Toelichting bij COM(2020)823 - Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2020)823 - Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie. |
|---|---|
| bron | COM(2020)823   |
| datum | 16-12-2020 |
• Redenen en doelstellingen van het voorstel
Dit voorstel maakt deel uit van een pakket maatregelen om de veerkracht en de responscapaciteit bij incidenten van openbare en particuliere entiteiten, de bevoegde autoriteiten en de Unie als geheel op het gebied van cyberbeveiliging en de bescherming van kritieke infrastructuur verder te verbeteren. Het is in overeenstemming met de prioriteiten van de Commissie om Europa klaar te maken voor het digitale tijdperk en een economie op te bouwen die klaar is voor de toekomst en die werkt voor de mensen. Cyberbeveiliging is een prioriteit in de respons van de Commissie op de COVID-19-crisis. Het pakket omvat een nieuwe strategie inzake cyberbeveiliging met als doel de strategische autonomie van de Unie te versterken om haar veerkracht en collectieve respons te verbeteren en een open en mondiaal internet op te bouwen. Tot slot bevat het pakket een voorstel voor een richtlijn betreffende de veerkracht van kritieke aanbieders van essentiële diensten, die tot doel heeft de fysieke bedreigingen tegen dergelijke aanbieders te beperken.
Dit voorstel bouwt voort op en strekt tot intrekking van Richtlijn (EU) 2016/1148 betreffende de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), die het eerste stuk EU-wetgeving over cyberbeveiliging is en voorziet in wettelijke maatregelen om het algemene niveau van cyberbeveiliging in de Unie te verhogen. De NIS-richtlijn heeft (1) bijgedragen aan de verbetering van de cyberbeveiligingscapaciteiten op nationaal niveau door de lidstaten te verplichten nationale cyberbeveiligingsstrategieën vast te stellen en cyberbeveiligingsautoriteiten aan te wijzen; (2) de samenwerking tussen de lidstaten op het niveau van de Unie versterkt door verschillende fora op te richten die de uitwisseling van strategische en operationele informatie vergemakkelijken; en (3) de cyberveerkracht van publieke en private entiteiten verbeterd in zeven specifieke sectoren (energie, vervoer, bankwezen, infrastructuur van de financiële markt, gezondheidszorg, drinkwatervoorziening en -distributie, en digitale infrastructuur) en bij drie digitale diensten (elektronische marktplaatsen, onlinezoekmachines en cloudcomputerdiensten) door van de lidstaten te eisen dat zij ervoor zorgen dat aanbieders van essentiële diensten en digitaledienstverleners cyberbeveiligingseisen stellen en incidenten melden.
Het voorstel moderniseert het bestaande rechtskader, rekening houdend met de toegenomen digitalisering van de interne markt in de afgelopen jaren en een zich ontwikkelend bedreigingslandschap voor cyberbeveiliging. Beide ontwikkelingen zijn sinds het begin van de COVID-19-crisis verder versterkt. Het voorstel pakt ook een aantal zwakke punten aan die de NIS-richtlijn hebben belet haar volledige potentieel te ontsluiten.
Niettegenstaande haar opmerkelijke verwezenlijkingen heeft de NIS-richtlijn, die de weg heeft vrijgemaakt voor een belangrijke verandering van de mentaliteit met betrekking tot de institutionele en regelgevende aanpak van cyberbeveiliging in veel lidstaten, ook haar beperkingen bewezen. De digitale transformatie van de maatschappij (nog versterkt door de COVID-19-crisis) heeft het bedreigingslandschap verruimd en leidt tot nieuwe uitdagingen, die een aangepaste, innovatieve reactie vereisen. Het aantal cyberaanvallen blijft toenemen, waarbij steeds geavanceerdere aanvallen uit een groot aantal bronnen binnen en buiten de EU komen.
Bij de evaluatie van de werking van de NIS-richtlijn, die ten behoeve van de effectbeoordeling is uitgevoerd, zijn de volgende punten aan het licht gekomen: 1) de geringe mate van cyberveerkracht van bedrijven die actief zijn in de EU; 2) de inconsistente veerkracht binnen de lidstaten en sectoren; en 3) het lage niveau van gezamenlijk situationeel bewustzijn en het gebrek aan een gezamenlijke respons op een crisis. Zo vallen bepaalde grote ziekenhuizen in een lidstaat niet onder het toepassingsgebied van de NIS-richtlijn en zijn zij dus niet verplicht de daaruit voortvloeiende beveiligingsmaatregelen uit te voeren, terwijl in een andere lidstaat bijna elke zorgverlener in het land onder de beveiligingseisen voor netwerk- en informatiebeveiliging valt.
Het voorstel is een initiatief in het kader van het programma voor gezonde regelgeving (REFIT) en heeft tot doel de regelgevingslast voor de bevoegde autoriteiten en de nalevingskosten voor openbare en particuliere entiteiten te verminderen. Dit wordt met name bereikt door het afschaffen van de verplichting voor de bevoegde autoriteiten om de aanbieders van essentiële diensten te identificeren en door het verhogen van het niveau van de harmonisatie van de beveiligings- en rapportage-eisen om de naleving van de regelgeving voor entiteiten die grensoverschrijdende diensten verlenen, te vergemakkelijken. Tegelijkertijd zullen de bevoegde autoriteiten ook een aantal nieuwe taken krijgen, waaronder het toezicht op entiteiten in sectoren die tot nu toe niet onder de NIS-richtlijn vielen.
• Samenhang met bestaande beleidsbepalingen op het beleidsterrein
Dit voorstel maakt deel uit van een breder pakket van bestaande rechtsinstrumenten en ophanden zijnde initiatieven op het niveau van de Unie die erop gericht zijn de veerkracht van openbare en particuliere entiteiten tegen bedreigingen te vergroten.
Op het gebied van cyberbeveiliging gaat het met name om Richtlijn (EU) 2018/1972 tot vaststelling van het Europees wetboek voor elektronische communicatie (waarvan de bepalingen inzake cyberbeveiliging zullen worden vervangen door de bepalingen van het onderhavige voorstel) en om het voorstel voor een verordening betreffende digitale operationele veerkracht voor de financiële sector (COM(2020) 595 final), die als lex specialis van het onderhavige voorstel zal worden beschouwd zodra beide wetteksten in werking zijn getreden.
Op het gebied van de fysieke beveiliging vormt het voorstel een aanvulling op het voorstel voor een richtlijn inzake de veerkracht van kritieke entiteiten, waarin Richtlijn 2008/114/EG inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (ECI-richtlijn) wordt herzien, waarin een EU-procedure voor de identificatie van Europese kritieke infrastructuren en de aanmerking van infrastructuren als Europese kritieke infrastructuren wordt vastgesteld en waarin een aanpak voor de verbetering van de bescherming van dergelijke infrastructuren wordt uiteengezet. In juli 2020 heeft de Commissie de EU-strategie voor de veiligheidsunie 1 goedgekeurd, waarin de toenemende interconnectie en onderlinge afhankelijkheid tussen fysieke en digitale infrastructuren wordt erkend. Zij benadrukte de noodzaak van een meer coherente en consistente aanpak tussen de ECI-richtlijn en Richtlijn (EU) 2016/1148 betreffende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de hele Unie.
Het voorstel sluit dan ook nauw aan bij het voorstel voor een richtlijn betreffende de veerkracht van kritieke entiteiten, dat tot doel heeft de veerkracht van kritieke entiteiten tegen fysieke bedreigingen in een groot aantal sectoren te vergroten. Het voorstel heeft tot doel ervoor te zorgen dat de bevoegde autoriteiten in het kader van beide rechtshandelingen aanvullende maatregelen nemen en indien nodig informatie uitwisselen met betrekking tot cyber- en niet-cyberveerkracht, en dat met name kritieke aanbieders in de sectoren die volgens het onderhavige voorstel als “essentieel” worden beschouwd, ook onderworpen zijn aan meer algemene veerkrachtverhogende verplichtingen, met de nadruk op niet-cyberrisico’s.
• Samenhang met ander beleid van de Unie
Zoals uiteengezet in de mededeling “De digitale toekomst van Europa vormgeven” 2 is het voor Europa van cruciaal belang om alle voordelen van het digitale tijdperk te benutten en zijn industrie en innovatiecapaciteit te versterken, binnen veilige en ethische grenzen. De Europese strategie voor gegevens bevat vier pijlers — gegevensbescherming, grondrechten, veiligheid en cyberbeveiliging — als essentiële voorwaarden voor een samenleving die zich verder ontwikkelt door gegevens te gebruiken.
In een resolutie van 12 maart 2019 heeft het Europees Parlement de “[…] de Commissie [verzocht] na te gaan of het nodig is het toepassingsgebied van de NIS-richtlijn verder uit te breiden naar andere kritieke sectoren en diensten die niet onder sectorspecifieke wetgeving vallen”. 3 In zijn conclusies van 9 juni 2020 was de Raad ingenomen “[...] met de plannen van de Commissie om voor consistente regels voor marktdeelnemers te zorgen en beveiligde, robuuste en adequate informatie-uitwisseling over dreigingen en incidenten te faciliteren, onder meer door een evaluatie van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), zodat kan worden gezocht naar opties voor een betere cyberweerbaarheid en een effectievere respons op cyberaanvallen, met name voor essentiële economische en maatschappelijke activiteiten, met inachtneming van de bevoegdheden van de lidstaten, waaronder de verantwoordelijkheid voor hun nationale veiligheid”. 4 Voorts laat de voorgestelde rechtshandeling de toepassing van de mededingingsregels van het Verdrag betreffende de werking van de Europese Unie (VWEU) onverlet.
Aangezien een significant deel van de cyberbeveiligingsbedreigingen hun oorsprong vinden buiten de EU, is een coherente aanpak van de internationale samenwerking nodig. Deze richtlijn vormt een referentiemodel dat moet worden bevorderd in het kader van de samenwerking van de EU met derde landen, met name bij het verlenen van externe technische bijstand.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
De rechtsgrondslag voor de NIS-richtlijn is artikel 114 van het Verdrag betreffende de werking van de Europese Unie, dat tot doel heeft de interne markt tot stand te brengen en te laten functioneren door de maatregelen voor de onderlinge aanpassing van de nationale regels te versterken. Zoals het Hof van Justitie van de EU in zijn arrest in zaak C-58/08 Vodafone e.a. heeft geoordeeld, is de toepassing van artikel 114 VWEU gerechtvaardigd wanneer er verschillen zijn tussen de nationale voorschriften die rechtstreeks van invloed zijn op de werking van de interne markt. Het Hof heeft ook geoordeeld dat wanneer een op artikel 114 VWEU gebaseerde handeling reeds elke handelsbelemmering op het door haar geharmoniseerde gebied heeft weggenomen, de Uniewetgever niet de mogelijkheid kan worden ontzegd om die handeling aan te passen aan elke wijziging van de omstandigheden of ontwikkeling van de kennis in het licht van zijn door het Verdrag erkende taak om de algemene belangen te vrijwaren. Ten slotte heeft het Hof geoordeeld dat de maatregelen voor de in artikel 114 VWEU bedoelde onderlinge aanpassing bedoeld zijn om, afhankelijk van de algemene context en de specifieke omstandigheden van de te harmoniseren materie, een beoordelingsmarge te laten ten aanzien van de methode van onderlinge aanpassing die het meest geschikt is om het gewenste resultaat te bereiken. De voorgestelde wetshandeling zou de belemmeringen voor de totstandbrenging en de werking van de interne markt voor essentiële en belangrijke entiteiten wegnemen en verbeteren door duidelijke, algemeen toepasselijke regels vast te stellen over het toepassingsgebied van de NIS-richtlijn en de regels die van toepassing zijn op het gebied van het beheer van risico’s inzake cyberbeveiliging en de rapportage van incidenten te harmoniseren. De huidige verschillen op dit gebied, op zowel wetgevend en toezichthoudend niveau als op nationaal en EU-niveau, zijn belemmeringen voor de interne markt omdat entiteiten die grensoverschrijdende activiteiten ontplooien, te maken hebben met verschillende en mogelijk overlappende regelgevingsvereisten en/of de toepassing daarvan, hetgeen ten koste gaat van de uitoefening van hun vrijheid van vestiging en van dienstverlening. Verschillende regels hebben ook een negatief effect op de concurrentievoorwaarden in de interne markt wanneer het gaat om entiteiten van hetzelfde type in verschillende lidstaten.
• Subsidiariteit (voor niet-exclusieve bevoegdheid)
Cyberbeveiligingsveerkracht in de hele Unie kan niet effectief zijn als deze op een ongelijke manier wordt benaderd via nationale of regionale silo’s. De NIS-richtlijn heeft deze tekortkoming gedeeltelijk verholpen door een kader voor de beveiliging van netwerk- en informatiesystemen op nationaal en Unieniveau vast te stellen. Bij de omzetting en uitvoering van de richtlijn zijn echter ook inherente tekortkomingen en beperkingen van bepaalde bepalingen of benaderingen aan het licht gekomen, zoals de onduidelijke afbakening van het toepassingsgebied van de richtlijn, wat leidt tot aanzienlijke verschillen in de omvang en diepgang van het feitelijke EU-optreden op het niveau van de lidstaten. Bovendien is de Europese economie sinds de COVID-19-crisis nog afhankelijker geworden van netwerk- en informatiesystemen dan ooit tevoren en zijn sectoren en diensten steeds meer met elkaar verbonden. Het optreden van de EU dat verder gaat dan de huidige maatregelen van de NIS-richtlijn is vooral gerechtvaardigd door: (i) het in toenemende mate grensoverschrijdende karakter van de bedreigingen en uitdagingen op het gebied van netwerk- en informatiebeveiliging; (ii) het potentieel van het optreden van de Unie om doeltreffend en gecoördineerd nationaal beleid te verbeteren en te vergemakkelijken; en (iii) de bijdrage van gecoördineerde en gezamenlijke beleidsacties aan een doeltreffende bescherming van de gegevensbescherming en de persoonlijke levenssfeer.
• Evenredigheid
De in deze richtlijn voorgestelde regels gaan niet verder dan wat nodig is om de specifieke doelstellingen op bevredigende wijze te verwezenlijken. De beoogde afstemming en stroomlijning van de beveiligingsmaatregelen en de rapportageverplichtingen hebben betrekking op de verzoeken van de lidstaten en het bedrijfsleven om het huidige kader te verbeteren.
Het voorstel houdt rekening met de reeds bestaande praktijken in de lidstaten. Een hoger beschermingsniveau dat door dergelijke gestroomlijnde en gecoördineerde eisen wordt bereikt, staat in verhouding tot de steeds grotere risico’s die worden gelopen, met inbegrip van de risico’s met een grensoverschrijdend element; zij zijn redelijk en komen over het algemeen overeen met het belang dat de betrokken entiteiten hebben bij het waarborgen van de continuïteit en de kwaliteit van hun diensten. De kosten voor het waarborgen van systematische samenwerking tussen de lidstaten zouden niet opwegen tegen de economische en maatschappelijke verliezen en schade die door cyberbeveiligingsincidenten worden veroorzaakt. Bovendien blijkt uit de raadplegingen van belanghebbenden in het kader van de herziening van de NIS-richtlijn, met inbegrip van de resultaten van de openbare raadpleging en de gerichte enquêtes, dat de herziening van de NIS-richtlijn in de bovengenoemde zin wordt gesteund.
• Keuze van het instrument
Het voorstel zal de verplichtingen voor het bedrijfsleven verder stroomlijnen en zorgen voor een hoger niveau van harmonisatie. Tegelijkertijd beoogt het voorstel de lidstaten de nodige flexibiliteit te bieden om rekening te houden met specifieke nationale kenmerken (zoals de mogelijkheid om aanvullende essentiële of belangrijke entiteiten te identificeren die verder gaan dan het in de rechtshandeling vastgestelde basisniveau). Het toekomstige rechtsinstrument moet daarom een richtlijn zijn, aangezien dit rechtsinstrument een gerichte verbeterde harmonisatie en een zekere mate van flexibiliteit voor de bevoegde autoriteiten mogelijk maakt.
3. RESULTATEN VAN EVALUATIES ACHTERAF, RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN
• Evaluaties/geschiktheidscontroles achteraf van bestaande wetgeving
De Commissie heeft de werking van de NIS-richtlijn geëvalueerd. 5 Zij heeft de relevantie, de toegevoegde waarde voor de EU, de samenhang, de doeltreffendheid en de efficiëntie ervan geanalyseerd. De belangrijkste bevindingen van deze analyse zijn:
·Het toepassingsgebied van de NIS-richtlijn is te beperkt wat betreft de sectoren die onder de richtlijn vallen, voornamelijk als gevolg daarvan: (i) de toegenomen digitalisering in de afgelopen jaren en een hogere mate van onderlinge verbondenheid, (ii) het toepassingsgebied van de NIS-richtlijn dat niet langer alle gedigitaliseerde sectoren die essentiële diensten aan de economie en de samenleving als geheel leveren, weerspiegelt.
·De NIS-richtlijn is niet duidelijk genoeg als het gaat om het toepassingsgebied voor aanbieders van essentiële diensten en de bepalingen ervan bieden onvoldoende duidelijkheid over de nationale bevoegdheid voor digitaledienstverleners. Dit heeft geleid tot een situatie waarin bepaalde soorten entiteiten niet in alle lidstaten zijn geïdentificeerd en dus niet verplicht zijn om beveiligingsmaatregelen te treffen en incidenten te melden.
·De NIS-richtlijn liet de lidstaten een ruime beoordelingsmarge bij het vaststellen van de eisen inzake beveiliging en het melden van incidenten voor aanbieders van essentiële diensten. Uit de evaluatie blijkt dat de lidstaten deze eisen in sommige gevallen op sterk uiteenlopende wijze hebben uitgevoerd, wat een extra belasting vormt voor bedrijven die in meer dan één lidstaat actief zijn.
·Het toezichts- en handhavingsregime van de NIS-richtlijn is ondoeltreffend. De lidstaten zijn bijvoorbeeld zeer terughoudend geweest in het opleggen van sancties aan entiteiten die geen beveiligingseisen stellen of incidenten melden. Dit kan negatieve gevolgen hebben voor de cyberveerkracht van individuele entiteiten.
·De financiële en personele middelen die de lidstaten opzijzetten voor het vervullen van hun taken (zoals de identificatie van of het toezicht op de aanbieders van essentiële diensten), en bijgevolg de verschillende niveaus van rijpheid bij het omgaan met cyberbeveiligingsrisico’s, lopen sterk uiteen. Dit vergroot de verschillen in cyberveerkracht tussen de lidstaten nog meer.
·De lidstaten delen niet systematisch informatie met elkaar, wat met name negatieve gevolgen heeft voor de effectiviteit van de cyberbeveiligingsmaatregelen en voor het niveau van gezamenlijk situationeel bewustzijn op EU-niveau. Dit is ook het geval voor de uitwisseling van informatie tussen particuliere entiteiten en voor de betrokkenheid van de samenwerkingsstructuren op EU-niveau en particuliere entiteiten.
• Raadpleging van belanghebbenden
De Commissie heeft een breed scala aan belanghebbenden geraadpleegd. De lidstaten en belanghebbenden zijn uitgenodigd om deel te nemen aan de openbare raadpleging en aan de door Wavestone, CEPS en ICF georganiseerde enquêtes en workshops, die door de Commissie zijn gecontracteerd om een studie uit te voeren ter ondersteuning van de herziening van de NIS-richtlijn. De geraadpleegde belanghebbenden waren onder meer bevoegde autoriteiten, organen van de Unie die zich bezighouden met cyberbeveiliging, aanbieders van essentiële diensten, digitaledienstverleners, entiteiten die diensten verlenen die buiten het toepassingsgebied van de huidige NIS-richtlijn vallen, beroepsverenigingen en consumentenorganisaties en burgers.
Bovendien heeft de Commissie voortdurend contact gehad met de bevoegde instanties die belast zijn met de uitvoering van de NIS-richtlijn. De samenwerkingsgroep heeft zich uitgebreid beziggehouden met diverse transversale en sectorale uitvoeringsaspecten. Ten slotte heeft de Commissie tijdens haar NIS-landenbezoeken in 2019 en 2020 154 openbare en particuliere entiteiten en 117 bevoegde autoriteiten geïnterviewd.
• Bijeenbrengen en benutten van expertise
De Commissie heeft een consortium van Wavestone, CEPS en ICF gecontracteerd om de Commissie te ondersteunen bij de herziening van de NIS-richtlijn. 6 De contractant heeft niet alleen de belanghebbenden die rechtstreeks te maken hebben met de NIS-richtlijn bereikt door middel van doelgerichte enquêtes en workshops, maar heeft ook overleg gepleegd met een breed scala aan deskundigen op het gebied van cyberbeveiliging, zoals onderzoekers op het gebied van cyberbeveiliging en professionals uit de cyberbeveiligingsindustrie.
• Effectbeoordeling
Dit voorstel gaat vergezeld van een effectbeoordeling 7 , die op 23 oktober 2020 is voorgelegd aan de Raad voor regelgevingstoetsing (“Regulatory Scrutiny Board” — RSB) en op 20 november 2020 een positief advies met opmerkingen van de RSB heeft ontvangen. De RSB heeft met het oog hierop op sommige punten verbeteringen aanbevolen: (1) de rol van grensoverschrijdende overloopeffecten in de probleemanalyse beter weergeven; (2) beter uitleggen hoe het succes van het initiatief eruit zou zien; (3) de lijst van beleidsopties verder motiveren; (4) de kosten van de voorgestelde maatregelen verder uitwerken. De effectbeoordeling werd aangepast om rekening te houden met deze punten en met meer gedetailleerde opmerkingen van de RSB. Zij bevat nu meer gedetailleerde uitleg over de rol van grensoverschrijdende overloopeffecten op het gebied van cyberbeveiliging, een duidelijker overzicht van hoe succes kan worden gemeten, een meer gedetailleerde uitleg over het opzet en de logica van de verschillende beleidsopties en acties die binnen deze opties worden overwogen, een meer gedetailleerde uitleg over de aspecten die zijn geanalyseerd in verband met het sectorale toepassingsgebied van de NIS-richtlijn en verdere verduidelijkingen met betrekking tot de kosten.
De Commissie heeft een aantal beleidsopties overwogen om het rechtskader op het gebied van cyberveerkracht en incidentrespons te verbeteren:
·“Niets doen”: De NIS-richtlijn blijft ongewijzigd en er worden geen andere maatregelen van niet-wetgevende aard genomen om de bij de evaluatie van de NIS-richtlijn vastgestelde problemen aan te pakken.
·Optie 1: er zouden geen veranderingen zijn op het niveau van de wetgeving. In plaats daarvan zou de Commissie, na raadpleging van de samenwerkingsgroep, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en, indien van toepassing, het netwerk van computer security incident response teams (CSIRT’s), aanbevelingen en richtsnoeren uitvaardigen (zoals over de identificatie van aanbieders van essentiële diensten, beveiligingseisen, procedures voor het melden van incidenten en toezicht).
·Optie 2: deze optie houdt gerichte wijzigingen van de NIS-richtlijn in, waaronder een uitbreiding van het toepassingsgebied en diverse andere wijzigingen die erop gericht zijn bepaalde onmiddellijke oplossingen voor de geconstateerde problemen te garanderen en meer duidelijkheid en verdere harmonisatie te bieden (zoals bepalingen om de identificatiedrempels te harmoniseren). In de gewijzigde NIS-richtlijn worden echter de belangrijkste bouwstenen, de aanpak en de motivering gehandhaafd.
·Optie 3: dit scenario houdt systematische en structurele wijzigingen van de NIS-richtlijn in (door middel van een nieuwe richtlijn) die een meer fundamentele verschuiving in de aanpak inhouden naar een breder segment van de economieën in de hele Unie, maar met een meer gericht toezicht op grote en belangrijke spelers. Het zou ook de verplichtingen voor bedrijven stroomlijnen en zorgen voor een hoger niveau van harmonisatie, een effectiever kader voor operationele aspecten creëren en een duidelijke grondslag leggen voor meer gedeelde verantwoordelijkheden en verantwoordingsplicht van verschillende belanghebbenden met betrekking tot cyberbeveiligingsmaatregelen.
De conclusie van de effectbeoordeling is dat de voorkeur uitgaat naar de derde optie (d.w.z. systemische en structurele wijzigingen van het kader voor netwerk- en informatiebeveiliging). Wat de doeltreffendheid betreft, zou de voorkeursoptie duidelijk het toepassingsgebied van de NIS-richtlijn bepalen, dat wordt uitgebreid tot een meer representatief deel van de economieën en samenlevingen in de EU, en de eisen stroomlijnen, samen met een meer gedefinieerd kader voor toezicht en handhaving dat gericht is op het verhogen van het nalevingsniveau. Dit houdt ook maatregelen in die gericht zijn op het verbeteren van de beleidsvorming op het niveau van de lidstaten en het veranderen van het paradigma daarvan, het bevorderen van nieuwe kaders voor risicobeheer van leveranciersrelaties en het coördineren van de bekendmaking van de kwetsbaarheid. Tegelijkertijd legt de voorkeursoptie een duidelijke grondslag voor gedeelde verantwoordelijkheden en verantwoordingsplicht en voorziet zij in mechanismen om meer vertrouwen tussen de lidstaten, zowel de autoriteiten als het bedrijfsleven, te bevorderen, het delen van informatie te stimuleren en te zorgen voor een meer operationele aanpak, zoals de mechanismen voor wederzijdse bijstand en intercollegiale toetsing. Deze optie zou ook voorzien in een EU-kader voor crisisbeheer, voortbouwend op het onlangs gelanceerde operationele netwerk van de EU, en zou ervoor zorgen dat het Enisa, binnen zijn huidige mandaat, meer betrokken is bij het houden van een accuraat overzicht van de cyberbeveiligingstoestand van de Unie.
Wat de efficiëntie betreft, zou de voorkeursoptie weliswaar extra nalevings- en handhavingskosten voor het bedrijfsleven en de lidstaten met zich meebrengen, maar zij zou ook leiden tot efficiënte trade-offs en synergieën, waarbij het beste potentieel van alle geanalyseerde beleidsopties wordt benut om te zorgen voor een groter en consistent niveau van cyberveerkracht van de belangrijkste entiteiten in de hele Unie, wat uiteindelijk zou leiden tot kostenbesparingen voor zowel het bedrijfsleven als de samenleving. Deze beleidsoptie zou bepaalde extra administratieve lasten en nalevingskosten voor de autoriteiten van de lidstaten met zich meebrengen. Per saldo zou het echter op middellange en lange termijn ook aanzienlijke voordelen opleveren door meer samenwerking tussen de lidstaten, ook op operationeel niveau, en door het stimuleren van een algemene toename van de cyberbeveiligingscapaciteiten op nationaal en regionaal niveau via wederzijdse bijstand, mechanismen voor collegiale toetsing en een beter overzicht van en interactie met belangrijke bedrijven. De voorkeursbeleidsoptie zou ook in hoge mate zorgen voor samenhang met andere wetgeving, initiatieven of beleidsmaatregelen, met inbegrip van sectorspecifieke lex specialis.
Het aanpakken van de huidige ontoereikendheid van de paraatheid op het gebied van cyberbeveiliging op het niveau van de lidstaten en op het niveau van de bedrijven en andere organisaties zou kunnen leiden tot efficiëntiewinst en tot vermindering van de extra kosten die voortvloeien uit cyberbeveiligingsincidenten.
·Voor essentiële en belangrijke entiteiten zou het verhogen van de paraatheid op het gebied van cyberbeveiliging kunnen leiden tot een beperking van het potentiële verlies aan inkomsten als gevolg van verstoringen — onder meer door industriële spionage — en zou het de grote uitgaven voor een ad-hocbedreiging kunnen verminderen. Dergelijke winsten zullen waarschijnlijk opwegen tegen de noodzakelijke investeringskosten. De versnippering van de interne markt verminderen zou ook het gelijke speelveld tussen de aanbieders verbeteren.
·Voor de lidstaten zou dit het risico van toenemende begrotingsuitgaven voor het verminderen van ad-hocbedreigingen en extra kosten in geval van noodsituaties in verband met cyberbeveiligingsincidenten verder kunnen verminderen.
·Voor burgers zal het aanpakken van cyberbeveiligingsincidenten naar verwachting leiden tot minder inkomensverlies als gevolg van economische ontwrichting.
De toegenomen cyberbeveiliging in de lidstaten en het vermogen van bedrijven en autoriteiten om snel te reageren op een incident en de gevolgen ervan te beperken, zullen hoogstwaarschijnlijk leiden tot een toename van het algemene vertrouwen van de burgers in de digitale economie, wat een positief effect zou kunnen hebben op de groei en de investeringen.
Het verhogen van het algemene niveau van cyberbeveiliging zal waarschijnlijk leiden tot een verhoogde algemene beveiliging en tot een soepele en ononderbroken werking van essentiële diensten, die kritiek zijn voor de samenleving. Het initiatief kan ook bijdragen tot andere sociale gevolgen, zoals minder cybercriminaliteit en terrorisme en meer civiele bescherming. Het verhogen van het niveau van cyberparaatheid voor bedrijven en andere organisaties kan potentiële financiële verliezen als gevolg van cyberaanvallen voorkomen, waardoor de noodzaak om werknemers te ontslaan, wordt voorkomen.
Een verhoging van het algemene cyberbeveiligingsniveau zou ook kunnen leiden tot het voorkomen van omgevingsrisico’s/schade in geval van een aanval op een essentiële dienst. Dit kan met name gelden voor de sectoren energie, watervoorziening en distributie of vervoer. Door de cyberbeveiligingscapaciteiten te versterken, zou het initiatief ertoe kunnen leiden dat er meer gebruik wordt gemaakt van ICT-infrastructuren en -diensten van de nieuwste generatie die ook uit milieu-oogpunt duurzamer zijn, en dat inefficiënte en minder veilige legacy-infrastructuren worden vervangen. Dit zal naar verwachting ook bijdragen aan het verminderen van het aantal dure cyberincidenten, waardoor er middelen vrijkomen voor duurzame investeringen.
• Regelgevende geschiktheid en vereenvoudiging
Het voorstel voorziet in een algemene uitsluiting van micro- en kleine entiteiten van het NIB-toepassingsgebied en in een lichtere regeling voor toezicht achteraf, die van toepassing is op een groot aantal van de nieuwe entiteiten die onder het herziene toepassingsgebied vallen (de zogenaamde belangrijke entiteiten). Deze maatregelen hebben tot doel de lasten voor ondernemingen en overheidsdiensten tot een minimum te beperken en in evenwicht te brengen. Bovendien vervangt het voorstel het complexe identificatiesysteem voor aanbieders van essentiële diensten door een algemeen geldende verplichting en voert het een hoger niveau van harmonisatie van de beveiligings- en rapportageverplichtingen in, waardoor de nalevingslast zou afnemen, met name voor entiteiten die grensoverschrijdende diensten verlenen.
Het voorstel beperkt de nalevingskosten voor kleine en middelgrote ondernemingen (kmo’s) tot een minimum, aangezien de entiteiten alleen die maatregelen hoeven te nemen die nodig zijn om een niveau van beveiliging van de netwerk- en informatiesystemen te waarborgen dat is afgestemd op het aanwezige risico.
• Grondrechten
De EU heeft zich ertoe verbonden hoge normen voor de bescherming van de grondrechten te waarborgen. Alle vrijwillige regelingen voor de uitwisseling van informatie tussen entiteiten die deze richtlijn bevordert, zouden worden uitgevoerd in een betrouwbare omgeving met volledige inachtneming van de gegevensbeschermingsregels van de Unie, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad 8 .
4. GEVOLGEN VOOR DE BEGROTING
Inhoudsopgave
- Zie financiële fiche
- Onderwerp en toepassingsgebied (artikel 1 en artikel 2)
- Nationale kaders voor cyberbeveiliging (artikelen 5 tot en met 11)
- Samenwerking (artikelen 12 tot en met 16)
- Verplichtingen inzake risicobeheer en rapportage op het gebied van cyberbeveiliging (artikelen 17 tot en met 23)
- Jurisdictie en registratie (artikelen 24 en 25)
- Uitwisseling van informatie (artikelen 26 en 27)
- Toezicht en handhaving (artikelen 28 tot en met 34)
5. ANDERE ELEMENTEN
• Uitvoeringsplannen en regelingen voor toezicht, evaluatie en rapportage
Het voorstel bevat een algemeen plan voor het toezicht op en de evaluatie van de gevolgen op de specifieke doelstellingen, waarbij de Commissie ten minste [54 maanden] na de datum van inwerkingtreding een evaluatie moet uitvoeren en aan het Europees Parlement en de Raad verslag moet uitbrengen over haar belangrijkste bevindingen.
De herziening moet worden uitgevoerd overeenkomstig de richtsnoeren voor betere regelgeving van de Commissie.
• Gedetailleerde toelichting bij de specifieke bepalingen van het voorstel
Het voorstel is opgebouwd rond verschillende belangrijke beleidsgebieden, die onderling verband houden en tot doel hebben het niveau van de cyberbeveiliging in de Unie te verhogen.
De richtlijn bepaalt in het bijzonder: a) dat de lidstaten een nationale strategie voor cyberbeveiliging moeten vaststellen en bevoegde nationale autoriteiten, centrale contactpunten en CSIRT’s moeten aanwijzen; b) dat de lidstaten verplichtingen inzake risicobeheer en rapportage op het gebied van cyberbeveiliging moeten vaststellen voor entiteiten die in bijlage I essentiële entiteiten worden genoemd en in bijlage II belangrijke entiteiten; c) dat de lidstaten verplichtingen moeten vaststellen inzake het delen van informatie op het gebied van cyberbeveiliging.
Zij is van toepassing op bepaalde openbare of particuliere essentiële entiteiten die actief zijn in de in bijlage I genoemde sectoren (energie; vervoer; bankwezen; financiëlemarktinfrastructuren; gezondheidszorg, drinkwater; afvalwater; digitale infrastructuur; openbaar bestuur en ruimtevaart) en bepaalde belangrijke entiteiten die actief zijn in de in bijlage II genoemde sectoren (post- en koeriersdiensten; afvalbeheer; vervaardiging, productie en distributie van chemische stoffen; voedingsproductie, -verwerking en -distributie; verwerkende industrie en digitale aanbieders). Micro- en kleine entiteiten in de zin van Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 zijn uitgesloten van het toepassingsgebied van de richtlijn, met uitzondering van aanbieders van elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten, aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen en overheidsdiensten, en bepaalde andere entiteiten, zoals de enige aanbieder van een dienst in een lidstaat.
De lidstaten moeten een nationale strategie voor cyberbeveiliging vaststellen waarin de strategische doelstellingen en passende beleids- en regelgevingsmaatregelen worden gedefinieerd om een hoog niveau van cyberbeveiliging te bereiken en te handhaven.
De richtlijn stelt ook een kader vast voor de gecoördineerde bekendmaking van de kwetsbaarheid en verplicht de lidstaten de CSIRT’s aan te wijzen als betrouwbare tussenpersonen en de interactie tussen de rapporterende entiteiten en de fabrikanten of aanbieders van ICT-producten en ICT-diensten te vergemakkelijken. Het Enisa is verplicht een Europees kwetsbaarheidsregister te ontwikkelen en bij te houden voor de ontdekte kwetsbaarheden.
De lidstaten moeten nationale kaders voor crisisbeheersing op het gebied van cyberbeveiliging opzetten, onder meer door nationale bevoegde autoriteiten aan te wijzen die verantwoordelijk zijn voor het beheer van grootschalige cyberbeveiligingsincidenten en -crises.
De lidstaten moeten ook een of meer nationale bevoegde autoriteiten op het gebied van cyberbeveiliging aanwijzen voor de toezichthoudende taken in het kader van deze richtlijn en een nationaal centraal contactpunt voor cyberbeveiliging (SPOC) aanwijzen dat een verbindingsfunctie heeft om de grensoverschrijdende samenwerking van de autoriteiten van de lidstaten te waarborgen. De lidstaten moeten ook CSIRT’s aanwijzen.
Bij de richtlijn wordt een samenwerkingsgroep opgericht om de strategische samenwerking en de uitwisseling van informatie tussen de lidstaten te ondersteunen en te vergemakkelijken en om vertrouwen te ontwikkelen. Ook wordt er een CSIRT-netwerk opgericht om bij te dragen aan de ontwikkeling van het vertrouwen tussen de lidstaten en om een snelle en doeltreffende operationele samenwerking te bevorderen.
Er wordt een Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) opgericht om het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises te ondersteunen en om de regelmatige uitwisseling van informatie tussen de lidstaten en de EU-instellingen te garanderen.
Het Enisa moet in samenwerking met de Commissie een tweejaarlijks verslag over de stand van zaken op het gebied van cyberbeveiliging in de Unie opstellen.
De Commissie moet een systeem van collegiale toetsing opzetten dat het mogelijk maakt regelmatig de doeltreffendheid van het cyberbeveiligingsbeleid van de lidstaten te beoordelen.
Verplichtingen inzake risicobeheer en rapportage op het gebied van cyberbeveiliging (artikelen 17 tot en met 23)
De richtlijn vereist dat de lidstaten bepalen dat de beheersorganen van alle entiteiten die onder het toepassingsgebied vallen, de door de respectieve entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s moeten goedkeuren en een specifieke opleiding op het gebied van cyberbeveiliging moeten volgen.
De lidstaten moeten ervoor zorgen dat de entiteiten die onder het toepassingsgebied vallen, passende en evenredige technische en organisatorische maatregelen nemen om de cyberbeveiligingsrisico’s voor de beveiliging van netwerk- en informatiesystemen te beheren. Zij moeten er ook voor zorgen dat de entiteiten de nationale bevoegde autoriteiten of de CSIRT’s in kennis stellen van elk cyberbeveiligingsincident dat een significant effect heeft op de verlening van de door hen verleende dienst.
De registers voor topleveldomeinnamen en de entiteiten die registratiediensten voor topleveldomeinnamen verlenen, verzamelen en bewaren nauwkeurige en volledige gegevens over de registratie van domeinnamen. Bovendien zijn dergelijke entiteiten verplicht om legitieme toegangvragende partijen efficiënte toegang te verlenen tot de gegevens van de domeinregistratie.
In de regel worden essentiële en belangrijke entiteiten geacht onder de jurisdictie te vallen van de lidstaat waar zij hun diensten verlenen. Bepaalde soorten entiteiten (DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputerdiensten, aanbieders van datacentra en van netwerken voor de levering van inhoud, alsmede bepaalde digitale aanbieders) worden echter geacht onder de jurisdictie te vallen van de lidstaat waar zij hun hoofdvestiging in de Unie hebben. Dit om ervoor te zorgen dat dergelijke entiteiten niet worden geconfronteerd met een veelheid aan verschillende wettelijke vereisten, aangezien zij in hoge mate grensoverschrijdende diensten verlenen. Het Enisa is verplicht een register van dit laatste type entiteiten aan te maken en bij te houden.
De lidstaten stellen regels vast die entiteiten in staat stellen om informatie over cyberbeveiliging uit te wisselen in het kader van specifieke regelingen voor informatie-uitwisseling op het gebied van cyberbeveiliging, met inachtneming van artikel 101 VWEU. Bovendien staan de lidstaten toe dat entiteiten die buiten het toepassingsgebied van deze richtlijn vallen, op vrijwillige basis melding maken van significante incidenten, cyberbedreigingen of bijna-ongelukken.
De bevoegde autoriteiten moeten toezicht houden op de entiteiten die onder het toepassingsgebied van de richtlijn vallen en er met name voor zorgen dat zij voldoen aan de eisen inzake beveiliging en het melden van incidenten. Er wordt een onderscheid gemaakt tussen een regeling voor toezicht vooraf op essentiële entiteiten en een regeling voor toezicht achteraf op belangrijke entiteiten, waarbij de bevoegde autoriteiten later worden verplicht actie te ondernemen wanneer zij bewijzen of aanwijzingen krijgen dat een belangrijke entiteit niet voldoet aan de vereisten inzake beveiliging en het melden van incidenten.
De richtlijn verplicht de lidstaten ook om administratieve boeten op te leggen aan essentiële en belangrijke entiteiten en stelt bepaalde maximumboeten vast.
De lidstaten zijn verplicht samen te werken en elkaar waar nodig bij te staan wanneer entiteiten diensten verlenen in meer dan één lidstaat of wanneer de hoofdvestiging van een entiteit of haar vertegenwoordiger zich in een bepaalde lidstaat bevindt, maar haar netwerk- en informatiesystemen zich in een of meer andere lidstaten bevinden.