Artikelen bij COM(2025)66 - EU-blauwdruk voor cyberbeveiligingscrisisbeheer - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2025)66 - EU-blauwdruk voor cyberbeveiligingscrisisbeheer. |
|---|---|
| document | COM(2025)66 |
| datum | 24 februari 2025 |
I: Doel, toepassingsgebied en beginselen van het EU-kader voor cybercrisisbeheer
(1) Deze aanbeveling bevat het Uniekader voor cyberbeveiligingscrisisbeheer in de context van de algemene paraatheid van de EU voor multidimensionale hybride dreigingen. Hoe een incident kan escaleren tot een grootschalig incident en vervolgens tot een crisis op EU-niveau, wordt geïllustreerd en samengevat in bijlage 1, ook wanneer een dergelijk incident gelijktijdig plaatsvindt met andere hybride dreigingen die interactie tussen de vereiste reacties vergen. Het kader voor cybercrisisbeheer zou de relevante actoren op Unieniveau, met inbegrip van entiteiten en netwerken, in staat moeten stellen te begrijpen hoe ze met elkaar kunnen samenwerken en optimaal gebruik kunnen maken van de in bijlage II vermelde bestaande mechanismen gedurende de volledige levenscyclus van het crisisbeheer. Daarnaast worden aan deze actoren op Unieniveau aanbevelingen gedaan over de wijze waarop de doeltreffendheid van de bestaande mechanismen kan worden verbeterd.
(2) De Unie en haar lidstaten zouden de cyberblauwdruk moeten volgen bij het beheer van een crisis als gevolg van een grootschalig cyberbeveiligingsincident, zoals gedefinieerd in artikel 6, punt 7, van Richtlijn (EU) 2022/2555, dat gevolgen heeft voor de goede werking van de interne markt of ernstige risico’s met zich meebrengt voor entiteiten of burgers in verschillende lidstaten of de Unie als geheel (“cybercrisis”).
(3) Wanneer een cyberbeveiligingsincident, dat op technisch niveau door een CSIRT of een cyberhub is gedetecteerd, leidt tot opschaling in het kader van de interne procedures van het CSIRT-netwerk, zou overeenkomstig de relevante procedurele regelingen passende informatie moeten worden gedeeld met EU-CyCLONe, dat op zijn beurt zou moeten nagaan of het een potentieel of aan de gang zijnd grootschalig incident zoals gedefinieerd in artikel 6, punt 7, van Richtlijn (EU) 2022/2555 betreft. De vaststelling of er als gevolg van dit grootschalige incident een cybercrisis bestaat of ophoudt te bestaan, zou moeten gebeuren overeenkomstig Uitvoeringsbesluit (EU) 2018/1993, en met name de artikelen 4 en 5.
(4) Overeenkomstig de beginselen van proportionaliteit, subsidiariteit, complementariteit en vertrouwelijkheid van informatie van bijlage III zouden de lidstaten en de entiteiten van de Unie hun samenwerking op het gebied van cybercrisisbeheer moeten verdiepen door wederzijds vertrouwen te bevorderen en voort te bouwen op bestaande netwerken en mechanismen. Hoewel de cyberblauwdruk geen invloed heeft op de wijze waarop entiteiten hun interne procedures bepalen, zou elke entiteit duidelijk de interfaces moeten bepalen om met andere entiteiten samen te werken. Deze interfaces zouden door de betrokken entiteiten gezamenlijk moeten worden overeengekomen en duidelijk moeten worden gedocumenteerd.
(5) De cyberblauwdruk zou moeten worden toegepast in samenhang met de blauwdruk voor kritieke infrastructuur, met name in het geval van incidenten die gevolgen hebben voor zowel de fysieke weerbaarheid als de cyberbeveiliging van kritieke infrastructuur19. Wanneer er sectorspecifieke crisisbeheersmaatregelen zijn die betrekking hebben op cyberbeveiligingsincidenten, zouden die maatregelen moeten worden uitgevoerd op een met deze aanbeveling strokende wijze.
II: Voorbereiding op een cybercrisis op Unieniveau
(a) Situationeel bewustzijn en delen van informatie
(6) Geverifieerde, betrouwbare gegevens, met inbegrip van trends in incidenten, tactieken, technieken en procedures, en actief uitgebuite kwetsbaarheden zouden de basis moeten vormen voor een gemeenschappelijk situationeel bewustzijn van het cyberdreigingslandschap onder de lidstaten en entiteiten van de Unie. Deze gedeelde kennis zou door de lidstaten en de entiteiten van de Unie moeten worden gebruikt om te anticiperen op cyberaanvallen, zich erop voor te bereiden en ze te detecteren, in lijn met hun respectieve bevoegdheidsgebieden. Dit gemeenschappelijk situationeel bewustzijn zou:
(a) van toepassing moeten zijn op alle in Richtlijn (EU) 2022/2555 vermelde kritieke sectoren, met name communicatie, digitale infrastructuur, energie, vervoer, financiën, ruimtevaart en gezondheidzorg, en zou ook, via CERT-EU, van toepassing moeten zijn op de netwerken en systemen van entiteiten van de Unie overeenkomstig Verordening (EU, Euratom) 2023/2841;
(b) moeten berusten op gediversifieerde en geïntegreerde datasets van hoge kwaliteit die in realtime worden verzameld, verwerkt en gedeeld;
(c) in aanmerking moeten worden genomen in het gezamenlijk cyberevaluatieverslag (JCAR) en andere relevante producten;
(d) rekening moeten houden met gerelateerde hybride dreigingen, inclusief buitenlandse informatiemanipulatie en inmenging (FIMI) en desinformatie;
(e) kortetermijnacties en responsmaatregelen moeten ondersteunen en bijdragen aan langetermijnbeleidsplanning in de context van paraatheid en afschrikking;
(f) [link naar andere risico- en dreigingsbeoordelingen die regelmatig worden opgesteld en versterkt door de strategie voor een paraatheidsunie om synergieën en vereenvoudiging van de rapportageverplichtingen voor de lidstaten te waarborgen.]
(7) EU-CyCLONe en het CSIRT-netwerk zouden:
(a) moeten samenwerken om het delen van informatie tussen het technische en operationele niveau en het situationeel bewustzijn als geheel te verbeteren;
(b) een klimaat van vertrouwen tussen de leden moeten blijven scheppen;
(c) ten volle gebruik moeten maken van de beschikbare instrumenten voor het delen van informatie.
(8) De lidstaten en de relevante entiteiten van de Unie zouden de mogelijkheden moeten verbeteren voor coördinatie en het sluiten van partnerschappen met de particuliere sector, onder meer met opensourcegemeenschappen en fabrikanten, voor het delen van informatie op EU- en nationaal niveau, via bestaande centra voor informatie-uitwisseling en -analyse, en voor het vergroten van de cyberbeveiligingscapaciteit voor de respons op cyberbeveiligingsincidenten, onder meer via rondetafelgesprekken met EU‑CyCLONe en het CSIRT-netwerk.
(9) De lidstaten en de relevante entiteiten van de Unie zouden ervoor kunnen kiezen om, met het oog op het bevorderen van de samenwerking en het versterken van het vertrouwen, en voortbouwend op de informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging van Richtlijn (EU) 2022/2555 en de bepalingen van Verordening (EU) 2025/38 met betrekking tot cyberhubs, vrijwillige samenwerkingsclusters op een “need-to-know”-basis op te zetten wanneer er gemeenschappelijke zorgen bestaan, zoals afschrikking van, detectie van, of respons op een bepaald soort dreiging waarmee zij in het bijzonder worden geconfronteerd. Dergelijke clusters zouden het mandaat van de relevante actoren en reeds bestaande structuren moeten eerbiedigen. Die samenwerkingsclusters zouden de entiteiten van de Unie kunnen oproepen om hun samenwerking te faciliteren, onder meer via passende infrastructuur.
(10) De lidstaten zouden, via de bij Richtlijn (EU) 2022/2555 opgerichte NIS-samenwerkingsgroep, binnen twaalf maanden na de vaststelling van de cyberblauwdruk een gemeenschappelijke taxonomie met betrekking tot cybercrisisbeheer moeten ontwikkelen en richtsnoeren moeten verstrekken voor de beveiligde verwerking en uitwisseling van informatie in verband met cyberbeveiligingsincidenten en -crises, met inbegrip van een deel dat gewijd is aan het bepalen van het vertrouwelijkheidsniveau van deze informatie (rubricering).
(11) Bij het bepalen van het vertrouwelijkheidsniveau voor de beschikbare informatie zouden de lidstaten en de relevante entiteiten van de Unie rekening moeten houden met de mogelijke impact die overrubricering kan hebben op de vrijwillige uitwisseling van informatie en het tot stand brengen van een gemeenschappelijk situationeel bewustzijn. Bij het delen van niet-gerubriceerde informatie zouden de lidstaten ten volle gebruik moeten maken van de bestaande platforms voor technische en operationele samenwerking, zoals die welke door het CSIRT-netwerk en EU-CyCLONe worden gebruikt.
b) Gemeenschappelijke oefeningen
(12) De lidstaten en de relevante entiteiten van de Unie zouden een efficiënte continue cyclus van cyberoefeningen moeten ontwikkelen om zich op cybercrises voor te bereiden en de organisatorische efficiëntie te vergroten. Deze oefeningen zouden moeten uitgaan van de scenario’s die zijn ontwikkeld op basis van door de EU gecoördineerde risicobeoordelingen, inclusief die met betrekking tot multisectorale crises. De continue cyclus van cyberoefeningen zou rekening moeten houden met het Uniemechanisme voor civiele bescherming en andere crisisresponsmechanismen op Unieniveau. Hij moet ervoor zorgen dat de lessen die uit de oefeningen zijn getrokken, daadwerkelijk worden geïmplementeerd.
(13) Relevante Unieactoren kunnen kleinere oefeningen uitvoeren om hun interacties en interfaces te testen in geval van escalerende cyberincidenten.
(14) De diensten van de Commissie, de EDEO en Enisa worden verzocht binnen 18 maanden na de vaststelling van de cyberblauwdruk een oefening te organiseren om de cyberblauwdruk te testen, waarbij alle relevante actoren, waaronder de particuliere sector, worden betrokken.
c) DNS-omzettingscapaciteiten
(15) De lidstaten, relevante entiteiten van de Unie en particuliere entiteiten zoals exploitanten van kritieke infrastructuur zouden hun diversificatiestrategie voor DNS-omzetting moeten versterken, met inbegrip van het gebruik van ten minste één in de Unie gevestigde DNS-infrastructuur zoals DNS4EU om betrouwbare DNS-omzetting te waarborgen tijdens een grote crisis. Enisa en EU-CyCLONe zouden richtsnoeren voor failover in noodgevallen moeten ontwikkelen en beschikbaar moeten stellen, waarin ze de stappen beschrijven om op in de Unie gevestigde DNS-infrastructuur over te schakelen indien andere DNS-diensten falen, zodat de continuïteit van kritieke diensten tijdens een crisis wordt gewaarborgd.
(16) Daarnaast zouden nationale cyberhubs en landsgrensoverschrijdende cyberhubs relevante informatie over dreigingen moeten delen met dergelijke in de Unie gevestigde DNS-infrastructuren om ze te ondersteunen bij het bieden van een hoog niveau van bescherming tegen Uniespecifieke dreigingen en zo de capaciteiten voor het detecteren en mitigeren van Uniespecifieke dreigingen verder te vergroten.
(17) Om de beveiliging en de beschikbaarheid van kritieke internetinfrastructuur in het algemeen te versterken, ook tijdens crises, zouden de lidstaten actief de deelname moeten bevorderen van alle relevante belanghebbenden — met inbegrip van de belanghebbenden die niet rechtstreeks onder de NIS 2-uitvoeringshandeling vallen — in het gemandateerde multistakeholderforum dat tot taak heeft de beste beschikbare normen en implementatietechnieken voor cruciale netwerkbeveiligingsmaatregelen vast te stellen. Bovendien zouden de lidstaten moeten overwegen zelf aan het forum deel te nemen en de aanbevolen richtsnoeren over te nemen.
d) Middelen
(18) De lidstaten zouden ten volle gebruik moeten maken van de financiële middelen die beschikbaar zijn voor cyberbeveiliging in het kader van relevante programma’s van de Unie.
III: Detectie van een incident dat tot een cybercrisis zou kunnen escaleren
(19) Om de escalerende complexiteit van cyberincidenten en de toenemende uitdagingen bij de detectie ervan aan te pakken, zouden zowel publieke als particuliere entiteiten in hun digitale infrastructuur dreigingsgebaseerde detectiestrategieën moeten implementeren ter opsporing van mogelijke prepositionering die later voor disruptiedoeleinden zou kunnen worden gebruikt. Wanneer geheime operaties aan het licht komen, zouden entiteiten relevante informatie proactief met hun partners moeten delen, geruime tijd voordat situaties tot crises escaleren.
(20) Alle actoren zouden, in overeenstemming met hun respectieve mandaten en op basis van de alle gevaren omvattende aanpak, informatie die op een potentiële cybercrisis wijst, aan de relevante netwerken moeten doorgeven.
(21) Het CSIRT-netwerk en EU-CyCLONe zouden procedurele regelingen moeten vaststellen in het geval van een potentieel of aan de gang zijnd grootschalig cyberbeveiligingsincident, om te zorgen voor technische en operationele coördinatie en tijdige en relevante informatie op politiek niveau.
(22) Het CSIRT-netwerk zou EU-CyCLONe moeten adviseren over de vraag of een waargenomen cyberbeveiligingsincident kan worden beschouwd als een potentieel of aan de gang zijnd grootschalig incident.
(23) De grensoverschrijdende cyberhubs, die reeds zijn opgericht of moeten worden opgericht uit hoofde van Verordening (EU) 2025/38, zouden met relevante informatie moeten bijdragen aan de mechanismen op Unienvieau in geval van een potentieel of aan de gang zijnd grootschalig cyberbeveiligingsincident op basis van de alle gevaren omvattende aanpak, met inbegrip van fysieke schade aan kritieke infrastructuur die afbreuk doet aan de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen.
(24) Wanneer een potentieel of grootschalig cyberbeveiligingsincident met een multisectorale impact wordt gedetecteerd:
(a) zou de Commissie de noodzakelijke informatiestroom tussen contactpunten voor de in bijlage II vermelde relevante horizontale en sectorale crisismechanismen op Unieniveau en EU-CyCLONe moeten faciliteren;
(b) zouden relevante entiteiten van de Unie EU-CyCLONe moeten ondersteunen bij het beoordelen van de gevolgen voor sectoren en de bevolking.
IV: Reageren op een cybercrisis op Unieniveau
(25) In geval van een in het kader van de IPCR vastgestelde cybercrisis, zouden alle actoren in nauwe samenwerking met andere entiteiten die reageren op bredere hybride dreigingen, als volgt moeten reageren in het kader van een overheidsbrede aanpak:
(a) de getroffen lidstaat of de getroffen lidstaten en het CSIRT-netwerk zouden moeten samenwerken om getroffen systemen snel te herstellen, om een zo klein mogelijke operationele verstoring te waarborgen;
(b) EU-CyCLONe zou, in samenwerking met het CSIRT-netwerk, het politieke niveau duidelijke informatie moeten verstrekken over de impact en de mogelijke gevolgen van het incident en over de respons- en herstelmaatregelen, onder meer door bij te dragen aan het verslag over geïntegreerde situatiekennis en -analyse (ISAA) in het kader van de IPCR-regeling;
(c) de Commissie zou, in voorkomend geval in samenwerking met de hoge vertegenwoordiger, moeten zorgen voor samenhang en coördinatie tussen de respons op de crisis en de gerelateerde responsacties op Unieniveau, met name de in bijlage 2 vermelde relevante sectorale crisisbeheermechanismen op Unieniveau, en met betrekking tot het verzoeken om bijstand via het Uniemechanisme voor civiele bescherming;
(d) het voorzitterschap van de Raad zou moeten overwegen de voorzitter van EU-CyCLONe uit te nodigen voor informele rondetafelbijeenkomsten en andere relevante Raadszittingen in het kader van de IPCR-regeling;
(e) de Raad zou, ondersteund door EU-CyCLONe en relevante entiteiten van de Unie, de inspanningen op het gebied van publiekscommunicatie moeten coördineren, onder meer om ervoor te zorgen dat de crisissituatie niet wordt gebruikt om onjuiste informatie te verspreiden;
(f) de hoge vertegenwoordiger zou, in nauwe samenwerking met de Commissie en andere relevante entiteiten van de Unie, de besluitvorming in de Raad moeten ondersteunen, onder meer door middel van analysen en verslagen over het gebruik van mogelijke maatregelen als onderdeel van het instrumentarium voor cyberdiplomatie. Dit maakt het mogelijk gebruik te maken van het volledige spectrum van beschikbare instrumenten van de Unie om kwaadwillige cyberactiviteiten te voorkomen, af te schrikken en erop te reageren, haar cyberhouding te versterken en internationale vrede, veiligheid en stabiliteit in cyberspace te bevorderen;
(g) de Commissie, de hoge vertegenwoordiger en de lidstaten zouden ook economische instrumenten zoals handelsverboden effectiever moeten benutten om persistente kwaadwillige cyberactiviteiten van statelijke actoren beter te voorkomen, af te schrikken en erop te reageren.
(26) Wanneer een gebruiker van de door de EU-cyberbeveiligingsreserve20 verleende diensten overeenkomstig artikel 15 van Verordening (EU) 2025/38 om diensten uit de EU-cyberbeveiligingsreserve verzoekt, en onverminderd toekomstige uitvoeringshandelingen uit hoofde van die verordening:
(a) zouden de diensten binnen 24 uur na het verzoek moeten worden geleverd;
(b) zouden de Commissie en de hoge vertegenwoordiger moeten zorgen voor coördinatie met aanvullende maatregelen, in lijn met de toolbox tegen hybride dreigingen21 in het geval van kwaadwillige cyberactiviteiten die deel uitmaken van een bredere hybride campagne;
(c) zou, in het geval van kwaadwillige cyberactiviteit met een militaire dimensie, de verzoekende lidstaat de conferentie van cybercommandanten van de Unie in kennis moeten stellen van zijn verzoek.
(27) In geval van een grootschalig cyberbeveiligingsincident dat gevolgen heeft voor de goede werking van ruimtediensten die essentieel zijn voor de veiligheid van de Unie of haar lidstaten, zou EU-CyCLONe de hoge vertegenwoordiger daarvan in kennis moeten stellen met het oog op de coördinatie van een mogelijke respons met de overeenkomstig Besluit (GBVB) 2021/698 van de Raad vastgestelde architectuur voor respons op ruimtedreigingen.
V: Herstel van een cybercrisis
(28) De lidstaten, relevante entiteiten en netwerken van de Unie zouden in de herstelfase moeten samenwerken op basis van de lessen die zijn getrokken uit de oefeningen die hebben plaatsgevonden alsook uit incidentenverslagen, met name in de context van het bij Verordening (EU) 2025/38 ingestelde Europees mechanisme voor de evaluatie van cyberbeveiligingsincidenten.
VI: Beveiligde communicatie
(29) Op basis van het in kaart brengen van bestaande instrumenten voor beveiligde communicatie22 zouden de Commissie, de hoge vertegenwoordiger, EU-CyCLONe, het CSIRT-netwerk en relevante entiteiten van de Unie uiterlijk eind 2026 overeenstemming moeten bereiken over een interoperabele reeks oplossingen voor beveiligde communicatie voor relevante actoren van de Unie. Deze oplossingen zouden betrekking moeten hebben op alle vereiste communicatiemiddelen (spraak, data, videoteleconferentie (VTC), berichtenverkeer, samenwerking en het delen en raadplegen van documenten). De oplossingen zouden kernbeginselen moeten weerspiegelen zoals veiligheidsbelangen van de Unie, technologische soevereiniteit en vertrouwelijkheid, alsook kenmerken zoals bruikbaarheid, beveiliging door ontwerp, certificering door Europese informatiebeveiligingsinstanties, end-to-endencryptie, authenticatie, beschikbaarheid en post-kwantumcryptografie. De oplossingen zouden moeten voldoen aan gezamenlijk vastgestelde vereisten voor de bescherming van gevoelige niet-gerubriceerde informatie en instrumenten moeten omvatten voor de uitwisseling van RESTREINT UE/EU RESTRICTED-informatie.
(30) Op basis hiervan zouden actoren op Unieniveau gebruik moeten maken van oplossingen op basis van het Matrix-protocol voor realtimecommunicatie. Het bij Verordening (EU) 2021/887 opgerichte Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging (ECCC) zou, onverminderd het toekomstige meerjarig financieel kader, financiering via het programma Digitaal Europa moeten overwegen om de lidstaten bij te staan bij de uitrol van deze instrumenten.
(31) De EU-entiteiten en de lidstaten zouden met name noodmaatregelen moeten ontwikkelen voor ernstige crises wanneer normale communicatiekanalen die gebruikmaken van internet of telecommunicatienetwerken worden verstoord of niet beschikbaar zijn.
(32) Op middellange termijn zouden mechanismen voor communicatie en informatie-uitwisseling tussen rechtshandhavings- en cyberbeveiligingsnetwerken, met name op technisch niveau, moeten worden opgezet met het oog op een doeltreffende crisisrespons. Deze mechanismen zouden de rol van elke partij moeten eerbiedigen en inmenging in lopende activiteiten moeten voorkomen. De Commissie werkt samen met de lidstaten aan de oprichting van het Europees systeem voor kritieke communicatie (EUCCS), dat tegen 2030 de communicatienetwerken voor rechtshandhaving en civiele bescherming in het hele Schengengebied met elkaar zou moeten verbinden, zodat kritieke communicatieapparatuur op het grondgebied van andere lidstaten kan worden gebruikt. EUCCS kan daarom ook de gezamenlijke respons met relevante cybergemeenschappen ten goede komen. Dit systeem zou back-upcommunicatie moeten omvatten, bijvoorbeeld via satellietcommunicatie.
VII: Coördinatie van cybercrises met militaire actoren
(33) EU-CyCLONe en de conferentie van EU-cybercommandanten, Micnet en het CSIRT-netwerk, alsook een toekomstig EU-coördinatiecentrum voor cyberdefensie, en zijn civiele tegenhangers in de Unie, zouden moeten samenwerken om een gemeenschappelijk situationeel bewustzijn tussen civiele en militaire actoren te ontwikkelen.
(34) Rekening houdend met bestaande overeenkomsten, zoals de technische overeenkomst tussen CERT-EU en de NAVO van 2016, zou de Unie ernaar moeten streven in geval van een cybercrisis contactpunten voor coördinatie met de NAVO op te richten om de nodige informatie over de situatie en het gebruik van crisisresponsmechanismen uit te wisselen. Daartoe zou de Unie moeten nagaan hoe de capaciteiten voor informatie-uitwisseling met de NAVO kunnen worden verbeterd, onder meer door middel van mogelijke koppelingen tussen hun respectieve communicatie- en informatiesystemen.
(35) Wanneer een lidstaat in de context van een cyberbeveiligingsincident gebruikmaakt van relevante defensie-initiatieven, zoals de CRRT’s van Pesco of andere relevante initiatieven, zoals de snellereactieteams van de Unie tegen hybride dreigingen (HRRT’s), zou hij EU-CyCLONe en de EU-conferentie van cybercommandanten daarvan in kennis moeten stellen.
VIII: Samenwerking met strategische partners
(36) De hoge vertegenwoordiger zou, in nauwe samenwerking met de Commissie en andere relevante entiteiten van de Unie:
(a) indien een relevant incident wordt geconstateerd, de nodige informatiestroom met strategische partners moeten faciliteren;
(b) de coördinatie met strategische partners moeten verbeteren met betrekking tot de respons op aanhoudende kwaadwillige cyberactiviteiten door persistente-dreigingsactoren, met name bij het gebruik van het instrumentarium voor cyberdiplomatie, in lijn met de uitvoeringsrichtsnoeren ervan.
(37) De lidstaten, de hoge vertegenwoordiger, de Commissie en andere relevante entiteiten van de Unie zouden moeten samenwerken met strategische partners en internationale organisaties om goede praktijken en verantwoordelijk staatsgedrag in cyberspace te bevorderen en te zorgen voor een snelle en gecoördineerde reactie in geval van potentiële of grootschalige cyberincidenten.
(38) In het kader van de in deel II hierboven bedoelde continue cyclus van oefeningen zouden de diensten van de Commissie en de EDEO moeten overwegen een gezamenlijke personeelsoefening te organiseren om de samenwerking tussen zowel civiele als militaire componenten te testen in het geval van een grootschalig cyberincident dat lidstaten van de Unie en NAVO-bondgenoten treft, ook wanneer artikel 4 of artikel 5 van het NAVO-verdrag in werking wordt gesteld of waarschijnlijk in werking zal worden gesteld.
(39) Gezien de blootstelling van kandidaat-lidstaten en het potentieel van cyberincidenten die plaatsvinden in de nabuurschap van de Unie, zouden gezamenlijke oefeningen met kandidaat-lidstaten moeten worden overwogen.