Artikelen bij COM(2023)209 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2023)209 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, ...
document COM(2023)209 NLEN
datum 19 december 2024


Hoofdstuk I  

ALGEMENE DOELSTELLINGEN, ONDERWERP EN DEFINITIES  

Inhoudsopgave

Artikel 1 - Onderwerp en doelstellingen 

1. Bij deze verordening worden maatregelen vastgesteld ter versterking van de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren, met name door middel van de volgende acties:


a) de uitrol van een pan-Europese infrastructuur van centra voor beveiligingsoperaties (“Europees cyberschild”) om gemeenschappelijke capaciteiten op het gebied van opsporing en situationeel bewustzijn op te bouwen en te versterken;

b) de instelling van een cybernoodmechanisme om de lidstaten te ondersteunen bij de voorbereiding en respons op, en bij het onmiddellijke herstel van, significante en grootschalige cyberbeveiligingsincidenten;

c) de instelling van een Europees evaluatiemechanisme voor cyberbeveiligingsincidenten om significante of grootschalige incidenten te evalueren en te beoordelen.

2. Met deze verordening wordt beoogd de solidariteit op het niveau van de Unie te versterken door middel van de volgende specifieke doelstellingen:

a) de gemeenschappelijke capaciteiten van de Unie op het gebied van opsporing en situationeel bewustzijn van cyberdreigingen en -incidenten versterken, waardoor de concurrentiepositie van de industrie en de dienstensector in de Unie in de digitale economie kan worden versterkt en kan worden bijgedragen tot de technologische soevereiniteit van de Unie op het gebied van cyberbeveiliging;

b) de paraatheid van in kritieke en zeer kritieke sectoren actieve entiteiten in de hele Unie vergroten en de solidariteit versterken door gemeenschappelijke capaciteit op het gebied van de respons op significante of grootschalige cyberbeveiligingsincidenten te ontwikkelen, onder meer door steun van de Unie voor respons op cyberbeveiligingsincidenten beschikbaar te stellen aan derde landen die geassocieerd zijn met het programma Digitaal Europa;

c) de weerbaarheid van de Unie vergroten en bijdragen tot een doeltreffende respons door significante of grootschalige incidenten te evalueren en te beoordelen, en daaruit lering te trekken en, in voorkomend geval, aanbevelingen te doen.

3. Deze verordening doet geen afbreuk aan de primaire verantwoordelijkheid van de lidstaten voor de nationale veiligheid, de openbare veiligheid en het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.

Artikel 2 - Definities

Voor de toepassing van deze verordening wordt verstaan onder: 


(1) 'landsgrensoverschrijdend centrum voor beveiligingsoperaties” (“landsgrensoverschrijdend SOC”): een meerlandenplatform dat nationale SOC’s uit ten minste drie lidstaten die een onderbrengend consortium vormen, samenbrengt in een gecoördineerde netwerkstructuur, en dat bedoeld is om cyberdreigingen en -incidenten te voorkomen en de productie van hoogwaardige inlichtingen te ondersteunen, met name door het uitwisselen van gegevens uit diverse publieke en private bronnen, het delen van geavanceerde instrumenten en het gezamenlijk ontwikkelen van capaciteit op het gebied van de opsporing, analyse en preventie van alsook de bescherming tegen cyberdreigingen en -incidenten in een betrouwbare omgeving;

(2) “overheidsinstantie”: een publiekrechtelijke instelling zoals gedefinieerd in artikel 2, lid 1, punt 4), van Richtlijn 2014/24/EU van het Europees Parlement en de Raad 30 ;

(3) “onderbrengend consortium”: een consortium bestaande uit deelnemende staten, vertegenwoordigd door nationale SOC’s, die zijn overeengekomen om instrumenten en infrastructuur voor en de exploitatie van een landsgrensoverschrijdend SOC op te zetten en bij te dragen aan de verwerving ervan;

(4) “entiteit”: een entiteit zoals gedefinieerd in artikel 6, punt 38, van Richtlijn (EU) 2022/2555; 

(5) “in kritieke of zeer kritieke sectoren actieve entiteiten”: de soorten entiteiten die zijn opgenomen in bijlage I en bijlage II bij Richtlijn (EU) 2022/2555;

(6) “cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881;

(7) “significant cyberbeveiligingsincident”: een cyberbeveiligingsincident dat voldoet aan de criteria van artikel 23, lid 3, van Richtlijn (EU) 2022/2555;

(8) “grootschalig cyberbeveiligingsincident”: een incident zoals gedefinieerd in artikel 6, punt 7, van Richtlijn (EU) 2022/2555;

(9) “paraatheid”: een staat van gereedheid en vermogen om te zorgen voor een doeltreffende snelle respons op een significant of grootschalig cyberbeveiligingsincident, die het resultaat is van vooraf genomen risicobeoordelings- en risicocontrolemaatregelen; 

(10) “respons”: actie in het geval van een significant of grootschalig cyberbeveiligingsincident, of tijdens of na een dergelijk incident, om de onmiddellijke nadelige gevolgen alsook de nadelige kortetermijngevolgen ervan aan te pakken; 

(11) “betrouwbare aanbieders”: aanbieders van beheerde beveiligingsdiensten zoals gedefinieerd in artikel 6, punt 40, van Richtlijn (EU) 2022/2555, geselecteerd overeenkomstig artikel 16 van deze verordening.

Hoofdstuk II - HET EUROPEES CYBERSCHILD 

Artikel 3 - Oprichting van het Europees cyberschild

1. Er wordt een onderling verbonden pan-Europese infrastructuur van centra voor beveiligingsoperaties (“Europees cyberschild”) opgezet om voor de Unie geavanceerde capaciteiten op het gebied van het opsporen en analyseren van cyberdreigingen en -incidenten in de Unie en het verwerken van gegevens daarover te ontwikkelen. Het cyberschild bestaat uit alle nationale centra voor beveiligingsoperaties (“nationale SOC’s”) en landsgrensoverschrijdende centra voor beveiligingsoperaties (“landsgrensoverschrijdende SOC’s”).

De acties ter uitvoering van het Europees cyberschild worden ondersteund door financiering uit het programma Digitaal Europa en uitgevoerd overeenkomstig Verordening (EU) nr. 2021/694 en met name specifieke doelstelling 3 daarvan.

2. Het Europees cyberschild:

a) bundelt en deelt gegevens over cyberdreigingen en -incidenten uit verschillende bronnen via landsgrensoverschrijdende SOC’s;

b) produceert hoogwaardige, bruikbare informatie en inlichtingen over cyberdreigingen door gebruik te maken van geavanceerde instrumenten, met name artificiële intelligentie en technologieën voor gegevensanalyse;

c) draagt bij tot een betere bescherming tegen en respons op cyberdreigingen;

d) draagt bij tot een snellere opsporing van cyberdreigingen en situationeel bewustzijn in de hele Unie;

e) levert diensten en activiteiten voor de cyberbeveiligingsgemeenschap in de Unie, waaronder het bijdragen aan de ontwikkeling van geavanceerde instrumenten voor artificiële intelligentie en gegevensanalyse.

Het cyberschild wordt ontwikkeld in samenwerking met de bij Verordening (EU) 2021/1173 opgerichte pan-Europese high-performance computing-infrastructuur.

Artikel 4 - Nationale centra voor beveiligingsoperaties

1. Om deel te nemen aan het Europees Cyberschild wijst elke lidstaat ten minste één nationaal SOC aan. Het nationale SOC is een overheidsinstantie.

Het kan fungeren als referentiepunt en toegangspoort tot andere publieke en private organisaties op nationaal niveau voor het verzamelen en analyseren van informatie over cyberdreigingen en -incidenten en voor het bijdragen tot een landsgrensoverschrijdend SOC. Het wordt uitgerust met geavanceerde technologieën waarmee gegevens over cyberdreigingen en -incidenten kunnen worden opgespoord, samengevoegd en geanalyseerd.

2. Na een oproep tot het indienen van blijken van belangstelling worden de nationale SOC’s door het Europees Kenniscentrum voor cyberbeveiliging (“ECCC”) geselecteerd om samen met het ECCC deel te nemen aan een gezamenlijke aanbesteding van instrumenten en infrastructuur. Het ECCC kan aan de geselecteerde nationale SOC’s subsidies toekennen om de werking van die instrumenten en infrastructuur te financieren. De financiële bijdrage van de Unie dekt tot 50 % van de verwervingskosten van de instrumenten en infrastructuur en tot 50 % van de exploitatiekosten; de resterende kosten komen voor rekening van de lidstaat. Alvorens de procedure voor de verwerving van de instrumenten en infrastructuur in gang te zetten, sluiten het ECCC en het nationale SOC een onderbrengings- en gebruiksovereenkomst waarin het gebruik van de instrumenten en infrastructuur wordt geregeld.

3. Een overeenkomstig lid 2 geselecteerd nationaal SOC verbindt zich ertoe een aanvraag tot deelname aan een landsgrensoverschrijdend SOC in te dienen binnen twee jaar na de datum waarop de instrumenten en infrastructuur zijn verworven of, indien dit eerder is, waarop het een subsidie ontvangt. Indien een nationaal SOC tegen die tijd niet deelneemt aan een landsgrensoverschrijdend SOC, komt het niet in aanmerking voor aanvullende steun van de Unie uit hoofde van deze verordening.

Artikel 5 - Grensoverschrijdende centra voor beveiligingsoperaties

1. Een onderbrengend consortium bestaande uit ten minste drie lidstaten, vertegenwoordigd door nationale SOC’s, die zich ertoe verbinden samen te werken om hun activiteiten op het gebied van het opsporen en monitoren van cyberdreigingen en -incidenten te coördineren, komt in aanmerking om deel te nemen aan acties voor de oprichting van een landsgrensoverschrijdend SOC.

2. Na een oproep tot het indienen van blijken van belangstelling selecteert het ECCC een onderbrengend consortium om samen met het ECCC deel te nemen aan een gezamenlijke aanbesteding van instrumenten en infrastructuur. Het ECCC kan het onderbrengend consortium een subsidie toekennen om de werking van de instrumenten en infrastructuur te financieren. De financiële bijdrage van de Unie dekt tot 75 % van de verwervingskosten van de instrumenten en infrastructuur en tot 50 % van de exploitatiekosten; de resterende kosten komen voor rekening van het onderbrengend consortium. Alvorens de procedure voor de verwerving van de instrumenten en infrastructuur in gang te zetten, sluiten het ECCC en het onderbrengend consortium een onderbrengings- en gebruiksovereenkomst waarin het gebruik van de instrumenten en infrastructuur wordt geregeld.

3. De leden van het onderbrengend consortium sluiten een schriftelijke consortiumovereenkomst waarin hun interne regelingen voor de uitvoering van de onderbrengings- en gebruiksovereenkomst zijn vastgelegd.

4. Een landsgrensoverschrijdend SOC wordt voor juridische doeleinden vertegenwoordigd door een nationaal SOC dat optreedt als coördinerend SOC, of door het onderbrengend consortium indien dit rechtspersoonlijkheid bezit. Het coördinerend SOC is verantwoordelijk voor de naleving van de voorschriften van de onderbrengings- en gebruiksovereenkomst en van deze verordening.

Artikel 6 -    Samenwerking en informatie-uitwisseling binnen en tussen landsgrensoverschrijdende SOC’s

1. De leden van een onderbrengend consortium wisselen onderling relevante informatie uit binnen het landsgrensoverschrijdende SOC, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, technieken en procedures, indicatoren voor aantasting, vijandige tactieken, dreigingsactorspecifieke informatie, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om cyberaanvallen te detecteren, wanneer dat uitwisselen van informatie:

a) bedoeld is om incidenten te voorkomen, te detecteren, erop te reageren of ervan te herstellen of de gevolgen ervan te beperken;

b) het niveau van de cyberbeveiliging verhoogt, met name door de bewustwording met betrekking tot cyberdreigingen te vergroten, het vermogen van dergelijke dreigingen om zich te verspreiden te beperken of te belemmeren, een reeks verdedigingscapaciteiten, het herstel en de openbaarmaking van kwetsbaarheden, het opsporen van dreigingen, beheersings- en preventietechnieken, beperkingsstrategieën of respons- en herstelfasen te ondersteunen of gezamenlijk onderzoek naar dreigingen door publieke en particuliere entiteiten te bevorderen.

2. In de in artikel 5, lid 3, bedoelde schriftelijke consortiumovereenkomst wordt het volgende vastgesteld:

a) een verbintenis om een aanzienlijke hoeveelheid gegevens als bedoeld in lid 1 uit te wisselen en de voorwaarden waaronder die informatie wordt uitgewisseld;

b) een governancekader dat de uitwisseling van informatie door alle deelnemers stimuleert;

c) doelstellingen voor de bijdrage aan de ontwikkeling van geavanceerde AI-instrumenten en instrumenten voor gegevensanalyse.

3. Om de uitwisseling van informatie tussen landsgrensoverschrijdende SOC’s te bevorderen, zorgen de landsgrensoverschrijdende SOC’s voor een hoog niveau van onderlinge interoperabiliteit. Om de interoperabiliteit tussen de landsgrensoverschrijdende SOC’s te faciliteren, kan de Commissie door middel van uitvoeringshandelingen en na raadpleging van het ECCC de voorwaarden voor deze interoperabiliteit specificeren. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 21, lid 2, van deze verordening bedoelde onderzoeksprocedure.

4. Landsgrensoverschrijdende SOC’s sluiten samenwerkingsovereenkomsten met elkaar, waarin de beginselen voor informatie-uitwisseling tussen de landsgrensoverschrijdende platforms worden gespecificeerd.

Artikel 7 -   Samenwerking en informatie-uitwisseling met entiteiten van de Unie

1. Wanneer de landsgrensoverschrijdende SOC’s informatie verkrijgen over een mogelijk of lopend grootschalig cyberbeveiligingsincident, verstrekken zij onverwijld relevante informatie aan EU-CyCLONe, het CSIRT-netwerk en de Commissie, gezien hun respectieve taken op het gebied van crisisbeheersing overeenkomstig Richtlijn (EU) 2022/2555.

2. De Commissie kan door middel van uitvoeringshandelingen de procedurele regelingen voor de in lid 1 bedoelde informatie-uitwisseling vaststellen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 21, lid 2, van deze verordening bedoelde onderzoeksprocedure.

Artikel 8 - Beveiliging

1. De lidstaten die deelnemen aan het Europees cyberschild zorgen voor een hoog niveau van gegevensbeveiliging en fysieke beveiliging van de infrastructuur van het Europees cyberschild en zien erop toe dat de infrastructuur adequaat wordt beheerd en gecontroleerd zodat deze tegen dreigingen wordt beschermd en zodat de beveiliging van de infrastructuur en van de systemen, met inbegrip van de via de infrastructuur uitgewisselde gegevens, wordt gewaarborgd.

2. De lidstaten die deelnemen aan het Europees cyberschild zorgen ervoor dat de uitwisseling van informatie binnen het Europees cyberschild met entiteiten die geen overheidsinstanties van een lidstaat zijn, geen negatieve gevolgen heeft voor de veiligheidsbelangen van de Unie.

3. De Commissie kan uitvoeringshandelingen vaststellen waarin technische voorschriften worden vastgelegd waaraan de lidstaten moeten voldoen om hun verplichting uit hoofde van de leden 1 en 2 na te komen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 21, lid 2, van deze verordening bedoelde onderzoeksprocedure. Daarbij houdt de Commissie, gesteund door de hoge vertegenwoordiger, rekening met de relevante beveiligingsnormen op defensieniveau, teneinde de samenwerking met militaire actoren te vergemakkelijken.

Hoofdstuk III - CYBERNOODMECHANISME

Artikel 9 - Instelling van het cybernoodmechanisme

1. Er wordt een cybernoodmechanisme ingesteld om de Unie weerbaarder te maken tegen grote cyberdreigingen en om in een geest van solidariteit de kortetermijngevolgen van significante en grootschalige cyberbeveiligingsincidenten of -crises te beperken en zich daarop voor te bereiden (het “mechanisme”).

2. De acties ter uitvoering van het cybernoodmechanisme worden ondersteund door financiering uit het programma Digitaal Europa en worden uitgevoerd overeenkomstig Verordening (EU) 2021/694 en met name specifieke doelstelling 3 daarvan.

Artikel 10 - Soorten acties

1. Het mechanisme ondersteunt de volgende soorten acties: 

a) paraatheidsacties, met inbegrip van de gecoördineerde paraatheidstests van in zeer kritieke sectoren actieve entiteiten in de hele Unie;

b) responsacties, ter ondersteuning van de respons op en het onmiddellijke herstel van significante en grootschalige cyberbeveiligingsincidenten, die moeten worden uitgevoerd door betrouwbare aanbieders die deelnemen aan de bij artikel 12 ingestelde EU-cyberbeveiligingsreserve;

c) wederzijdse-bijstandsacties die bestaan uit het verlenen van bijstand door de nationale autoriteiten van een lidstaat aan een andere lidstaat, met name als bedoeld in artikel 11, lid 3, punt f), van Richtlijn (EU) 2022/2555.

Artikel 11 - Gecoördineerde paraatheidstests van entiteiten

1. Teneinde de gecoördineerde paraatheidstests van de in artikel 10, lid 1, punt a), bedoelde entiteiten in de hele Unie te ondersteunen, stelt de Commissie, na raadpleging van de NIS-samenwerkingsgroep en Enisa, uit de in bijlage I bij Richtlijn (EU) 2022/2555 vermelde zeer kritieke sectoren de sectoren of subsectoren vast waaruit entiteiten aan de gecoördineerde paraatheidstests kunnen worden onderworpen, rekening houdend met bestaande en geplande gecoördineerde risicobeoordelingen en weerbaarheidstests op het niveau van de Unie.

2. De NIS-samenwerkingsgroep ontwikkelt in samenwerking met de Commissie, Enisa en de hoge vertegenwoordiger gemeenschappelijke risicoscenario’s en -methoden voor de gecoördineerde tests.

Artikel 12 - Instelling van de EU-cyberbeveiligingsreserve 

1. Er wordt een EU-cyberbeveiligingsreserve ingesteld om de in lid 3 bedoelde gebruikers bij te staan bij de respons, of de ondersteuning van de respons, op significante of grootschalige cyberbeveiligingsincidenten en bij het onmiddellijke herstel van dergelijke incidenten.

2. De EU-cyberbeveiligingsreserve bestaat uit incidentresponsdiensten van betrouwbare aanbieders die zijn geselecteerd overeenkomstig de criteria van artikel 16. De reserve omvat vooraf vastgelegde diensten. De diensten kunnen in alle lidstaten worden geleverd.   

3. Tot de gebruikers van de diensten van de EU-cyberbeveiligingsreserve behoren:

a) De cybercrisisbeheerautoriteiten en CSIRT’s van de lidstaten als bedoeld in respectievelijk artikel 9, leden 1 en 2, en artikel 10 van Richtlijn (EU) 2022/2555;

b) instellingen, organen en instanties van de Unie.

4. De in lid 3, punt a), bedoelde gebruikers gebruiken de diensten van de EU-cyberbeveiligingsreserve voor de respons, of de ondersteuning van de respons, op en het onmiddellijke herstel van significante of grootschalige incidenten die in kritieke of zeer kritieke sectoren actieve entiteiten treffen.

5. De Commissie draagt de algemene verantwoordelijkheid voor de uitvoering van de EU-cyberbeveiligingsreserve. De Commissie bepaalt de prioriteiten en ontwikkeling van de EU-cyberbeveiligingsreserve in overeenstemming met de vereisten van de in lid 3 bedoelde gebruikers, houdt toezicht op de uitvoering ervan en zorgt voor complementariteit, consistentie, synergieën en koppelingen met andere ondersteunende acties in het kader van deze verordening en met andere acties en programma’s van de Unie.

6. De Commissie kan de werking en het beheer van de EU-cyberbeveiligingsreserve geheel of gedeeltelijk toevertrouwen aan Enisa door middel van bijdrageovereenkomsten.

7. Om de Commissie te ondersteunen bij de instelling van de EU-cyberbeveiligingsreserve brengt Enisa, na raadpleging van de lidstaten en de Commissie, de benodigde diensten in kaart. Na raadpleging van de Commissie stelt Enisa een soortgelijk overzicht op om de behoeften vast te stellen van derde landen die in aanmerking komen voor steun uit de EU-cyberbeveiligingsreserve overeenkomstig artikel 17. Indien relevant raadpleegt de Commissie de hoge vertegenwoordiger.

8. De Commissie kan door middel van uitvoeringshandelingen de soorten en het aantal responsdiensten specificeren die voor de EU-cyberbeveiligingsreserve vereist zijn. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 21, lid 2, bedoelde onderzoeksprocedure.   

Artikel 13 - Verzoeken om steun uit de EU-cyberbeveiligingsreserve

1. De in artikel 12, lid 3, bedoelde gebruikers kunnen om diensten van de EU-cyberbeveiligingsreserve verzoeken ter ondersteuning van de respons op en het onmiddellijke herstel van significante of grootschalige cyberbeveiligingsincidenten.

2. Om steun uit de EU-cyberbeveiligingsreserve te ontvangen, nemen de in artikel 12, lid 3, bedoelde gebruikers maatregelen om de gevolgen van het incident waarvoor om steun wordt verzocht te beperken, met inbegrip van het verlenen van directe technische bijstand en andere middelen om de respons op het incident en de inspanningen voor onmiddellijk herstel te ondersteunen.

3. Ondersteuningsverzoeken van de in artikel 12, lid 3, punt a), van deze verordening bedoelde gebruikers worden aan de Commissie en Enisa toegezonden via het centrale contactpunt dat door de lidstaat is aangewezen of ingesteld overeenkomstig artikel 8, lid 3, van Richtlijn (EU) 2022/2555.

4. De lidstaten stellen het CSIRT-netwerk en, in voorkomend geval, EU-CyCLONe in kennis van hun verzoeken om ondersteuning bij de respons op incidenten en bij het onmiddellijke herstel overeenkomstig dit artikel.

5. Verzoeken om ondersteuning bij de respons op incidenten en bij het onmiddellijke herstel omvatten:

a) de nodige informatie over de getroffen entiteit en de potentiële gevolgen van het incident en het geplande gebruik van de gevraagde steun, met inbegrip van een indicatie van de geraamde behoeften;

b) informatie over de maatregelen die zijn genomen om het incident waarvoor om steun wordt verzocht, te beperken, als bedoeld in lid 2;

c) informatie over andere vormen van steun die beschikbaar zijn voor de getroffen entiteit, met inbegrip van bestaande contractuele regelingen inzake incidentresponsdiensten en diensten op het gebied van onmiddellijk herstel, alsook verzekeringscontracten die een dergelijk soort incident kunnen dekken.

6. In samenwerking met de Commissie en de NIS-samenwerkingsgroep ontwikkelt Enisa een model om de indiening van verzoeken om steun uit de EU-cyberbeveiligingsreserve te vergemakkelijken.

7. Door middel van uitvoeringshandelingen kan de Commissie de nadere regelingen voor de toewijzing van de ondersteunende diensten van de EU-cyberbeveiligingsreserve nader specificeren. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 21, lid 2, bedoelde onderzoeksprocedure.   

Artikel 14 - Uitvoering van de steun uit de EU-cyberbeveiligingsreserve

1. Verzoeken om steun uit de EU-cyberbeveiligingsreserve worden beoordeeld door de Commissie, met de steun van Enisa of zoals omschreven in bijdrageovereenkomsten uit hoofde van artikel 12, lid 6, en er wordt onverwijld een antwoord toegezonden aan de in artikel 12, lid 3, bedoelde gebruikers.

2. Bij de prioritering van verzoeken in geval van meerdere gelijktijdige verzoeken wordt in voorkomend geval rekening gehouden met de volgende criteria:

a) de ernst van het cyberbeveiligingsincident;

b) het soort getroffen entiteit, met een hogere prioriteit voor incidenten die essentiële entiteiten treffen als gedefinieerd in artikel 3, lid 1, van Richtlijn (EU) 2022/2555;

c) de mogelijke gevolgen voor de getroffen lidsta(a)t(en) of gebruikers;

d) de mogelijke landsgrensoverschrijdende aard van het incident en het risico op overloopeffecten naar andere lidstaten of gebruikers;

e) de door de gebruiker genomen maatregelen ter ondersteuning van de respons en inspanningen voor onmiddellijk herstel, als bedoeld in artikel 13, lid 2, en artikel 13, lid 5, punt b).

3. De diensten van de EU-cyberbeveiligingsreserve worden verleend in overeenstemming met specifieke overeenkomsten tussen de dienstverlener en de gebruiker aan wie de steun in het kader van de EU-cyberbeveiligingsreserve wordt verleend. Deze overeenkomsten bevatten aansprakelijkheidsvoorwaarden.

4. De in lid 3 bedoelde overeenkomsten kunnen worden gebaseerd op modellen die Enisa na overleg met de lidstaten heeft opgesteld.

5. De Commissie en Enisa zijn niet contractueel aansprakelijk voor schade die aan derden is toegebracht door de diensten die in het kader van de uitvoering van de EU-cyberbeveiligingsreserve worden verleend.

6. Binnen een maand na het einde van de ondersteuningsactie dienen de gebruikers bij de Commissie en Enisa een samenvattend verslag in over de verleende dienst, de bereikte resultaten en de geleerde lessen. Indien de gebruiker afkomstig is uit een derde land als bedoeld in artikel 17, wordt dit verslag gedeeld met de hoge vertegenwoordiger.

7. De Commissie brengt regelmatig verslag uit aan de NIS-samenwerkingsgroep over het gebruik en de resultaten van de steun.

Artikel 15 - Coördinatie met crisisbeheersingsmechanismen

1. In gevallen waarin significante of grootschalige cyberbeveiligingsincidenten voortkomen uit of resulteren in rampen zoals gedefinieerd in Besluit 1313/2013/EU 31 , vormt de steun uit hoofde van deze verordening voor de respons op dergelijke incidenten een aanvulling op acties in het kader van en onverminderd Besluit 1313/2013/EU.

2. In het geval van een grootschalig, landsgrensoverschrijdend cyberbeveiligingsincident waarbij geïntegreerde regelingen politieke crisisrespons (IPCR) in werking treden, wordt de steun uit hoofde van deze verordening voor de respons op een dergelijk incident behandeld overeenkomstig de relevante protocollen en procedures in het kader van de IPCR.

3. In overleg met de hoge vertegenwoordiger kan de steun in het kader van het cybernoodmechanisme een aanvulling vormen op de bijstand die wordt verleend in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid en het gemeenschappelijk veiligheids- en defensiebeleid, onder meer via de snellereactieteams bij cyberbeveiligingsincidenten. Deze steun kan ook een aanvulling vormen op of bijdragen aan bijstand die een lidstaat aan een andere lidstaat verleent in het kader van artikel 42, lid 7, van het Verdrag betreffende de Europese Unie.

4. Steun in het kader van het cybernoodmechanisme kan deel uitmaken van de gezamenlijke respons van de Unie en de lidstaten in situaties als bedoeld in artikel 222 van het Verdrag betreffende de werking van de Europese Unie.

Artikel 16 - Betrouwbare aanbieders

1. Bij aanbestedingsprocedures voor de oprichting van de EU-cyberbeveiligingsreserve handelt de aanbestedende dienst in overeenstemming met de beginselen van Verordening (EU, Euratom) 2018/1046 en met de volgende beginselen: 

a) ervoor zorgen dat de EU-cyberbeveiligingsreserve diensten omvat die in alle lidstaten kunnen worden verleend, met name rekening houdend met nationale vereisten voor het verlenen van dergelijke diensten, met inbegrip van certificering of accreditatie;

b) de bescherming van de wezenlijke veiligheidsbelangen van de Unie en haar lidstaten waarborgen.

c) ervoor zorgen dat de EU-cyberbeveiligingsreserve EU-meerwaarde oplevert door bij te dragen tot de verwezenlijking van de doelstellingen van artikel 3 van Verordening (EU) 2021/694, met inbegrip van het bevorderen van de ontwikkeling van cyberbeveiligingsvaardigheden in de EU.

2. Bij de aanbesteding van diensten voor de EU-cyberbeveiligingsreserve neemt de aanbestedende dienst in de aanbestedingsdocumenten de volgende selectiecriteria op:

a) de aanbieder toont aan dat zijn personeel de hoogste mate van professionele integriteit, onafhankelijkheid en verantwoordelijkheid bezit en de vereiste technische bekwaamheid heeft om de activiteiten op hun specifieke gebied uit te voeren, en zorgt voor de permanentie/continuïteit van de deskundigheid en de vereiste technische middelen; 

b) de aanbieder, zijn dochterondernemingen en onderaannemers beschikken over een kader voor de bescherming van gevoelige informatie met betrekking tot de dienst, en met name bewijsmateriaal, bevindingen en verslagen, en houden zich aan de beveiligingsvoorschriften van de Unie inzake de bescherming van gerubriceerde EU-gegevens;   

c) de aanbieder levert voldoende bewijs dat zijn bestuursstructuur transparant is, zijn onpartijdigheid en de kwaliteit van zijn diensten niet in het gedrang brengt of geen belangenconflicten veroorzaakt; 

d) de aanbieder beschikt over een passende veiligheidsmachtiging, ten minste voor het personeel dat de dienst gaat verlenen;

e) de aanbieder beschikt over het relevante beveiligingsniveau voor zijn IT-systemen;

f) de aanbieder beschikt over de technische hardware en software die nodig zijn om de gevraagde dienst te ondersteunen;

g) de aanbieder kan aantonen dat hij ervaring heeft met het verlenen van soortgelijke diensten aan relevante nationale autoriteiten of in kritieke of zeer kritieke sectoren actieve entiteiten;

h) de aanbieder is in staat de dienst binnen een korte termijn te verlenen in de lidstaat of lidstaten waar hij de dienst kan verlenen;

i) de aanbieder is in staat de dienst te verlenen in de plaatselijke taal van de lidstaat of lidstaten waar hij de dienst kan verlenen;

j) zodra een EU-certificeringsregeling voor beheerde beveiligingsdiensten overeenkomstig Verordening (EU) 2019/881 van kracht is, wordt de aanbieder overeenkomstig die regeling gecertificeerd. 

Artikel 17 - Steun aan derde landen

1. Derde landen kunnen om steun uit de EU-cyberbeveiligingsreserve verzoeken indien de associatieovereenkomsten die zijn gesloten met betrekking tot hun deelname aan het programma Digitaal Europa daarin voorzien.

2. Steun uit de EU-cyberbeveiligingsreserve is in overeenstemming met deze verordening en voldoet aan alle specifieke voorwaarden die in de in lid 1 bedoelde associatieovereenkomsten zijn vastgesteld.

3. Tot de gebruikers uit geassocieerde derde landen die in aanmerking komen om diensten uit de EU-cyberbeveiligingsreserve te ontvangen, behoren bevoegde autoriteiten zoals CSIRT’s en cybercrisisbeheerautoriteiten.

4. Elk derde land dat in aanmerking komt voor steun uit de EU-cyberbeveiligingsreserve wijst een autoriteit aan die voor de toepassing van deze verordening als centraal contactpunt fungeert.

5. Voordat derde landen steun uit de EU-cyberbeveiligingsreserve ontvangen, verstrekken zij de Commissie en de hoge vertegenwoordiger informatie over hun cyberweerbaarheid en risicobeheercapaciteiten, met inbegrip van ten minste informatie over nationale maatregelen ter voorbereiding op significante of grootschalige cyberbeveiligingsincidenten, alsook informatie over verantwoordelijke nationale entiteiten, met inbegrip van CSIRT’s of gelijkwaardige entiteiten, hun capaciteiten en de daaraan toegewezen middelen. Wanneer in de bepalingen van de artikelen 13 en 14 van deze verordening wordt verwezen naar de lidstaten, zijn zij van toepassing op derde landen als bedoeld in lid 1.

6. De Commissie coördineert met de hoge vertegenwoordiger de ontvangen verzoeken en de uitvoering van de steun aan derde landen uit de EU-cyberbeveiligingsreserve.

Hoofdstuk IV - EVALUATIEMECHANISME VOOR CYBERBEVEILIGINGSINCIDENTEN

Artikel 18 - Evaluatiemechanisme voor cyberbeveiligingsincidenten

1. Op verzoek van de Commissie, EU-CyCLONe of het CSIRT-netwerk evalueert en beoordeelt Enisa dreigingen, kwetsbaarheden en mitigerende maatregelen met betrekking tot een specifiek significant of grootschalig cyberbeveiligingsincident. Na de voltooiing van een evaluatie en beoordeling van een incident verstrekt Enisa een evaluatieverslag over het incident aan het CSIRT-netwerk, EU-CyCLONe en de Commissie om hen te ondersteunen bij de uitvoering van hun taken, met name met het oog op de in de artikelen 15 en 16 van Richtlijn (EU) 2022/2555 vastgestelde taken. Indien relevant deelt de Commissie het verslag met de hoge vertegenwoordiger.

2. Om het in lid 1 bedoelde evaluatieverslag over het incident op te stellen, werkt Enisa samen met alle relevante belanghebbenden, waaronder vertegenwoordigers van de lidstaten, de Commissie, andere relevante EU-instellingen, -organen en -instanties, aanbieders van beheerde beveiligingsdiensten en gebruikers van cyberbeveiligingsdiensten. In voorkomend geval werkt Enisa ook samen met entiteiten die getroffen zijn door significante of grootschalige cyberbeveiligingsincidenten. Ter ondersteuning van de evaluatie kan Enisa ook andere soorten belanghebbenden raadplegen. De geraadpleegde vertegenwoordigers maken elk mogelijk belangenconflict bekend.

3. Het verslag omvat een evaluatie en analyse van het specifieke significante of grootschalige cyberbeveiligingsincident, met inbegrip van de belangrijkste oorzaken, kwetsbaarheden en geleerde lessen. Het beschermt vertrouwelijke informatie overeenkomstig het Unierecht of het nationale recht inzake de bescherming van gevoelige of gerubriceerde informatie.

4. In voorkomend geval worden in het verslag aanbevelingen gedaan om de cyberstrategie van de Unie te verbeteren.

5. Indien mogelijk wordt een versie van het verslag openbaar gemaakt. Deze versie bevat uitsluitend openbare informatie.

Hoofdstuk V - SLOTBEPALINGEN

Artikel 19 - Wijzigingen van Verordening (EU) 2021/694

Verordening (EU) 2021/694 wordt als volgt gewijzigd:

(1) Artikel 6 wordt als volgt gewijzigd:


a) lid 1 wordt als volgt gewijzigd:

(1) het volgende punt a bis) wordt ingevoegd:


“a bis) ondersteunen van de ontwikkeling van een EU-cyberschild, met inbegrip van de ontwikkeling, uitrol en exploitatie van nationale en landsgrensoverschrijdende SOC-platforms die bijdragen tot het situationeel bewustzijn in de Unie en tot de versterking van de inlichtingencapaciteit van de Unie op het gebied van cyberdreigingen”;

(2) het volgende punt g) wordt toegevoegd:


“g) instellen en beheren van een cybernoodmechanisme om de lidstaten te ondersteunen bij de voorbereiding en respons op significante cyberbeveiligingsincidenten, in aanvulling op de nationale middelen en capaciteiten en andere vormen van steun die op het niveau van de Unie beschikbaar zijn, met inbegrip van de instelling van een EU-cyberbeveiligingsreserve”;


a) Lid 2 wordt vervangen door:

“2. De acties in het kader van specifieke doelstelling 3 worden voornamelijk uitgevoerd via het Europees Kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging en het Netwerk van nationale coördinatiecentra, overeenkomstig Verordening (EU) 2021/887 van het Europees Parlement en de Raad 32 , met uitzondering van acties ter uitvoering van de EU-cyberbeveiligingsreserve, die door de Commissie en Enisa worden uitgevoerd.”; 


(2) Artikel 9 wordt als volgt gewijzigd:

a) in lid 2 worden de punten b), c) en d) vervangen door:

“b) 1 776 956 000 EUR voor specifieke doelstelling 2 – Artificiële intelligentie;

c) 1 629 566 000 EUR voor specifieke doelstelling 3 – Cyberbeveiliging en vertrouwen;

d) 482 347 000 EUR voor specifieke doelstelling 4 – Geavanceerde digitale vaardigheden”;

b) het volgende lid 8 wordt toegevoegd:

“8. In afwijking van artikel 12, lid 4, van Verordening (EU, Euratom) 2018/1046 worden ongebruikte vastleggings- en betalingskredieten voor acties ter verwezenlijking van de in artikel 6, lid 1, punt g), van deze verordening genoemde doelstellingen automatisch overgedragen en kunnen deze tot en met 31 december van het volgende begrotingsjaar worden vastgelegd en betaald.”;

(3) In artikel 14 wordt lid 2 vervangen door:

“2.  In het kader van het programma kan financiering worden verstrekt in een van de in het Financieel Reglement opgenomen vormen, inclusief door met name aanbestedingen als primaire vorm of subsidies en prijzen.

Als voor het verwezenlijken van de doelstelling van een actie de aanbesteding van innovatieve goederen en diensten vereist is, kunnen subsidies uitsluitend worden toegekend aan begunstigden die aanbestedende diensten of aanbestedende instanties zijn als gedefinieerd in de Richtlijnen 2014/24/EU 27  en 2014/25/EU 28  van het Europees Parlement en de Raad.

Als de levering van nog niet op grote commerciële basis beschikbare innovatieve goederen of diensten noodzakelijk is voor het bereiken van de doelstellingen van een actie, kan de aanbestedende dienst of de aanbestedende instantie de gunning van meerdere contracten binnen dezelfde aanbestedingsprocedure toestaan.

Om naar behoren gemotiveerde redenen van openbare veiligheid kan de aanbestedende dienst of de aanbestedende instantie eisen dat de plaats van uitvoering van het contract op het grondgebied van de Unie gelegen is.

Bij de uitvoering van aanbestedingsprocedures voor de bij artikel 12 van Verordening (EU) 2023/XX ingestelde EU-cyberbeveiligingsreserve kunnen de Commissie en Enisa optreden als aankoopcentrale voor aanbestedingen namens of in naam van met het programma geassocieerde derde landen overeenkomstig artikel 10. De Commissie en Enisa kunnen ook als groothandelaar optreden door goederen en diensten, met inbegrip van verhuurde zaken, aan te kopen, in voorraad te houden en aan die derde landen door te verkopen of te schenken. In afwijking van artikel 169, lid 3, van Verordening (EU) XXX/XXXX [FR herschikking] volstaat het verzoek van één derde land om de Commissie of Enisa te machtigen om op te treden.

Bij de uitvoering van aanbestedingsprocedures voor de bij artikel 12 van Verordening (EU) 2023/XX ingestelde EU-cyberbeveiligingsreserve kunnen de Commissie en Enisa optreden als aankoopcentrale voor aanbestedingen namens of in naam van instellingen, organen en instanties van de Unie. De Commissie en Enisa kunnen ook als groothandelaar optreden door goederen en diensten, met inbegrip van verhuurde zaken, aan te kopen, in voorraad te houden en aan instellingen, organen en instanties van de Unie door te verkopen of te schenken. In afwijking van artikel 169, lid 3, van Verordening (EU) XXX/XXXX [FR Herschikking] volstaat het verzoek van één instelling, orgaan of instantie van de Unie om de Commissie of Enisa te machtigen om op te treden.

Het programma kan eveneens financiering verstrekken in de vorm van financieringsinstrumenten in het kader van blendingverrichtingen.”


(4) Het volgende artikel 16 bis wordt toegevoegd:

In het geval van acties ter uitvoering van het bij artikel 3 van Verordening (EU) 2023/XX ingestelde Europees cyberschild zijn de toepasselijke regels die van de artikelen 4 en 5 van Verordening (EU) 2023/XX. In geval van strijdigheid tussen de bepalingen van deze verordening en de artikelen 4 en 5 van Verordening (EU) 2023/XX hebben deze laatste voorrang en zijn zij van toepassing op die specifieke acties.


(5) Artikel 19 wordt vervangen door:

“Subsidies krachtens het programma worden toegekend en beheerd in overeenstemming met titel VIII van het Financieel Reglement en mogen tot 100 % van de subsidiabele kosten dekken, onverminderd het medefinancieringsbeginsel dat is vastgelegd in artikel 190 van het Financieel Reglement. Dergelijke subsidies worden toegekend en beheerd zoals gespecificeerd voor elke specifieke doelstelling.

Zonder oproep tot het indienen van voorstellen kan het ECCC steun in de vorm van subsidies rechtstreeks toekennen aan de nationale SOC’s als bedoeld in artikel 4 van Verordening XXXX en het onderbrengend consortium als bedoeld in artikel 5 van Verordening XXXX, overeenkomstig artikel 195, lid 1, punt d), van het Financieel Reglement.

Steun in de vorm van subsidies voor het cybernoodmechanisme als bedoeld in artikel 10 van Verordening XXXX kan door het ECCC rechtstreeks aan de lidstaten worden toegekend zonder oproep tot het indienen van voorstellen, overeenkomstig artikel 195, lid 1, punt d), van het Financieel Reglement.

Voor de in artikel 10, lid 1, punt c), van Verordening 202X/XXXX gespecificeerde acties stelt het ECCC de Commissie en Enisa in kennis van verzoeken van lidstaten om rechtstreekse subsidies zonder oproep tot het indienen van voorstellen.

Voor de ondersteuning van wederzijdse bijstand bij de respons op een significant of grootschalig cyberbeveiligingsincident zoals gedefinieerd in artikel 10, punt c), van Verordening XXXX, en overeenkomstig artikel 193, lid 2, tweede alinea, punt a), van het Financieel Reglement, kunnen in naar behoren gemotiveerde gevallen de kosten als subsidiabel worden beschouwd, zelfs als zij vóór de indiening van de subsidieaanvraag zijn gemaakt.”;


(6) De bijlagen I en II worden gewijzigd overeenkomstig de bijlage bij deze verordening.

Artikel 20 -  Evaluatie  

Uiterlijk [vier jaar na de datum van toepassing van deze verordening] dient de Commissie bij het Europees Parlement en de Raad een verslag in over de evaluatie en toetsing van deze verordening.

Artikel 21 - Comitéprocedure 

1.De Commissie wordt bijgestaan door het bij Verordening (EU) 2021/694 ingestelde Coördinatiecomité voor het programma Digitaal Europa. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 22 -  Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.