Toelichting bij COM(2022)122 - Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

1. ACHTERGROND VAN HET VOORSTEL

Motivering en doel van het voorstel

Bij dit voorstel wordt een kader voor gemeenschappelijke voorschriften en maatregelen voor cyberbeveiliging binnen de instellingen, organen en instanties van de Unie opgericht. Het voorstel beoogt de weerbaarheid van alle entiteiten en de responscapaciteit bij incidenten verder te verbeteren. Het sluit aan bij de prioriteiten van de Commissie om Europa klaar te maken voor het digitale tijdperk en een toekomstbestendige economie op te bouwen die werkt voor de mensen. Bovendien is de zorg voor een veilig en veerkrachtig openbaar bestuur een hoeksteen van de digitale transformatie van de samenleving in haar geheel.

Dit voorstel bouwt voort op de EU-strategie voor de veiligheidsunie (COM(2020) 605 final) en de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk (JOIN(2020) 18 final).

Het voorstel moderniseert het bestaande rechtskader van CERT-EU en houdt rekening met de veranderde en toegenomen digitalisering van de instellingen, organen en instanties in de afgelopen jaren, en met de veranderende dreigingen op het gebied van cyberbeveiliging. Beide ontwikkelingen zijn verder versterkt sinds het begin van de COVID-19-crisis, terwijl het aantal incidenten blijft toenemen, met steeds complexere aanvallen vanuit uiteenlopende bronnen.

Het voorstel doopt CERT-EU om van “computercrisisteam” in “cyberbeveiligingscentrum” voor de instellingen, organen en instanties van de Unie, conform de ontwikkelingen in de lidstaten en wereldwijd, waar veel CERT’s worden omgedoopt tot cyberbeveiligingscentra; de korte naam “CERT-EU” blijft vanwege de herkenbaarheid evenwel behouden.

Samenhang met bestaand beleid op het betrokken gebied

Dit voorstel is erop gericht de cyberbeveiligingsweerbaarheid van de instellingen, organen en instanties van de Unie tegen cyberdreigingen te verbeteren en in overeenstemming te brengen met de bestaande wetgeving:

- Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. Het is ook in overeenstemming met het voorstel voor een richtlijn (EU) XXX/XXX betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie en tot intrekking van Richtlijn (EU) 2016/1148 [NIS 2-voorstel];

- Verordening (EU) 2019/881 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging) en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie (de cyberbeveiligingsverordening);

- Voorstel voor een verordening (EU) XXX/XXX betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie;

- de aanbeveling van de Commissie van 23 juni 2021 betreffende de opbouw van een gezamenlijke cybereenheid;

- Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises.

De bijlage bij Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises bevat de blauwdruk voor een gecoördineerde respons op grensoverschrijdende grootschalige cyberincidenten en -crises.

In zijn resolutie van 9 maart 2021 benadrukte de Raad van de Europese Unie dat cyberbeveiliging essentieel is voor de werking van openbare diensten en instellingen, zowel nationaal als op EU-niveau, en voor onze samenleving en de gehele economie, en hij benadrukte verder het belang van een robuust en consistent beveiligingskader om alle personeel, gegevens, communicatienetwerken en informatiesystemen evenals besluitvormingsprocessen te beschermen. Daartoe moet de EU weerbaarder worden gemaakt tegen cyberdreigingen en moet er een betere veiligheidscultuur komen bij de instellingen, organen en instanties van de Unie. Er moet worden gezorgd voor voldoende beschikbare middelen en capaciteiten, onder meer in het kader van de versterking van het mandaat van CERT-EU.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

Rechtsgrondslag

De rechtsgrond voor deze verordening is artikel 298 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat bepaalt dat de instellingen, organen en instanties van de Unie bij de vervulling van hun taken steunen op een open, doeltreffend en onafhankelijk Europees ambtenarenapparaat. Met inachtneming van het statuut en de regeling vastgesteld op grond van artikel 336, stellen het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure bij verordeningen toepasselijke bepalingen vast.

Informatietechnologie heeft de instellingen, organen en instanties van de Unie nieuwe manieren geboden om te functioneren, met burgers te communiceren en de algehele werking te verbeteren. Cyberdreigingen evolueren mee met de zich ontwikkelende technologie. De instellingen, organen en instanties van de Unie zijn zeer aantrekkelijke doelwitten van geavanceerde cyberaanvallen geworden. Het opzetten van systemen en vereisten om cyberbeveiliging te waarborgen, lijkt bij te dragen tot de efficiëntie en de onafhankelijkheid van het Europese openbaar bestuur, zodat de instellingen, organen en instanties van de Unie bij de uitvoering van hun taken efficiënter kunnen functioneren in een digitale wereld.

Bovendien vormen de huidige verschillen in opstelling jegens en benadering van cyberbeveiliging tussen de instellingen, organen en instanties van de Unie, zoals uiteengezet in punt 3 hieronder, verdere belemmeringen voor een open, efficiënt en onafhankelijk Europees bestuur. Zonder een gemeenschappelijke aanpak zou de positie ten opzichte van cyberbeveiliging onder de instellingen, organen en instanties van de Unie zich in uiteenlopende richtingen blijven ontwikkelen. De rechtsgrond is derhalve passend, aangezien de verordening tot doel heeft een gemeenschappelijk rechtskader voor cyberbeveiliging te scheppen binnen de instellingen, organen en instanties van de Unie.

Subsidiariteit

De verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging voor de instellingen, organen en instanties van de Unie valt onder de exclusieve bevoegdheid van de Unie.

Evenredigheid

De in deze verordening voorgestelde regels gaan niet verder dan nodig is om de specifieke doelstellingen op bevredigende wijze te verwezenlijken. De voorgenomen maatregelen dragen bij tot de verwezenlijking van een hoog gezamenlijk niveau van cyberbeveiliging, zonder verder te gaan dan wat nodig is om de doelstelling te verwezenlijken, in het licht van de steeds grotere risico’s.

Keuze van het instrument

De keuze voor een verordening, die rechtstreeks toepasselijk is, wordt beschouwd als het geschikte rechtsinstrument om de aan de instellingen, organen en instanties van de Unie opgelegde verplichtingen te definiëren en te stroomlijnen. Met het oog op gerichte verbeteringen is een verordening het geschiktste rechtsinstrument.

3. RESULTATEN VAN EX ANTE-EVALUATIES, RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN

Ex ante-evaluaties

CERT-EU heeft een beoordeling uitgevoerd van de belangrijkste cyberdreigingen waaraan de instellingen, organen en instanties van de Unie momenteel of waarschijnlijk in de nabije toekomst worden blootgesteld.

In de analyse zijn drie categorieën waarnemingen gebruikt:

- pogingen om de IT-infrastructuur van de instellingen, organen en instanties van de Unie binnen te dringen (indien succesvol worden ze als incidenten beschouwd, anders worden ze als opgespoorde pogingen geregistreerd);

- dreigingen die zijn ontdekt in de nabijheid van de instellingen, organen en instanties van de Unie (bijvoorbeeld in gerelateerde sectoren, groepen van belanghebbenden of in Europa);

- grootschalige dreigingen die wereldwijd worden waargenomen.

Verder is geanalyseerd op welke manier huidige grote evoluties van invloed zijn op de wijze waarop de instellingen van de Unie hun IT-infrastructuur en -diensten beheren en gebruiken. Deze evoluties omvatten:

- meer thuiswerk;

- migratie van systemen naar de cloud;

- meer outsourcing van IT-diensten.

Tussen 2019 en 2021 is het aantal door advanced persistent threat-actoren uitgevoerde significante incidenten1 met gevolgen voor de instellingen, organen en instanties van de Unie, dramatisch gestegen. In de eerste helft van 2021 waren er evenveel significante incidenten als in heel 2020. Dit is goed te zien in het aantal door CERT-EU in 2020 geanalyseerde forensische beelden (snapshots van de inhoud van getroffen systemen of apparaten), dat was verdrievoudigd ten opzichte van 2019, en het aantal significante incidenten is sinds 2018 meer dan vertienvoudigd.

Het CERT-EU-bestuur heeft in 2020 een nieuwe strategische doelstelling voor CERT-EU vastgesteld om te zorgen voor een alomvattend niveau van cyberdefensie voor alle instellingen, organen en instanties van de Unie, met een passend bereik en met voortdurende aanpassing aan huidige of op handen zijnde dreigingen, waaronder aanvallen op mobiele apparatuur, cloudomgevingen en apparaten voor het internet der dingen.

In aanvulling op de dreigingsanalyse van CERT-EU heeft de Commissie de werking van de cyberbeveiliging van 20 instellingen, organen en instanties van de Unie onderzocht. Dit gaf inzicht in de bestaande cyberbeveiligingspraktijken en de capaciteiten op het gebied van cyberbeveiligingsbeheer, met externe benchmarking van een aantal technische beveiligingscontroles.

Het onderzoek was gebaseerd op vragenlijsten die deze instellingen, organen en instanties hadden ingevuld, openbare gegevens en gegevens die rechtstreeks door de instellingen, organen en instanties van de Unie zelf werden verstrekt. Het bood voldoende inzicht in de huidige situatie om te kunnen concluderen dat:

- de maturiteit op het gebied van cyberbeveiliging, de grootte van de IT-infrastructuur en de capaciteitsniveaus onder de onderzochte instellingen, organen en instanties van de Unie aanzienlijk verschillen;

- hoewel veel instellingen, organen en instanties van de Unie over het algemeen over degelijke opsporings- en responscapaciteiten beschikken, de niveaus van geïntegreerd risicobeheer binnen hun governancevermogens op het gebied van cyberbeveiliging uiteenlopen;

- hoewel de cyberbeveiligingskaders (strategie, beleid en een basis van regels) van de geëvalueerde instellingen, organen en instanties van de Unie over het algemeen op de belangrijkste in bijlage I bij de verordening opgenomen cyberbeveiligingsgebieden aanwezig zijn, een degelijk bedrijfscontinuïteitsbeheer, naleving, audit en voortdurende verbetering bij sommige instellingen, organen en instanties van de Unie ontbreken;

- als beste praktijken beschouwde technische maatregelen door de onderzochte instellingen, organen en instanties van de Unie verschillend bleken te worden toegepast.

Samenvattend blijkt uit de analyse van de 20 instellingen, organen en instanties van de Unie dat hun governance, cyberhygiëne, algehele capaciteit en maturiteit over een breed spectrum uiteenlopen. Daarom is de eis dat alle instellingen, organen en instanties van de Unie een basis van cyberbeveiligingsmaatregelen implementeren, bevorderlijk om dit verschil in maturiteit aan te pakken en alle instellingen, organen en instanties van de Unie naar een hoog gezamenlijk niveau van cyberbeveiliging te tillen.

Er bestaat momenteel nog geen Uniewetgeving die op de cyberbeveiliging van de instellingen, organen en instanties van de Unie gericht is en de dreigingen op het gebied van cyberbeveiliging en de uit de digitalisering voortvloeiende nieuwe IT-risico's alomvattend aanpakt.

Raadpleging van belanghebbenden

De Commissie heeft belanghebbenden uit alle instellingen, organen en instanties van de Unie, alsook vertegenwoordigers van de lidstaten in de Raad en belanghebbenden in het Europees Parlement geraadpleegd. Vertegenwoordigers van de lidstaten en belanghebbenden van de instellingen, organen en instanties van de Unie hebben op 25 juni 2021 deelgenomen aan een door de Commissie georganiseerde workshop om de inhoud van het toekomstige verordeningsvoorstel te bespreken.

Effectbeoordeling

Het onderhavige voorstel heeft gevolgen voor de instellingen, organen en instanties van de Unie. Aangezien het niet van toepassing is op de lidstaten, is een specifieke effectbeoordeling overbodig.

Grondrechten

De EU heeft zich ertoe verbonden hoge normen voor de bescherming van de grondrechten te waarborgen. Het delen van informatie op basis van deze verordening vindt plaats in een betrouwbare omgeving met volledige inachtneming van het recht op bescherming van persoonsgegevens in de zin van artikel 8 van het Handvest van de grondrechten van de Europese Unie en de toepasselijke gegevensbeschermingsregels, met name Verordening (EU) 2018/1725 van het Europees Parlement en de Raad.

4. GEVOLGEN VOOR DE BEGROTING

Uit marktbenchmarks en studies2 blijkt dat de directe uitgaven voor cyberbeveiliging plegen te variëren van 4 tot 7 % van de totale IT-uitgaven van organisaties. Uit de dreigingsanalyse van CERT-EU ter ondersteuning van dit wetgevingsvoorstel blijkt echter dat internationale organen en politieke organisaties met grotere risico’s te kampen hebben en dat een niveau van 10 % van de IT-uitgaven voor cyberbeveiliging derhalve een adequater cijfer is. De precieze kosten van die inspanningen kunnen niet worden bepaald vanwege het gebrek aan nadere informatie over de IT-uitgaven van de instellingen, organen en instanties van de Unie en het relevante deel van de uitgaven aan cyberbeveiliging.

Hoewel het daarom waarschijnlijk is dat veel instellingen, organen en instanties van de Unie minder aan cyberbeveiliging uitgeven dan zou moeten, zal deze verordening als zodanig niet leiden tot een verhoging van de huidige uitgaven. Ook zonder de verordening moet iedere entiteit een passend niveau van cyberbeveiliging waarborgen. De verordening bestendigt de eerdere samenwerking binnen het CERT-EU-bestuur, en formaliseert een momenteel al ten dele bestaande informatie-uitwisseling. Zoals beschreven in het financieel memorandum, heeft CERT-EU extra middelen nodig om zijn uitgebreide rol te vervullen, en die middelen moeten worden geheroriënteerd van de instellingen, organen en instanties van de Unie die van de diensten van CERT-EU profiteren.

5. ANDERE ELEMENTEN

- Uitvoering en regelingen betreffende controle, evaluatie en rapportage

De interinstitutionele raad voor cyberbeveiliging (IICB) moet, met de hulp van CERT-EU, de werking van deze verordening evalueren, beoordelingen uitvoeren en daarover verslag uitbrengen aan de Commissie. De Commissie moet zorgen voor regelmatige verslaggeving aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

CERT-EU kan een voorstel voor richtsnoeren of een aanbeveling opstellen, dat de IICB kan besluiten aan te nemen. Richtsnoeren zijn een advies, gericht tot alle of een aantal van de instellingen, organen en instanties van de Unie, en aanbevelingen zijn gericht tot individuele instellingen, organen en instanties van de Unie. Een oproep tot actie is een advies van CERT-EU betreffende dringende veiligheidsmaatregelen die instellingen, organen en instanties van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen.

- Uitgebreide toelichting bij de specifieke bepalingen van het voorstel

1.

Algemene bepalingen


De verordening bevat maatregelen ter waarborging van een hoog gezamenlijk niveau van cyberbeveiliging en geldt voor de instellingen, organen en instanties van de Unie, zodat zij hun respectieve taken op een open, efficiënte en onafhankelijke wijze kunnen uitvoeren (artikelen 1-3, 23-25).

2.

Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging


De instellingen, organen en instanties van de Unie moeten een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opzetten dat een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s waarborgt. Verder stellen de instellingen, organen en instanties van de Unie een basisniveau van cyberbeveiliging vast om de in het kader vastgestelde risico’s aan te pakken, regelmatig maturiteitsbeoordeling van de cyberbeveiliging uit te voeren en een cyberbeveiligingsbasis vast te stellen (artikelen 4-8).

3.

Interinstitutionele raad voor cyberbeveiliging


Er wordt een Interinstitutionele raad voor cyberbeveiliging opgericht die verantwoordelijk is voor het toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie, en het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en voor de strategische leiding van CERT-EU (artikelen 9-11).


4.

CERT-EU


CERT-EU draagt bij tot de beveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie door ze advies te geven, te helpen incidenten te voorkomen, die op te sporen en daarop te reageren, en door op te treden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten (artikelen 12-17).

5.

Samenwerking en verslagleggingsverplichtingen


De verordening waarborgt de samenwerking en de uitwisseling van informatie tussen CERT-EU en de instellingen, organen en instanties van de Unie, om vertrouwen te kweken. Daartoe kan CERT-EU, zonder toestemming van het betrokken constituerende deel, de instellingen, organen en instanties van de Unie verzoeken relevante informatie te verstrekken, en incidentspecifieke informatie uitwisselen met de instellingen, organen en instanties van de Unie om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken. Incidentspecifieke informatie die de identiteit van het doelwit van het cyberbeveiligingsincident onthult, mag door CERT-EU alleen met toestemming van het betrokken constituerende deel worden uitgewisseld.

De instellingen, organen en instanties van de Unie stellen CERT-EU met name onverwijld en in ieder geval binnen 24 uur nadat zij daarvan kennis hebben gekregen, op de hoogte van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten (artikelen 18-22).