De Europese Commissie heeft plannen gepresenteerd voor een nieuwe cyberbeveiligingsstrategie voor de EU. De plannen omvatten een hervorming van de richtlijn netwerk- en informatiesystemen (NIS) om het aantal kritieke diensten uit te breiden dat onder strengere veiligheidsverplichtingen valt. De Commissie roept ook op tot meer coördinatie tussen de EU-landen en meer internationale samenwerking. De strategie voor het beveiligen van 5G-netwerken zal naar verwachting in het tweede kwartaal van 2021 van kracht zijn.
De NIS-richtlijn, de eerste grote cyberbeveiligingswetgeving van de EU uit 2016 werd, vereiste dat elke EU-staat nationale cyberbeveiligingsinstanties opricht - zoals een CSIRT en een coördinerende instantie. Verder is er een verplichting tot samenwerking met grote leveranciers van vitale infrastructuur, zoals telecom, banken en energienetwerken, om te anticiperen op potentiële veiligheidsrisico's en de reacties op aanvallen coördineren.
Amper twee jaar na de implementatie ziet de Commissie de behoefte aan een "NIS 2" om het groeiende aantal veiligheidsbedreigingen het hoofd te bieden. De voorgestelde richtlijn zou betrekking hebben op meer vitale diensten (zoals voedsel en farmaceutische producten), versterking van veiligheidseisen en het toezicht, de aanpak van veiligheid van de toeleveringsketen, versterking van grensoverschrijdende coördinatie - met name bij grootschalige bedreigingen - en sancties verscherpen voor schendingen van de richtlijn (in het geval van bedrijven een boete van minimaal 2 procent van de omzet).
Nieuwe richtlijn veerkracht kritieke entiteiten
Om de rechtsgrondslag voor meer controle op kritieke aanbieders te versterken, wil de Commissie ook een nieuwe richtlijn inzake de veerkracht (resilience) van kritieke entiteiten (Critical Entities Resilience - CER). Hiermee wordt de s2008 European Critical Infrastructure-richtlijn uitgebreid naar de tien sectoren energie, transport, bankwezen, financiële marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur en ruimte. Volgens de voorgestelde richtlijn zouden de EU-staten elk een nationale strategie moeten aannemen om de veerkracht van de kritieke entiteiten te waarborgen en regelmatig risicobeoordelingen moeten uitvoeren.
De twee richtlijnen zijn ter overweging naar het Parlement en de Raad gestuurd. Indien goedgekeurd, zouden de EU-staten 18 maanden hebben om de wijzigingen in de nationale wetgeving door te voeren.
Cyberbeveiligingsschild voor de EU
Naast het intensiever verzamelen en delen van informatie in het kader van de bovengenoemde twee richtlijnen, stelt de Commissie een netwerk van Security Operations Centres in de hele EU voor om de grensoverschrijdende samenwerking te versterken. Aangedreven door kunstmatige intelligentie zou dit een "cyberbeveiligingsschild" voor de EU vormen, dat tekenen van een cyberaanval kan detecteren en de informatie met alle belanghebbenden kan delen voordat er schade optreedt.
Aanvullende maatregelen zijn onder meer gerichte steun aan kleine en middelgrote ondernemingen via digitale innovatiehubs, evenals meer inspanningen om het personeel bij te scholen, cyberbeveiligingstalent aan te trekken en te behouden en in onderzoek te investeren.
Meer instrumenten cyberdiplomatie
Aanvullende EU-coördinatie is gepland via een EU-brede cybereenheid, die de wetshandhavingsinspanningen op het gebied van cyberbeveiliging in alle lidstaten moet bundelen. De Commissie riep op tot soortgelijke samenwerking tussen de strijdkrachten, voortbouwend op het werk van het Europees Defensieagentschap, en stelt te werken aan uitbreiding van haar instrumenten voor cyberdiplomatie om de veiligheid op internationaal niveau te verbeteren. Dit omvat het werken met derde landen, regionale en internationale organisaties en brancheorganisaties, onder leiding van een 'EU Cyber Diplomacy Network' om Europa's visie op cyberspace te promoten.
De financiering voor de nieuwe plannen zal naar verwachting komen uit het onlangs goedgekeurde Digital Europe-programma, dat EUR 7,5 miljard uittrekt voor digitale projecten in de komende zevenjarige EU-begroting, en het nieuwe EU-O & O-programma Horizon Europe. In totaal verwacht de Commissie tot EUR 4,5 miljard aan gecombineerde investeringen te mobiliseren, inclusief bijdragen van de lidstaten en de industrie, voor het cyberbeveiligingsplan, inclusief de eerdere overeenkomst voor een cyberbeveiligingscompetentiecentrum en een netwerk van coördinatiecentra.
Als onderdeel van de aankondiging heeft de Commissie ook een nieuw rapport uitgebracht over de implementatie van de 5G-toolbox voor beveiliging. Het constateerde dat de EU-landen sinds de laatste update in juli goede vooruitgang boeken met de plannen en riep op om het proces tegen het tweede kwartaal van 2021 af te ronden.
