestelde acties voor het Enisa en de cyberbeveiligingscertificering.

Inhoudsopgave

Enisa
De voorgestelde verordening voorziet in een uitgebreide reeks maatregelen die voortbouwen op voorgaande acties en draagt bij tot de verwezenlijking van specifieke doelstellingen die elkaar versterken:
De Commissie heeft gebruikgemaakt van het volgende advies van externe deskundigen:
In het verslag worden de volgende opties met betrekking tot het mandaat van het Enisa beoordeeld:
In het verslag worden de volgende opties met betrekking tot cyberbeveiligingscertificering beoordeeld:

1. Enisa

Het Enisa fungeert als expertisecentrum voor de verbetering van netwerk- en informatiebeveiliging in de Unie en voor de ondersteuning van de capaciteitsopbouw in de lidstaten.

Het Enisa is opgericht in 2004 ⁹ om een bijdrage te leveren aan de algemene doelstelling van het waarborgen van een hoog niveau van netwerk- en informatiebeveiliging in de EU. In 2013 is in Verordening (EU) nr. 526/2013 het nieuwe mandaat voor het Agentschap vastgesteld voor een periode van zeven jaar, tot 2020. De kantoren van het Agentschap zijn gevestigd in Griekenland: de administratieve zetel bevindt zich in Heraklion (Kreta) en de kernactiviteiten in Athene.

Het Enisa is een klein agentschap met een klein budget en vergeleken met alle andere EU-agentschappen een klein personeelsbestand. Het heeft een tijdelijk mandaat.

Het Enisa ondersteunt de Europese instellingen, de lidstaten en het bedrijfsleven bij het aanpakken van, reageren op en met name het voorkomen van problemen inzake netwerk- en informatiebeveiliging. Daartoe wordt op vijf in de strategie van het Enisa ¹⁰ vastgestelde gebieden een reeks activiteiten ontplooid:

·deskundigheid: verstrekken van informatie en expertise inzake belangrijke kwesties op het gebied van netwerk- en informatiebeveiliging;

·beleid: ondersteunen van beleidsvorming en -uitvoering in de Unie;

·capaciteit: ondersteunen van capaciteitsopbouw in de gehele Unie (bijv. door middel van opleidingen, aanbevelingen, voorlichtingsactiviteiten);

·gemeenschap: bevorderen van de netwerk- en informatiebeveiligingsgemeenschap (bijv. door ondersteuning van de computercrisisteams (Computer Emergency Response Teams – CERT's) en coördinatie van pan-Europese cyberoefeningen);

·overleg tot stand brengen (bijv. overleg met de belanghebbenden en internationale betrekkingen).

In het kader van de onderhandelingen over de NIS-richtlijn hebben de EU-medewetgevers besloten om bij de uitvoering van deze richtlijn een belangrijke rol aan het Enisa toe te kennen. In het bijzonder verzorgt het Agentschap het secretariaat voor het CSIRT-netwerk (dat is opgericht ter bevordering van snelle en doeltreffende operationele samenwerking tussen de lidstaten inzake specifieke cyberbeveiligingsincidenten en van de uitwisseling van informatie over risico’s) en ondersteunt het de samenwerkingsgroep bij de uitvoering van zijn taken. Daarnaast moet het Enisa op grond van de richtlijn de lidstaten en de Commissie bijstaan door expertise en advies te verstrekken en door de uitwisseling van beste praktijken te faciliteren.

Overeenkomstig de Enisa-verordening heeft de Commissie een evaluatie van het Agentschap verricht, waarbij een onafhankelijke studie en een openbare raadpleging zijn uitgevoerd. Bij de evaluatie is een beoordeling gemaakt van de relevantie, de impact, de doeltreffendheid, de efficiëntie, de samenhang en de EU-meerwaarde van het Agentschap wat betreft de prestaties, de governance, de interne organisatiestructuur en de werkmethoden in de periode 2013-2016.

Bij de openbare raadpleging gaf het merendeel van de respondenten ¹¹ (74 %) een positieve beoordeling. De meerderheid van de respondenten was bovendien van mening dat het Enisa zijn verschillende doelstellingen bereikt (ten minste 63 % voor elk van de doelstellingen). De diensten en producten van Enisa worden regelmatig (maandelijks of vaker) gebruikt door bijna de helft van de respondenten (46 %); daarbij worden deze op prijs gesteld omdat ze afkomstig zijn van een instantie op EU-niveau (83 %) en vanwege de kwaliteit (62 %).

Een grote meerderheid (88 %) van de respondenten was echter van mening dat de huidige, op EU-niveau beschikbare instrumenten en mechanismen onvoldoende of slechts gedeeltelijk adequaat zijn voor de aanpak van de huidige uitdagingen inzake cyberbeveiliging. Een grote meerderheid van de respondenten (98 %) gaf aan dat een EU-orgaan in deze behoeften zou moeten voorzoen, waarbij 99 % van de respondenten van mening was dat het Enisa daarvoor de juiste organisatie is. Daarnaast vond 67,5 % van de respondenten dat het Enisa een rol kan spelen bij de vaststelling van een geharmoniseerd kader voor de beveiligingscertificering van IT-producten en -diensten.

In de algehele evaluatie (gebaseerd op niet alleen de openbare raadpleging, maar ook op een aantal individuele vraaggesprekken, aanvullende doelgerichte enquêtes en workshops) werden de volgende conclusies getrokken:

·De doelstellingen van het Enisa zijn nog steeds relevant. In een klimaat van snelle technologische ontwikkelingen en veranderende dreigingen, en gezien de toenemende mondiale risico’s op het gebied van cyberbeveiliging, is het duidelijk dat in de EU hoogwaardige technische expertise inzake kwesties betreffende cyberbeveiliging moeten worden bevorderd en versterkt. De capaciteit in de lidstaten moet worden opgebouwd, zodat dreigingen juist worden ingeschat en er adequaat op wordt gereageerd, en de belanghebbenden moeten over de grenzen van thematische gebieden en instellingen heen samenwerken.

·Hoewel het Agentschap slechts over een klein budget beschikt, heeft het in operationeel opzicht efficiënt van zijn middelen gebruikgemaakt en zijn taken uitgevoerd. Door de twee locaties zijn er echter ook extra administratieve kosten ontstaan.

·Wat betreft doeltreffendheid heeft het Enisa zijn doelstellingen gedeeltelijk bereikt. Het Agentschap heeft met succes bijgedragen tot het verbeteren van de netwerk- en informatiebeveiliging in Europa door capaciteitsopbouw in 28 lidstaten aan te bieden ¹² , te zorgen voor nauwere samenwerking tussen de lidstaten en de belanghebbenden op het gebied van netwerk- en informatiebeveiliging, en te voorzien in expertise, gemeenschapsopbouw en ondersteuning van de ontwikkeling van beleid. Over het geheel genomen, heeft het Enisa zijn werkprogramma nauwkeurig uitgevoerd en gefungeerd als betrouwbare partner voor de betrokken belanghebbenden, en dat op een gebied waarvan slechts onlangs is erkend dat het van groot grensoverschrijdend belang is.

·Het Enisa is erin geslaagd enige resultaten te boeken op het omvangrijke gebied van de netwerk- en informatiebeveiliging, maar het is er niet volledig in geslaagd een sterke merknaam te vestigen en voldoende bekendheid te verwerven om te worden erkend als het expertisecentrum in Europa bij uitstek. Dat is het gevolg van het feit dat het Enisa een breed mandaat heeft, maar niet beschikt over voldoende middelen. Daarnaast heeft het Enisa als enige EU-agentschap een tijdelijk mandaat, waardoor het slechts in beperkte mate een langetermijnvisie kan ontwikkelen en de belanghebbenden op duurzame wijze kan ondersteunen. Hiermee wordt afgeweken van de NIS-richtlijn, waarin is bepaald dat aan het Enisa taken zonder einddatum worden toevertrouwd. Tot slot is uit de beoordeling gebleken dat deze beperkte doeltreffendheid gedeeltelijk te wijten is aan het feit dat meer gebruik wordt gemaakt van externe expertise dan van in-house expertise, en aan de moeilijkheden die worden ondervonden bij het aantrekken en behouden van gespecialiseerd personeel.

·Tot slot, maar daarom niet minder belangrijk, wordt in de evaluatie geconcludeerd dat de meerwaarde van het Enisa hoofdzakelijk voortvloeit uit het vermogen van het Agentschap om de samenwerking te versterken tussen in de eerste plaats de lidstaten, en met name met aanverwante gemeenschappen op het gebied van netwerk- en informatiebeveiliging (in he bijzonder tussen de CSIRT's). Op EU-niveau is er geen andere actor die een dergelijke breed bereik van belanghebbenden op het gebied van netwerk- en informatiebeveiliging ondersteunt. Het Enisa moet bij zijn activiteiten echter strenge prioriteiten stellen, waardoor zijn werkprogramma echter grotendeels wordt gestuurd door de behoeften van de lidstaten. Daardoor komt het niet afdoende tegemoet aan de behoeften van andere belanghebbenden, waaronder met name het bedrijfsleven. Daarnaast is het Agentschap erop gericht tegemoet te komen aan de behoeften van de belangrijkste belanghebbenden, waardoor het niet in staat is grotere impact tot stand te brengen. Zodoende varieert de meerwaarde die het Agentschap biedt naargelang van de uiteenlopende behoeften van de belanghebbenden, en van de mate waarin het Agentschap in staat was erop te reageren (bijv. grote tegenover kleine lidstaten, lidstaten tegenover het bedrijfsleven).

Samenvattend blijkt uit de raadpleging van de belanghebbenden en de evaluatie dat de middelen en het mandaat van het Enisa moeten worden aangepast, zodat het een adequate rol kan spelen bij de aanpak van huidige en toekomstige uitdagingen.

Gezien deze bevindingen wordt in het onderhavige voorstel het huidige mandaat van het Enisa herzien en wordt een hernieuwde reeks taken en functies vastgesteld, met als doel doeltreffende en efficiënte ondersteuning van de inspanningen van de lidstaten, de EU-instellingen en andere belanghebbenden met betrekking tot het waarborgen van een veilige cyberspace in de Europese Unie. Met het nieuwe, in dit voorstel opgenomen mandaat wordt beoogd aan het Agentschap een sterkere en meer centrale rol toe te kennen, door onder meer de lidstaten te ondersteunen bij de uitvoering van de NIS-richtlijn, door specifieke dreigingen actiever aan te pakken (operationele capaciteit) en door een kenniscentrum te worden dat de lidstaten en de Commissie ondersteunt op het gebied van de certificering van cyberbeveiliging. Het voorstel voorziet in het volgende:

·Het Enisa zou een permanent mandaat krijgen en daardoor over een stabiele basis voor de toekomst beschikken. Het mandaat, de doelstellingen en de taken moeten net als tot dusver regelmatig worden geëvalueerd.

·In het voorgestelde mandaat wordt daarnaast verder verduidelijkt dat het ENISA het EU-agentschap voor cyberbeveiliging is en dat het dient als referentiepunt in het cyberbeveiligingsecosysteem van de UE, waarbij het nauw samenwerkt met alle andere relevante instanties binnen dat ecosysteem.

·De organisatie en het beheer van het Agentschap, die in het kader van de evaluatie een positieve beoordeling kregen, worden enigszins herzien, met name om ervoor te zorgen dat er bij de werkzaamheden van het Agentschap meer rekening wordt gehouden met de behoeften van de gemeenschap van belanghebbenden in bredere zin.

·De voorgestelde werkingssfeer van het mandaat wordt afgebakend, waarbij de gebieden worden versterkt waarop het Agentschap blijk heeft gegeven van een duidelijke meerwaarde en nieuwe gebieden worden toegevoegd waarop ondersteuning nodig is gezien de nieuwe beleidsprioriteiten en -instrumenten, met name de NIS-richtlijn, de herziening van de EU-cyberbeveiligingsstrategie, de op stapel staande blauwdruk voor de EU-cyberbeveiliging in verband met de samenwerking bij cybercrises alsmede de ICT-beveiligingscertificering:

·Ontwikkeling en uitvoering van EU-beleid: Het Enisa zou worden belast proactief bij te dragen tot de ontwikkeling van beleid op het gebied van netwerk- en informatiebeveiliging alsmede tot andere beleidsinitiatieven in verschillende sectoren (bijv. energie, vervoer, financiën) waarvan cyberbeveiliging deel uitmaakt. Daartoe zou het een belangrijke adviserende rol spelen die het kan vervullen door middel van onafhankelijke adviezen en voorbereidende werkzaamheden voor de ontwikkeling en de actualisering van het beleid van beleid en wetgeving. Het Enisa zou tevens ondersteuning geven aan het beleid en de wetgeving van de EU op het gebied van elektronische communicatie en van elektronische identiteits- en vertrouwensdiensten, teneinde een hoger niveau van cyberbeveiliging te bevorderen. In de uitvoeringsfase, met name in de context van de NIS-samenwerkingsgroep, zou het Enisa de lidstaten bijstaan bij de totstandbrenging van een consistente aanpak van de uitvoering van de NIS-richtlijn over de grenzen heen en in alle sectoren, alsmede op andere relevante beleidsterreinen en in andere wetgeving. Teneinde de regelmatige evaluatie van het beleid en de wetgeving op het gebied van cyberbeveiliging te ondersteunen, zou het Enisa regelmatig verslag uitbrengen over de stand van uitvoering van het EU-wetgevingskader.

·Capaciteitsopbouw: Het Enisa zou bijdragen tot de verbetering van de vermogens en expertise van de overheidsinstanties op EU- en lidstaatniveau, waaronder met betrekking tot de reactie op incidenten en het toezicht op regelgevingsmaatregelen in verband met cyberbeveiliging. Het Agentschap zou ook moeten bijdragen tot de oprichting van ISAC's (Information Sharing and Analysis Centres, centra voor informatie-uitwisseling en -analyse) in verschillende sectoren door de verstrekking van beste praktijken en richtsnoeren betreffende beschikbare instrumenten en procedures, en door op passende wijze in te gaan op regelgevingskwesties in verband met het uitwisselen van informatie.

·Kennis en informatie, voorlichting: Het Enisa zou het informatiecentrum van de EU worden. Dat zou betrekking hebben op het bevorderen en uitwisselen van beste praktijken en initiatieven in de hele EU door middel van het samenbrengen van informatie over cyberbeveiliging afkomstig uit de EU- en nationale instellingen, agentschappen en organen. Verder zou het Agentschap advies, richtsnoeren en beste praktijken inzake de beveiliging van kritieke infrastructuurvoorzieningen ter beschikking stellen. Het Enisa zou bovendien na afloop van significante grensoverschrijdende cyberbeveiligingsincidenten verslagen opstellen met als doel richtsnoeren te verstrekken aan bedrijven en burgers in de hele EU. Tot dit werkgebied zou ook het regelmatig organiseren van regelmatige voorlichtingsactiviteiten in overleg met de autoriteiten van de lidstaten behoren.

·Marktgerelateerde taken (normalisatie, certificering van cyberbeveiliging): Het Enisa zou een aantal functies uitvoeren die specifiek zijn bedoeld voor het ondersteunen van de interne markt, en voorzien in een waarnemingspost cyberbeveiliging, door relevante trends op de cyberbeveiligingsmarkt te analyseren teneinde vraag en aanbod beter op elkaar af te stemmen, en door het ondersteunen van de ontwikkeling van EU-beleid op de gebieden ICT-normalisatie en certificering van ICT voor cyberbeveiliging. Met name ten aanzien van normalisatie, zou het de vaststelling en toepassing van normen inzake cyberbeveiliging bevorderen. Het Enisa zou ook de taken uitvoeren die zijn voorzien in het toekomstige kader voor de certificering (zie hieronder).

·Onderzoek en innovatie: Het Enisa zou door middel van zijn expertise een bijdrage leveren door advies te geven aan de autoriteiten op EU- en lidstaatniveau betreffende het stellen van prioriteiten voor onderzoek en ontwikkeling, onder meer in het kader van het contractuele publiek-private partnerschap voor cyberbeveiliging (cPPP). Het advies van het Enisa inzake onderzoek zou worden gebruikt voor het nieuwe Europees onderzoeks- en kenniscentrum voor cyberbeveiliging binnen het volgende meerjarig financieel kader. Het Enisa zou op verzoek van de Commissie ook worden betrokken bij de uitvoering van EU-financieringsprogramma’s voor onderzoek en innovatie.

·Operationele samenwerking en crisisbeheersing: Dit werkgebied zou bijdragen tot de verbetering van de bestaande preventieve operationele vermogens, met name zouden de pan-Europese oefeningen inzake cyberbeveiliging (Cyber Europe) worden versterkt door deze jaarlijks uit te voeren, en tot een ondersteunende rol bij de operationele samenwerking als secretariaat van het CSIRT-netwerk (overeenkomstig de bepalingen van de NIS-richtlijn), onder meer door te waarborgen dat de IT-infrastructuur en de communicatiekanalen van het CSIRT-netwerk goed werken. In deze context zou een gestructureerde samenwerking met CERT-EU, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) en andere relevante EU-organen vereist zijn. Bovendien zou door gestructureerde samenwerking met CERT-EU, waarbij beiden in fysieke zin dicht bij elkaar zijn gevestigd, een functie tot stand komen waarbij technische bijstand wordt geleverd in het geval van significante incidenten en de analyse van incidenten wordt ondersteund. De lidstaten die hierom verzoeken, zouden bijstand krijgen bij het aanpakken van incidenten alsmede ondersteuning met betrekking tot de analyse van kwetsbaarheden, artefacten en incidenten ter versterking van hun eigen preventieve en responsvermogen.

·Het Enisa zou ook een rol spelen bij de blauwdruk voor de EU-cyberbeveiliging die als onderdeel van dit pakket wordt voorgesteld, waarbij de aanbeveling van de Commissie aan de lidstaten voor een gecoördineerde reactie op grootschalige grensoverschrijdende cyberbeveiligingsincidenten en -crises op EU-niveau wordt vastgesteld ¹³ . Het Enisa zou de samenwerking tussen de afzonderlijke lidstaten vergemakkelijken wat betreft de aanpak van noodmaatregelen door analyse en bundeling van nationale situatieverslagen, op basis van informatie die op vrijwillige basis door de lidstaten en andere entiteiten aan het Agentschap ter beschikking wordt gesteld.

·Cyberbeveiligingscertificering van ICT-producten en -diensten

Teneinde vertrouwen en beveiliging tot stand te brengen en te handhaven, moeten beveiligingskenmerken in een vroeg stadium van het technische ontwerp en de technische ontwikkeling rechtstreeks in ICT-producten en -diensten worden geïntegreerd (ingebouwde beveiliging). Bovendien moeten klanten en gebruikers in staat zijn om het niveau van zekerheid inzake de beveiliging vast te stellen van de producten en diensten die zij verwerven of aankopen.

Certificering, dat wil zeggen de formele evaluatie van producten, diensten en processen door een onafhankelijke en geaccrediteerde instantie met behulp van een gedefinieerde reeks criteria en de afgifte van een certificaat dat overeenstemming aangeeft, speelt een belangrijke rol bij het versterken van het vertrouwen in en de zekerheid van producten en diensten. Evaluaties van de beveiliging zijn weliswaar een zeer technische kwestie, maar certificering dient ertoe de kopers en gebruikers informeren en geruststellen over de beveiligingseigenschappen van de ICT-producten en -diensten die zij kopen en gebruiken.. Zoals hierboven vermeld, is dit met name van belang voor nieuwe systemen die intensief gebruik maken van digitale technologieën en die een hoog beveiligingsniveau vergen, zoals onderling communicerende en zelfrijdende auto’s, elektronische gezondheidszorg en besturingssystemen voor industriële automatisatie (IACS) ¹⁴ of slimme netwerken.

Momenteel is de cyberbeveiligingscertificering van ICT-producten en -diensten in de EU tamelijk versnipperd. Er is een aantal internationale initiatieven, zoals de zogenoemde Gemeenschappelijke criteria (Common Criteria, CC) voor de evaluatie van de beveiliging van informatietechnologie (ISO 15408), een internationale norm voor de evaluatie van de beveiliging van computers. Deze norm is gebaseerd op toetsing door derde partijen en omvat zeven Evaluation Assurance Levels (EAL's). De CC en de daarmee verwante gemeenschappelijke methodologie voor de evaluatie van de beveiliging informatietechnologie (CEM) vormen de technische basis voor een internationale overeenkomst, de Common Criteria Recognition Arrangement (CCRA) die waarborgt dat CC-certificaten door alle ondertekenaars van de CCRA worden erkend. In de huidige versie van de CCRA worden echter uitsluitend evaluaties tot EAL 2 wederzijds erkend. Bovendien hebben slechts 13 lidstaten de regeling ondertekend.

De certificerende instanties van twaalf lidstaten hebben een overeenkomst inzake wederzijdse erkenning gesloten betreffende in overeenstemming van de overeenkomst op basis van de gemeenschappelijke criteria afgegeven certificaten ¹⁵ . Daarnaast wordt een aantal ICT-certificeringsinitiatieven momenteel in de lidstaten toegepast of ingevoerd. Hoewel deze initiatieven belangrijk zijn, bestaat het risico dat de marktversnippering en interoperabiliteitsproblemen hierdoor toenemen. Als gevolg daarvan kan het voorkomen dat een bedrijf meerdere certificeringsprocedures moeten in verschillende lidstaten moet doorlopen indien het zijn product op meerdere markten wil aanbieden. Een voorbeeld: een fabrikant van slimme meters die zijn producten wil verkopen in drie lidstaten, bijvoorbeeld Duitsland, Frankrijk en het Verenigd Koninkrijk, moet momenteel aan drie verschillende certificeringsregelingen voldoen. Dat zijn de 'Commercial Product Assurance (CPA)' in het Verenigd Koninkrijk, de 'Certification de Sécurité de Premier Niveau' (CSPN) in Frankrijk, en een specifiek beschermingsprofiel op basis van de Common Criteria in Duitsland.

Deze situatie leidt tot hogere kosten en aanzienlijke administratieve lasten voor bedrijven die in verschillende lidstaten actief zijn. De kosten van certificering kunnen sterk uiteenlopen, naargelang van het betrokken product of de betrokken dienst, het beoogde EAL en/of andere factoren, maar in het algemeen worden bedrijven met aanzienlijke kosten geconfronteerd. Het certificaat van de British Standards Institution voor een 'smart meter gateway' (hoogste test- en betrouwbaarheidsniveau dat niet alleen voor het product geldt maar ook voor de hele daarmee samenhangende infrastructuur) kost bijvoorbeeld meer dan 1 miljoen EUR. De kosten voor de certificering van slimme meters in het Verenigd Koninkrijk bedragen bijna 150 000 EUR. De kosten in Frankrijk zijn vergelijkbaar met die in het Verenigd Koninkrijk en bedragen 150 000 EUR of meer.

Belangrijke belanghebbenden uit de publieke en de particuliere sector hebben erkend dat bedrijven bij gebrek aan een EU-brede regeling voor cyberbeveiligingscertificering in veel gevallen in elke lidstaat moeten worden gecertificeerd, hetgeen leidt tot versnippering van de markt. Bij gebrek aan EU-wetgeving ter harmonisatie van ICT-producten en -diensten kunnen verschillen in de normen en praktijken inzake cyberbeveiligingscertificering in de lidstaten er met name toe leiden dat in de EU in de praktijk 28 verschillende beveiligingsmarkten ontstaan die elk eigen technische eisen, testmethoden en procedures inzake cyberbeveiligingscertificering hebben. Deze uiteenlopende benaderingen op nationaal niveau kunnen – indien op EU-niveau geen adequate actie wordt ondernomen – leiden tot een aanzienlijke terugval bij de totstandbrenging van de digitale eengemaakte markt en tot vertraging of belemmering van de daarmee samenhangende positieve effecten op de groei en de werkgelegenheid.

Voortbouwend op de bovenstaande ontwikkelingen, wordt met de voorgestelde verordening een Europees kader voor cyberbeveiligingscertificering (het 'kader') voor ICT-producten en -diensten tot stand gebracht en worden de essentiële functies en taken van het Enisa op het gebied van cyberbeveiligingscertificering gespecificeerd. Met het onderhavige voorstel wordt een algemeen kader van voorschriften vastgesteld die van toepassing zijn op Europese regelingen voor cyberbeveiligingscertificering. Het voorstel omvat geen rechtstreekse operationele certificeringsregelingen, maar het brengt een stelsel (kader) tot stand voor de vaststelling van specifieke certificeringsregelingen voor specifieke ICT-producten/-diensten (de 'Europese regelingen voor cyberbeveiligingscertificering'). Europese regelingen voor cyberbeveiligingscertificering die in overeenstemming met het kader worden opgezet, zorgen ervoor dat volgens deze regelingen afgegeven certificaten in alle lidstaten geldig zijn en erkend worden en dat de huidige versnippering van de markt wordt aangepakt.

Het algemene doel van een Europese regeling voor cyberbeveiligingscertificering is bevestigen dat de overeenkomstig een dergelijke regeling gecertificeerde ICT-producten en -diensten voldoen aan gespecificeerde eisen inzake cyberbeveiliging. Daartoe behoort bijvoorbeeld het vermogen ervan om (opgeslagen, doorgegeven of anderszins bewerkte) gegevens te beschermen tegen accidentele of onbevoegde opslag, verwerking, toegang, openbaarmaking, vernietiging, accidenteel verlies of wijziging. EU-regelingen voor cyberbeveiligingscertificering zouden gebruikmaken van bestaande normen ten aanzien van de technische eisen en evaluatieprocedures waaraan de producten moeten voldoen en zouden dergelijke technische normen niet zelf ontwikkelen ¹⁶ . Een EU-brede certificering voor producten zoals chipkaarten, die momenteel worden getest aan de hand van internationale CC-normen in het kader van de multilaterale SOG-IS-regeling (hierboven reeds omschreven), zou bijvoorbeeld betekenen dat deze regeling in de hele EU geldig is.

In het voorstel wordt niet alleen een omschrijving gegeven van een specifieke reeks beveiligingsdoelstellingen waarmee bij de opzet van een specifieke Europese regeling voor cyberbeveiligingscertificering rekening moet worden gehouden, maar ook vastgesteld wat de minimale inhoud van dergelijke regelingen moet zijn. Dergelijke regelingen moeten onder meer een aantal specifieke elementen omvatten aan de hand waarvan het toepassingsgebied en het onderwerp van de cyberbeveiligingscertificering worden vastgesteld. Hiertoe behoren de identificatie van de categorieën producten en diensten die onder de regeling vallen, de gedetailleerde specificatie van de eisen inzake cyberbeveiliging (bijvoorbeeld door verwijzing naar de relevante normen of technische specificaties), de specifieke evaluatiecriteria en -methoden alsmede het zekerheidsniveau dat ermee wordt gewaarborgd (dat wil zeggen basis, substantieel of hoog).

Europese regelingen voor cyberbeveiligingscertificering zullen worden opgesteld door het Enisa, in nauwe samenwerking met de Europese Groep voor cyberbeveiligingscertificering (zie hieronder) die assistentie en deskundig advies verleent, en door middel van uitvoeringshandelingen door de Commissie worden vastgesteld. Wanneer wordt geconstateerd dat er behoefte is aan een regeling voor cyberbeveiligingscertificering, zal de Commissie het Enisa vragen een regeling op te zetten voor specifieke ICT-producten of -diensten. Het Enisa zal daarbij nauw samenwerken met de autoriteiten voor certificeringstoezicht die in de Groep zijn vertegenwoordigd. De lidstaten en de Groep kunnen de Commissie voorstellen dat zij het Enisa vraagt een bepaalde regeling op te zetten.

Certificering kan hoge kosten met zich meebrengen en daardoor tot hogere prijzen voor de klanten en consumenten leiden. De noodzaak van certificering kan ook aanzienlijk verschillen afhankelijk van de specifieke context waarin de producten en diensten worden gebruikt en van het hoge tempo waarin technologische veranderingen plaatsvinden. De toepassing van Europese regelingen voor cyberbeveiligingscertificering moet daarom vrijwillig blijven, tenzij anders is bepaald in EU-wetgeving tot vaststelling van beveiligingsvereisten van ICT-producten en -diensten.

Teneinde harmonisatie te waarborgen en versnippering te voorkomen, zullen nationale regelingen of procedures inzake cyberbeveiligingscertificering voor de ICT-producten en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, niet meer van toepassing zijn met ingang van de datum die is bepaald in de uitvoeringshandeling waarbij de regeling wordt vastgesteld. Verder moeten de lidstaten geen nieuwe nationale regelingen voor cyberbeveiligingscertificering invoeren voor de ICT-producten en -diensten die onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen.

Zodra een Europese regeling voor cyberbeveiligingscertificering is vastgesteld, kunnen fabrikanten van ICT-producten of aanbieders van ICT-diensten bij een conformiteitsbeoordelingsinstantie van hun keuze een aanvraag indienen voor de certificering van hun producten of diensten. Conformiteitsbeoordelingsinstanties moeten door een accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde specifieke vereisten voldoen. De accreditatie zal worden afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits de conformiteitsbeoordelingsinstantie aan de vereisten voldoet. Accreditatie-instanties zullen de accreditatie van een conformiteitsbeoordelingsinstantie intrekken wanneer niet dan wel niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer door een conformiteitsbeoordelingsinstantie ondernomen acties indruisen tegen deze verordening.

In het voorstel is voorzien dat de taken inzake monitoring, toezicht en handhaving worden uitgevoerd door de lidstaten. De lidstaten moeten voorzien in één autoriteit voor certificeringstoezicht. Deze autoriteit zal erop toezien dat de conformiteitsbeoordelingsinstanties alsmede de door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties afgegeven certificaten in overeenstemming zijn met de vereisten van deze verordening en de desbetreffende Europese regelingen voor cyberbeveiligingscertificering. De nationale autoriteiten voor certificeringstoezicht zullen bevoegd zijn voor de behandeling van klachten van natuurlijke personen of rechtspersonen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties. Zij zullen naar behoren onderzoek doen naar het onderwerp van de klacht en de klager binnen een redelijke termijn inlichten over de voortgang en het resultaat van dat onderzoek. Verder zullen zij samenwerken met andere autoriteiten voor certificeringstoezicht of andere overheidsinstanties, bijvoorbeeld door uitwisseling van informatie over mogelijke niet-naleving door ICT-producten en -diensten van de vereisten van deze verordening of van de specifieke Europese regelingen voor cyberbeveiligingscertificering.

Tot slot voorziet het voorstel in de oprichting van de Europese Groep voor cyberbeveiligingscertificering ("de Groep") die is samengesteld uit de nationale autoriteiten voor certificeringstoezicht van alle lidstaten. De voornaamste taak van de Groep is advies geven aan de Commissie over kwesties betreffende beleid inzake cyberbeveiligingscertificering en samenwerken met het Enisa in verband met de ontwikkeling van ontwerpen van Europese regelingen voor cyberbeveiligingscertificering. Het Enisa zal de Commissie bijstaan door te voorzien in het secretariaat voor de Groep en het zal zorgen voor een bijgewerkt openbaar overzicht van de overeenkomstig het Europees kader voor cyberbeveiligingscertificering goedgekeurde regelingen. Het Enisa zal tevens overleggen met de normalisatie-organisaties om te waarborgen dat de in goedgekeurde regelingen toegepaste normen passend zijn en om gebieden vast te stellen waarvoor cyberbeveiligingsnormen nodig zijn.

Het Europees kader voor cyberbeveiligingscertificering ("het kader") zal de burgers en bedrijven meerder voordelen bieden. Meer bepaald:

·Dankzij de totstandbrenging van EU-brede regelingen voor cyberbeveiligingscertificering voor specifieke producten of diensten zullen bedrijven beschikken over een 'one-stop-shop' voor cyberbeveiligingscertificering in de EU. Dergelijke bedrijven hoeven hun product slechts één maal te laten certificeren, waarbij zij een certificaat verkrijgen dat in alle lidstaten geldig is. Zij zullen niet verplicht zijn om hun producten opnieuw te laten certificeren door verschillende nationale certificeringsinstanties. Dit zal leiden tot een aanzienlijke vermindering van de kosten voor bedrijven, grensoverschrijdende activiteiten bevorderen en op lange termijn de versnippering van de interne markt voor de betrokken producten terugdringen en voorkomen.

·Het kader zorgt ervoor dat Europese regelingen voor cyberbeveiligingscertificering voorrang hebben op nationale regelingen: deze regel houdt in dat een Europese regeling voor cyberbeveiligingscertificering na vaststelling voorgaat op alle bestaande parallelle nationale regelingen voor dezelfde ICT-producten of -diensten op een gegeven zekerheidsniveau. Dit zorgt voor meer duidelijkheid doordat de verspreiding van overlappend en eventueel tegenstrijdige nationale regelingen voor cyberbeveiligingscertificering wordt tegengegaan.

·Het voorstel dient als ondersteuning van en aanvulling op de uitvoering van de NIS-richtlijn doordat de aan de richtlijn onderworpen ondernemingen de beschikking krijgen over een zeer nuttig instrument voor het aantonen van de naleving van de NIS-vereisten in de hele Unie. Door de ontwikkeling van nieuwe regelingen voor cyberbeveiligingscertificering zullen de Commissie en het Enisa in het bijzonder aandacht besteden aan de noodzaak ervoor te zorgen dat de NIS-vereisten worden geïntegreerd in de regelingen voor cyberbeveiligingscertificering.

·Het voorstel ondersteunt en vergemakkelijkt de ontwikkeling van Europees beleid inzake cyberbeveiliging door harmonisatie van de voorwaarden en materiële vereisten voor de cyberbeveiligingscertificering van ICT-producten en -diensten in de EU. Europese regelingen voor cyberbeveiligingscertificering zullen verwijzen naar gemeenschappelijke normen of criteria betreffende evaluatie- en testmethoden. Hierdoor wordt in aanzienlijke mate, zij het indirect, bijgedragen tot de toepassing van gemeenschappelijke beveiligingsoplossingen in de EU, waardoor tevens belemmeringen voor de interne markt worden weggenomen.

·Het kader is zodanig ontworpen dat de nodige flexibiliteit voor regelingen voor cyberbeveiligingscertificering is gewaarborgd. Afhankelijk van de specifieke behoeften inzake cyberbeveiliging, kan een product of dienst worden gecertificeerd voor hogere of lager beveiligingsniveaus. Bij het opzetten Europese regelingen voor cyberbeveiligingscertificering zal met deze flexibiliteit rekening worden gehouden; de regelingen zullen dan ook verschillende zekerheidsniveaus bieden (dat wil zeggen basis, substantieel of hoog), zodat deze voor verschillende doeleinden en in een verschillende context kunnen worden gebruikt.

·Alle bovengenoemde elementen zorgen ervoor dat cyberbeveiligingscertificering aantrekkelijker wordt voor ondernemingen als een doeltreffend middel om het niveau van cyberbeveiligingszekerheid van ICT-producten of -diensten aan te geven. Naarmate cyberbeveiligingscertificering goedkoper, doeltreffender en commercieel aantrekkelijker wordt, zullen ondernemingen meer worden geprikkeld om hun producten wat betreft risico’s op het gebied van cyberbeveiliging te laten certificeren, waardoor wordt bijgedragen tot de verspreiding van beter cyberbeveiligingspraktijken bij het ontwerp van ICT-producten en -diensten (ingebouwde cyberbeveiliging).

• Verenigbaarheid met bestaande bepalingen op het beleidsterrein

In de NIS-richtlijn is bepaald dat aanbieders in voor onze economie en samenleving essentiële sectoren, zoals energie, vervoer, water, het bankwezen, financiëlemarktinfrastructuren, gezondheidszorg en digitale infrastructuur, alsmede digitaledienstverleners (dat wil zeggen zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen) maatregelen moeten nemen om beveiligingsrisico's op passende wijze te beheren. De nieuwe voorschriften in dit voorstel vormen een aanvulling op en zorgen voor samenhang met de bepalingen van de NIS-richtlijn teneinde verder bij te dragen tot de cyberweerbaarheid van de EU door middel van versterkte vermogens, samenwerking, risicobeheer en cyberbewustzijn.

Daarnaast vormen de voorschriften inzake cyberbeveiligingscertificering een essentieel instrument voor ondernemingen die onder de NIS-richtlijn vallen, aangezien zij in staat zullen zijn hun ICT-producten en -diensten te laten certificeren met betrekking tot cyberbeveiligingsrisico's, op basis van regelingen voor cyberbeveiligingscertificering die in de hele EU geldig zijn en worden erkend. Tevens zullen de voorschriften een aanvulling zijn op de beveiligingsvereisten die zijn vastgesteld in de eIDAS-verordening ¹⁷ en de richtlijn inzake radioapparatuur ¹⁸ .

• Samenhang met andere beleidsterreinen van de Unie

Verordening (EU) 2016/679 (de algemene verordening gegevensbescherming ¹⁹ omvat bepalingen betreffende het instellen van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens met als doel het aantonen van de naleving van deze verordening met betrekking tot verwerkingen door verwerkingsverantwoordelijken en verwerkers. De onderhavige verordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig de algemene verordening gegevensbescherming, ook niet als dergelijke verwerkingen zijn geïntegreerd in producten en diensten.

In de voorgestelde verordening is de verenigbaarheid met Verordening nr. 765/2008 inzake de eisen inzake accreditatie en markttoezicht ²⁰ gewaarborgd doordat wordt verwezen naar de voorschriften van dat kader betreffende nationale accreditatie-instanties en conformiteitsbeoordelingsinstanties. Met betrekking tot de toezichthoudende autoriteiten, is in de voorgestelde verordening bepaald dat de lidstaten nationale autoriteiten voor certificeringstoezicht moeten aanwijzen die verantwoordelijk zijn voor het toezicht op alsmede de monitoring en de handhaving van de voorschriften. Zoals bepaald in Verordening (EG) nr. 765/2008 zullen deze organen gescheiden blijven van de conformiteitsbeoordelingsinstanties.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

• Rechtsgrondslag

De rechtsgrondslag voor maatregelen van de EU is artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU) dat betrekking heeft op de aanpassing van de wetgevingen van de lidstaten om doeleinden van artikel 26 VWEU te verwezenlijken, namelijk de goede werking van de interne markt.

De rechtsgrondslag betreffende de interne markt voor het oprichten van het Enisa is bevestigd door het Hof van Justitie (in zaak C-217/04 Verenigd Koninkrijk/Europees Parlement en Raad) en nogmaals bevestigd bij de verordening van 2013 waarin het huidige mandaat van het Agentschap is vastgesteld. Daarnaast zouden activiteiten die bijdragen tot de doelstellingen om de samenwerking en coördinatie tussen de lidstaten te versterken en om vermogens op EU-niveau toe te voegen ter aanvulling van het optreden van de lidstaten onder de categorie 'operationele samenwerking' vallen. Dit komt specifiek aan bod in de NIS-richtlijn (waarvan artikel 114 VWEU de rechtsgrondslag is) als doelstelling in de context van het CSIRT-netwerk: "Het Enisa zorgt voor het secretariaat en voor een actieve ondersteuning van de samenwerking tussen de CSIRT's" (artikel 12, lid 2). Met name omvat artikel 12, lid 3, onder f), een nadere omschrijving van de identificatie van andere vormen van operationele samenwerking als taak van het CSIRT-netwerk, waaronder met betrekking tot: i) risico- en incidentcategorieën, ii) vroegtijdige waarschuwingen, iii) wederzijdse bijstand, en iv) coördinatiebeginselen en -regelingen voor gevallen waarin de lidstaten reageren op grensoverschrijdende risico's en -incidenten.

·De huidige versnippering van de certificeringsregelingen voor ICT-producten en -diensten vloeit mede voort uit het gebrek aan een gemeenschappelijk wettelijk bindend en doeltreffend kader dat van toepassing is op de lidstaten. Dit belemmert de totstandkoming van een interne markt voor ICT-producten en -diensten alsmede de concurrentiekracht van de Europese industrie in deze sector. Het onderhavige voorstel streeft ernaar de bestaande versnippering en de daarmee samenhangende obstakels voor de interne markt aan te pakken door te voorzien in een gemeenschappelijk kader voor de totstandbrenging van regelingen voor cyberbeveiligingscertificering die in de hele EU geldig zijn.

Subsidiariteit (bij niet-exclusieve bevoegdheid)

Het subsidiariteitsbeginsel vereist dat de noodzaak en de toegevoegde waarde van de EU-maatregelen worden beoordeeld. De naleving van het subsidiariteitsbeginsel op dit gebied kwam al aan bod bij de vaststelling van de huidige Enisa-verordening ²¹ .

Cyberbeveiliging is een kwestie van gemeenschappelijk belang van de Unie. De onderlinge afhankelijkheid van netwerk- en informatiesystemen is van dien aard dat afzonderlijke actoren (publiek en privaat, met inbegrip van burgers) zeer vaak niet in staat zijn geïsoleerd in te gaan op de dreigingen van cyberincidenten of de risico's en mogelijke gevolgen daarvan te beheersen. Enerzijds zorgt de onderlinge afhankelijkheid van de lidstaten, waaronder met betrekking tot de exploitatie van kritieke infrastructuurvoorzieningen (energie, vervoer, water, om er maar een paar te noemen) ervoor dat overheidsinterventie op Europees niveau niet alleen nuttig, maar ook noodzakelijk is. Anderzijds kan het optreden van de EU een positief 'spillover'-effect uitgaan door het uitwisselen van goede praktijken in alle lidstaten, hetgeen verbeterde cyberbeveiliging van de Unie tot gevolg kan hebben.

Samenvattend kan in de huidige context en met het oog op toekomstscenario’s worden gesteld dat voor het versterken van de gezamenlijke cyberweerbaarheid van de Unie afzonderlijke acties door de EU-lidstaten en een versnipperde aanpak van de cyberbeveiliging niet afdoende zullen zijn.

Maatregelen van de EU worden tevens noodzakelijk geacht om de versnippering van de huidige regelingen voor cyberbeveiligingscertificering aan te pakken. Dergelijke maatregelen zouden fabrikanten in staat stellen om volledig te profiteren van de interne markt, waarbij aanzienlijk kan worden bespaard op de test- en herontwerpkosten. Hoewel dankzij de overeenkomst inzake wederzijdse erkenning van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (SOG-IS) bijvoorbeeld belangrijke resultaten in dit verband zijn geboekt, zorgen de aanzienlijke beperkingen van de overeenkomst ervoor dat deze minder geschikt is om te voorzien in duurzame langetermijnoplossingen met het oog op het verwezenlijk van het volledige potentieel van de interne markt.

De toegevoegde waarde van actie op EU-niveau, met name ter versterking van de samenwerking tussen de lidstaten, maar ook tussen de netwerk- en informatiebeveiligingsgemeenschappen, is erkend in de conclusies van de Raad van 2016 ²² en blijkt duidelijk uit de evaluatie van het Enisa.

• Evenredigheid

De voorgestelde maatregelen gaan niet verder dan strikt noodzakelijk is om de beoogde beleidsdoelstellingen te verwezenlijken. Evenmin vormt de werkingssfeer van het optreden van de EU een belemmering voor enige verdere nationale acties op het gebied van nationale beveiligingskwesties. Maatregelen door de EU zijn derhalve gerechtvaardigd om redenen van subsidiariteit en evenredigheid.

• Keuze van het instrument

Bij het onderhavige voorstel wordt Verordening (EU) nr. 526/2013 herzien, waarin het huidige mandaat en de huidige taken van het Enisa zijn vastgesteld. Gezien de belangrijke rol die het Enisa speelt bij het opzetten en beheren van een EU-kader voor cyberbeveiligingscertificering, vindt de vaststelling van het nieuwe mandaat van het Enisa en van het genoemde kader het beste plaats door middel van één rechtsinstrument, namelijk een verordening.

3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

Overeenkomstige de evaluatie-routekaart ²³ heeft de Commissie een beoordeling gemaakt van de relevantie, de impact, de doeltreffendheid, de efficiëntie, de samenhang en de toegevoegde waarde van het Agentschap wat betreft de prestaties, de governance, de interne organisatiestructuur en de werkmethoden in de periode 2013-2016. De voornaamste bevindingen kunnen als volgt worden samengevat (meer informatie is beschikbaar in het desbetreffende werkdocument van de diensten van de Commissie dat de effectbeoordeling begeleidt).

·Relevantie: Binnen een context van technologische ontwikkelingen en veranderende dreigingen, rekening houdend met de significante behoefte aan versterkte cyberbeveiliging in de EU, zijn de doelstellingen van het Enisa relevant gebleken. De lidstaten en EU-organen vertrouwen op de aanzienlijke expertise die het Enisa heeft op het gebied van cyberbeveiliging. De capaciteit in de lidstaten moet worden opgebouwd, zodat dreigingen beter worden ingeschat en er adequaat op wordt gereageerd, en de belanghebbenden moeten over de grenzen van thematische gebieden en instellingen heen samenwerken. Cyberbeveiliging blijft een essentiële politieke prioriteit van de EU en van het Enisa wordt verwacht dat het hierop ingaat; de opzet van het Enisa als EU-agentschap met een tijdelijk mandaat zorgt er echter voor dat: i) langetermijnplanning en duurzame ondersteuning van de lidstaten en EU-instellingen niet mogelijk zijn; ii) er een juridisch vacuüm kan ontstaan, aangezien de bepalingen van de NIS-richtlijn waarbij de taken van het Enisa zijn vastgesteld, van permanente aard zijn ²⁴ ; iii) er geen samenhang is met een visie waarin het Enisa wordt gekoppeld aan een versterkt EU-cyberbeveiligingsecosysteem.

·Doeltreffendheid: Algemeen gezien, heeft het Enisa zijn doelstellingen verwezenlijkt en zijn taken uitgevoerd. Het heeft bijdragen tot versterkte netwerk- en informatiebeveiliging in Europa door middel van zij voornaamste activiteiten (capaciteitsopbouw, het verstrekken van expertise, gemeenschapsopbouw en ondersteuning ten behoeve van beleid). Op elk van deze gebieden zijn echter verbeteringen mogelijk. In de evaluatie wordt geconcludeerd dat het Enisa op doeltreffende wijze sterke en betrouwbare betrekkingen met een aantal belanghebbenden tot stand heeft gebracht, met name met de lidstaten en de CSIRT-gemeenschap. Acties op het gebied van capaciteitsopbouw werden als doeltreffend aangemerkt, met name met betrekking tot lidstaten die over minder middelen beschikken. Het stimuleren van brede samenwerking wordt beschouwd als een van de hoogtepunten: een groot aantal belanghebbenden was het erover eens dat het Enisa een positieve rol speelt bij het samenbrengen van mensen. Het Enisa had echter moeite zijn stempel te drukken op het uitgestrekte gebied van de netwerk- en informatiebeveiliging. Dit was mede te wijten aan het feit dat het in verhouding tot het zeer ruime mandaat slechts over redelijk beperkte personele en financiële middelen beschikte. Uit de evaluatie is ook gebleken dat het Enisa de doelstelling van het verstrekken van expertise slechts gedeeltelijk heeft verwezenlijkt vanwege problemen bij de aanwerving van deskundigen (zie ook hieronder in het gedeelte over efficiëntie).

·Efficiëntie: Hoewel het Agentschap over een budget beschikt dat tot de laagste behoort vergeleken met andere EU-agentschappen, is het erin geslaagd bij te dragen tot de beoogde doelstellingen door algeheel efficiënt gebruik van de beschikbare middelen. Uit de evaluatie is gebleken dat de processen over het algemeen efficiënt waren en dat de duidelijke afbakening van de verantwoordelijkheden binnen de organisatie heeft geleid tot degelijke uitvoering van de werkzaamheden. Een van de belangrijkste uitdagingen waarmee het Enisa wordt geconfronteerd, is de moeite die wordt ondervonden bij het aanwerven en vasthouden van hooggekwalificeerde deskundigen. Uit de bevindingen blijkt dat dit te wijten is aan een combinatie van factoren, waaronder de in de overheidssector algemeen voorkomende moeilijkheden wat betreft het concurreren met de particuliere sector bij het inhuren van uiterst gespecialiseerde deskundigen, het soort arbeidsovereenkomst (tijdelijk) dat het Agentschap in de meeste gevallen kon aanbieden en het de enigszins lage mate van aantrekkelijkheid van de locatie waar het Enisa is gevestigd, bijvoorbeeld in verband met problemen die echtgenoten ondervinden bij het vinden van werk. De twee locaties, in Athene en Heraklion, vereisten extra inspanningen wat betreft de coördinatie en zorgden voor extra kosten; doordat de kernactiviteiten in 2013 naar Athene zijn verplaatst, werd de operationele efficiëntie van het Agentschap verbeterd.

·Samenhang: In het algemeen was de samenhang van de activiteiten van het Enisa met de beleidsmaatregelen en activiteiten van de betrokken belanghebbenden op nationaal en EU-niveau, maar er is behoefte aan een meer gecoördineerde aanpak van cyberbeveiliging op EU-niveau. Het potentieel wat betreft de samenwerking tussen het Enisa en andere EU-organen is niet volledig benut. Door de ontwikkeling van het juridische en beleidskader van de EU is de samenhang van het mandaat momenteel afgenomen.

·Toegevoegde waarde voor de EU: De toegevoegde waarde van het Enisa is voornamelijk dat het de samenwerking kan bevorderen, met name tussen de lidstaten, maar ook met verwante netwerk- en informatiebeveiligingsgemeenschappen. Op EU-niveau is er geen andere actor die de samenwerking van een dergelijke variatie aan belanghebbenden op het gebied van netwerk- en informatiebeveiliging ondersteunt. De toegevoegde waarde die het Agentschap biedt, varieerde naargelang van de uiteenlopende behoeften van de betrokken belanghebbenden (bijv. grote ten opzichte van kleine lidstaten, lidstaten ten opzichte van het bedrijfsleven) en van het feit dat het Agentschap op basis van het werkprogramma prioriteit aan bepaalde activiteiten moest geven. Uit de evaluatie is gebleken dat een eventuele stopzetting van het Enisa een gemiste kans voor alle lidstaten zou zijn. Het zou dan niet mogelijk zijn dezelfde mate van gemeenschapsopbouw en samenwerking tussen alle lidstaten op het gebied van cyberbeveiliging te waarborgen. Zonder een meer gecentraliseerd EU-agentschap, zou er meer versnippering plaatsvinden en zou de lacunes die het Enisa achterlaat, worden gevuld door middel van bilaterale of regionale samenwerking.

Specifiek rekening houdend met betrekking tot de vroegere prestaties en de toekomst van het Enisa, komen uit de raadpleging van 2017 de volgens belangrijkste tendensen naar voren ²⁵ :

·De algehele prestaties van het Enisa tijdens de periode 2013-2016 werden door de meerderheid van de respondenten (74 %) positief beoordeeld. De meerderheid van de respondenten was bovendien van mening dat het Enisa zijn verschillende doelstellingen bereikt (ten minste 63 % voor elk van de doelstellingen). De diensten en producten van Enisa worden regelmatig (maandelijks of vaker) gebruikt door bijna de helft van de respondenten (46 %); daarbij worden deze op prijs gesteld omdat ze afkomstig zijn van een instantie op EU-niveau (83 %) en vanwege de kwaliteit (62 %).

·De respondenten wezen op een aantal lacunes en uitdagingen met betrekking tot de toekomst van de cyberbeveiliging in de EU, waarbij de volgende vijf bovenaan de lijst van 16 stonden: samenwerking tussen de lidstaten, capaciteit om grootschalige cyberaanvallen te voorkomen, op te sporen en op te lossen, samenwerking tussen de lidstaten wat betreft kwesties op het gebied van cyberbeveiliging, samenwerking en uitwisseling van informatie tussen de verschillende belanghebbenden, waaronder publiek-private samenwerking en de bescherming van kritieke infrastructuur tegen cyberaanvallen.

·Een grote meerderheid (88 %) van de respondenten was van mening dat de huidige, op EU-niveau beschikbare instrumenten en mechanismen onvoldoende of slechts gedeeltelijk adequaat zijn voor de aanpak de bovengenoemde punten. Een grote meerderheid van de respondenten (98 %) gaf aan dat een EU-orgaan in deze behoeften zou moeten voorzoen, waarbij 99 % van mening was dat het Enisa daarvoor de juiste organisatie is.

Raadpleging van belanghebbenden

·De Commissie heeft van 12 april tot 5 juli 2016 een openbare raadpleging betreffende de herziening van het Enisa georganiseerd en daarop 421 antwoorden ontvangen ²⁶ . Daaruit blijkt dat 67,5 % van de respondenten vond dat het Enisa een rol kan spelen bij de vaststelling van een geharmoniseerd kader voor de beveiligingscertificering van IT-producten en -diensten.

Uit de resultaten van de raadpleging van 2016 over het cyberbeveiliging-cPPP ²⁷ betreffende certificering bleek dat:

·50,4 % (dat wil zeggen 121 van de 240) respondenten wist niet of nationale certificeringsregelingen in alle EU-lidstaten wederzijds worden erkend. 25.8 % (62 van de 240) gaf '"nee" als antwoord en 23,8 % (57 van de 240) 'ja'.

·37,9 % van de respondenten (91 van de 240) was van mening dat de bestaande certificeringsregelingen niet tegemoetkomen aan de behoeften van het bedrijfsleven in Europa. 17,5 % (42 van de 240) van de respondenten – voornamelijk op de Europese markt actieve multinationals – was echter van mening dat wel in die behoeften wordt voorzien.

·49,6 % (119 van de 240) respondenten gaf aan dat het niet eenvoudig is om de gelijkwaardigheid van normen, certificeringsregelingen en labels aan te tonen. 37,9 % (91 van de 240) gaf '"weet ik niet" als antwoord en slechts 12,5 % (30 van de 240) 'ja'.

Bijeenbrengen en gebruik van expertise

3. De Commissie heeft gebruikgemaakt van het volgende advies van externe deskundigen:

·studie over de evaluatie van het Enisa (Ramboll/Carsa 2017; SMART nr. 2016/0077);

·studie over de beveiligingscertificering en -labelling van ICT – verzamelen van bewijsmateriaal en effectbeoordeling (PriceWaterhouseCoopers 2017; SMART nr. 2016/0029).

Effectbeoordeling

·In het effectbeoordelingsverslag inzake dit initiatief is geconstateerd dat de volgende hoofdproblemen moeten worden aangepakt:

·versnippering van het beleid en de aanpak betreffende cyberbeveiliging in de lidstaten;

·versnippering van de middelen en benaderingen betreffende cyberbeveiliging binnen de EU-instellingen, -agentschappen en -organen; en

·onvoldoende bewustzijn en informatievoorziening voor burgers en bedrijven, gekoppeld met de toename van verschillende nationale en sectorale certificeringsregelingen.

4. In het verslag worden de volgende opties met betrekking tot het mandaat van het Enisa beoordeeld:

·handhaving van de huidige toestand, dus een verlening van het mandaat dat nog steeds tijdelijk blijft (basisoptie);

·verstrijken van het huidige mandaat van het Enisa zonder dat het wordt verlengd, en dientengevolge stopzetting van het Enisa (geen interventie);

·een 'hervormd Enisa'; en

·een EU-cyberbeveiligingsagentschap met volledige operationele vermogens.

5. In het verslag worden de volgende opties met betrekking tot cyberbeveiligingscertificering beoordeeld:

·geen interventie (basisoptie);

·niet-wetgevende maatregelen ("soft law");

·een EU-wetgevingshandeling om een verplicht stelsel voor alle lidstaten tot stand te brengen op basis van het SOG-IS-stelsel; en

·een algemeen EU-kader voor ICT-cyberbeveiligingscertificering.

Op basis van de analyse is de conclusie getrokken dat een 'hervormd Enisa' in combinatie met een algemeen EU-kader voor ICT-cyberbeveiligingscertificering de voorkeursoptie is.

De voorkeursoptie wordt beschouwd als meest doeltreffende manier met het oog op het bereiken van de vastgestelde doelstellingen van het versterken van de vermogens inzake cyberbeveiliging, paraatheid, samenwerking, bewustzijn, transparantie en het vermijden van marktversnippering. Deze optie heeft tevens de voorkeur wat betreft de samenhang met de beleidsprioriteiten van de EU-strategie inzake cyberbeveiliging en aanverwant beleid (bijv. de NIS-richtlijn), en de strategie voor de digitale eengemaakte markt. Bovendien is uit de raadpleging gebleken dat de meerderheid van de belanghebbenden achter de voorkeursoptie staat. Daarnaast is uit de in het kader van de effectbeoordeling uitgevoerde analyse gebleken dat door middel van de voorkeursoptie de doelstellingen kunnen worden bereikt met een redelijk gebruik van middelen.

De Raad voor regelgevingstoetsing van de Commissie heeft op 24 juli aanvankelijk een negatief advies uitgebracht, waarna een nieuwe versie werd ingediend waarover op 25 augustus 2017 een positief advies werd uitgebracht. De gewijzigde effectbeoordeling bevatte aanvullende ondersteunend bewijsmateriaal, de definitieve conclusies van de evaluatie van het Enisa en aanvullende uitleg over de beleidsopties en de impact daarvan. In bijlage 1 bij het definitieve effectbeoordelingsverslag wordt samengevat op welke manier rekening is gehouden met de opmerkingen van de Raad in het tweede advies. In het bijzonder is het verslag zodanig bijgewerkt dat gedetailleerder wordt ingegaan op de context van de EU-cyberbeveiliging, met inbegrip van de maatregelen die zijn opgenomen in de gezamenlijk mededeling 'Weerbaarheid, afschrikking en defensie: bouwen aan sterke cyberbeveiliging voor de EU', (JOIN(2017) 450) en die van bijzonder belang zijn voor het Enisa, de blauwdruk voor de EU-cyberbeveiliging en het Europees onderzoeks- en kenniscentrum voor cyberbeveiliging, waaraan het Agentschap zijn adviezen over de EU-onderzoeksbehoeften zou koppelen.

In het verslag wordt uiteengezet hoe de hervorming van het Agentschap, met inbegrip van de nieuwe taken, de betere arbeidsvoorwaarden en de structurele samenwerking met EU-organen die op het gebied actief zijn, zijn aantrekkelijkheid als werkgever zou verbeteren en ertoe zou bijdragen de problemen bij de aanwerving van deskundigen aan te pakken. Verder bevat bijlage 6 bij het verslag een herziene raming van de kosten voor de beleidsopties voor het Enisa. Met betrekking tot het onderwerp certificering is het verslag herzien teneinde meer gedetailleerde uitleg, waaronder een grafische presentatie, te geven voor de voorkeursoptie, en ramingen te verstrekken van de kosten die de lidstaten en de Commissie moeten maken in verband met het nieuwe certificeringskader. De motivering van de keuze voor het Enisa als belangrijke actor in het kader is nadere verklaard op basis van zijn expertise op het gebied en het feit dat het het enige agentschap voor cyberbeveiliging op EU-niveau is. Tot slot zijn de gedeelten over certificering herzien teneinde verduidelijking te bieden over aspecten in verband met het verschil met het huidige SOG-IS-stelsel en over de voordelen van de verschillende beleidsopties, en uiteen te zetten dat het type ICT-producten en -diensten dat onder een Europese certificeringsregeling valt, in de goedgekeurde regeling zelf zal worden bepaald.

Resultaatgerichtheid en vereenvoudiging

Niet van toepassing.

Gevolgen voor de grondrechten

Voor cyberbeveiliging is een essentiële rol weggelegd bij de bescherming van de persoonlijke levenssfeer en de persoonsgegevens voor personen in overeenstemming met de artikelen 7 en 8 van het Handvest van de grondrechten van de EU. In het geval van cyberincidenten lopen de persoonlijke levenssfeer en de bescherming van persoonsgegevens duidelijk gevaar. Cyberbeveiliging is derhalve een noodzakelijke voorwaarde voor eerbiediging van de persoonlijke levenssfeer en de vertrouwelijkheid van onze persoonsgegevens. Daarmee rekening houdend streeft het voorstel ernaar de cyberbeveiliging in Europa te versterken; het voorziet daartoe in een belangrijke aanvulling op de bestaande wetgeving ter bescherming van het grondrecht op bescherming van de persoonlijke levenssfeer en van persoonsgegevens. Cyberbeveiliging is ook van essentieel belang voor de bescherming van de vertrouwelijkheid van onze elektronische communicatie en dus voor de uitoefening van de vrijheid van meningsuiting en van informatie alsmede van andere daarmee samenhangende rechten, zoals de vrijheid van gedachte, geweten en godsdienst.

4. GEVOLGEN VOOR DE BEGROTING

Zie financieel memorandum.

5. OVERIGE ELEMENTEN

• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

De Commissie zal toezicht houden op de toepassing van deze verordening en brengt om de vijf jaar verslag over haar evaluatie uit bij het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité. Deze verslagen zijn openbaar en geven nadere toelichting over de daadwerkelijke toepassing en handhaving van deze verordening.

• Artikelsgewijze toelichting

Titel I van de verordening omvat de volgende algemene bepalingen: het onderwerp (artikel 1), de definities (artikel 2), met inbegrip van verwijzingen naar de desbetreffende definities in andere EU-instrumenten, zoals Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (NIS-richtlijn), Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 en Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad betreffende Europese normalisatie.

Titel II van de verordening bevat de belangrijkste bepalingen in verband met Enisa, het EU-cyberbeveiligingsagentschap.

Hoofdstuk I van deze titel omvat een omschrijving van het mandaat (artikel 3), de doelstellingen (artikel 4) en de taken van het Agentschap (artikelen 5 tot en met 11).

In hoofdstuk II wordt de organisatie van het Enisa omschreven; het omvat verder belangrijke bepalingen inzake de structuur ervan (artikel 12). Verder komen in dit hoofdstuk de samenstelling, de voorschriften voor stemming en de functies van de raad van bestuur (afdeling 1, artikelen 13 tot en met 17), het dagelijks bestuur (afdeling 2, artikel 18) en de uitvoerend directeur (afdeling 3, artikel 19) aan bod. Daarnaast bevat het hoofdstuk bepalingen inzake de samenstelling en de rol van de permanente groep van belanghebbenden (afdeling 4, artikel 20). Tot slot omvat afdeling 5 van dit hoofdstuk een nauwkeurige omschrijving van de operationele regels voor het Agentschap, onder meer wat betreft de programmering van de activiteiten, belangenconflicten, transparantie, vertrouwelijkheid en de toegang tot documenten (artikelen 21 tot en met 25).

Hoofdstuk III heeft betrekking op de vaststelling en structuur van het budget van het Agentschap (artikelen 26 en 27) en op de voorschriften voor de uitvoering ervan (artikelen 28 en 29). Het bevat verder bepalingen ter vergemakkelijking van de bestrijding van fraude, corruptie en andere onwettige activiteiten (artikel 30).

Hoofdstuk IV heeft betrekking op het personeel van het Agentschap. Het bevat algemene bepalingen inzake het statuut, de regeling voor andere personeelsleden en de regels inzake voorrechten en immuniteiten (artikelen 31 en 32). Verder bevat het een nauwkeurige omschrijving van de regels inzake de aanwerving en aanstelling van de uitvoerend directeur van het Agentschap (artikel 33). Tevens bevat het de bepalingen inzake het gebruikmaken van gedetacheerde nationale deskundigen of ander personeel dat niet in dienst is van het Agentschap (artikel 34).

Tot slot bevat hoofdstuk V de algemene bepalingen betreffende het Agentschap. In het hoofdstuk wordt de juridische status omschreven (artikel 35). Verder omvat het bepalingen inzake aansprakelijkheid, taalregelingen, de bescherming van persoonsgegevens (artikelen 36 tot en met 38) alsmede beveiligingsvoorschriften ter bescherming van gerubriceerde informatie en gevoelige niet-gerubriceerde informatie (artikel 40). Het bevat een omschrijving van de regels voor de samenwerking van het Agentschap met derde landen en internationale organisaties (artikel 39). Tot slot bevat het bepalingen inzake het hoofdkwartier van het Agentschap en de voorwaarden voor de bedrijfsuitoefening alsmede inzake administratieve controle door de Ombudsman (artikelen 41 en 42).

In titel III van de verordening wordt het Europees kader voor cyberbeveiligingscertificering (het 'kader') voor ICT-producten en -diensten als lex generalis vastgesteld (artikel 1). In deze titel wordt het algemene doel van Europese regelingen voor cyberbeveiligingscertificering vastgesteld, dat wil zeggen waarborgen dat ICT-producten en -diensten voldoen aan gespecificeerde cyberbeveiligingseisen wat betreft hun capaciteit om op een bepaald zekerheidsniveau weerstand te bieden tegen acties die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, doorgegeven of verwerkte gegevens of de daarmee samenhangende functies of van diensten in gevaar brengen (artikel 43). Daarnaast komen de beveiligingsdoelstellingen aan bod die met de Europese regelingen voor cyberbeveiligingscertificering worden nagestreefd (artikel 45), waaronder de capaciteit om gegevens te beschermen tegen accidentele of onrechtmatige toegang of openbaarmaking, vernietiging of wijziging, alsmede de inhoud (dat wil zeggen de elementen) van Europese regelingen voor cyberbeveiligingscertificering, zoals een gedetailleerde specificatie van het toepassingsgebied, de beveiligingsdoelstellingen, de evaluatiecriteria enz. (artikel 47).

In titel III worden verder de voornaamste juridische effecten van Europese regelingen voor cyberbeveiligingscertificering vastgesteld, namelijk i) de verplichting om de regeling op nationaal niveau toe te passen en de vrijwillige aard van certificering, ii) het effect dat nationale regelingen niet meer gelden als er Europese regelingen voor cyberbeveiligingscertificering op dezelfde producten of diensten van toepassing zijn (artikelen 48 en 49).

Verder omvat deze titel de procedure voor de vaststelling van Europese regelingen voor cyberbeveiligingscertificering en worden de respectievelijke rollen van de Commissie, het Enisa en de Europese Groep voor cyberbeveiligingscertificering ("de Groep") vastgesteld (artikel 44). Tot slot omvat deze titel de bepalingen inzake conformiteitsbeoordelingsinstanties, met inbegrip van de desbetreffende vereisten, bevoegdheden en taken, alsmede inzake nationale autoriteiten voor certificeringstoezicht en sancties.

Tevens wordt in deze titel de Groep vastgesteld als essentieel orgaan dat is samengesteld uit vertegenwoordigers van de nationale autoriteiten voor certificeringstoezicht en dat als voornaamste functie samen met het Enisa werkt aan de voorbereiding van Europese regelingen voor cyberbeveiligingscertificering alsmede het adviseren van de Commissie wat betreft algemene of specifieke kwesties in verband met het beleid inzake cyberbeveiligingscertificering.

Titel IV van de verordening bevat de slotbepalingen over de uitoefening van de bevoegdheidsdelegatie, evaluatievereisten, intrekking en opvolging alsmede de inwerkingtreding.