Toelichting bij COM(2023)208 - Wijziging van Verordening (EU) 2019/881 wat betreft beheerde beveiligingsdiensten - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)208 - Wijziging van Verordening (EU) 2019/881 wat betreft beheerde beveiligingsdiensten. |
|---|---|
| bron | COM(2023)208   |
| datum | 18-04-2023 |
• Motivering en doel van het voorstel
Deze toelichting vergezelt het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) 2019/881 1 wat betreft beheerde beveiligingsdiensten.
De voorgestelde gerichte wijziging is bedoeld om door middel van uitvoeringshandelingen van de Commissie de vaststelling mogelijk te maken van Europese cyberbeveiligingscertificeringsregelingen voor “beheerde beveiligingsdiensten”, naast informatie- en communicatietechnologieproducten (ICT-producten), ICT-diensten en ICT-processen, die reeds onder de cyberbeveiligingsverordening vallen. Beheerde beveiligingsdiensten spelen een steeds belangrijkere rol bij het voorkomen en beperken van cyberbeveiligingsincidenten.
In zijn conclusies van 23 mei 2022 2 over de ontwikkeling van de cyberstrategie van de Europese Unie heeft de Raad de Unie en haar lidstaten opgeroepen meer inspanningen te leveren om het algemene niveau van cyberbeveiliging te verhogen, bijvoorbeeld door de opkomst van betrouwbare aanbieders van cyberbeveiligingsdiensten te vergemakkelijken, en heeft hij benadrukt dat het stimuleren van de ontwikkeling van dergelijke aanbieders een prioriteit moet zijn voor het industriebeleid van de Unie op het gebied van cyberbeveiliging. De Raad heeft de Commissie ook verzocht opties voor te stellen om de opkomst van een betrouwbare cyberbeveiligingsdienstensector te stimuleren. De certificering van beheerde beveiligingsdiensten is een doeltreffend middel om vertrouwen in de kwaliteit van die diensten op te bouwen en aldus de opkomst van een betrouwbare Europese cyberbeveiligingsdienstensector te bevorderen.
In de gezamenlijke mededeling “Het EU-beleid op het gebied van cyberdefensie” die de Commissie en de hoge vertegenwoordiger op 10 november 2022 hebben aangenomen 3 , werd aangekondigd dat de Commissie de ontwikkeling van cyberbeveiligingscertificeringsregelingen op EU-niveau voor de cyberbeveiligingssector en particuliere bedrijven zou onderzoeken. Aanbieders van beheerde beveiligingsdiensten zullen ook een belangrijke rol spelen in de EU-cyberbeveiligingsreserve, waarvan de geleidelijke totstandbrenging wordt ondersteund door de verordening cybersolidariteit, die tegelijk met deze verordening wordt voorgesteld. De EU-cyberbeveiligingsreserve moet worden gebruikt ter ondersteuning van responsacties en acties gericht op onmiddellijk herstel in geval van significante en grootschalige cyberbeveiligingsincidenten. De relevante cyberbeveiligingsdiensten van “betrouwbare aanbieders” als bedoeld in de verordening cybersolidariteit komen overeen met “beheerde beveiligingsdiensten” in dit voorstel.
Sommige lidstaten zijn al begonnen met de vaststelling van certificeringsregelingen voor beheerde beveiligingsdiensten. Er is dan ook een toenemend risico op versnippering van de interne markt voor beheerde beveiligingsdiensten als gevolg van inconsistenties tussen cyberbeveiligingscertificeringsregelingen in de Unie. Dit voorstel maakt het mogelijk Europese cyberbeveiligingscertificeringsregelingen voor die diensten op te zetten om een dergelijke versnippering te voorkomen.
• Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Dit voorstel is in overeenstemming met de cyberbeveiligingsverordening, die erdoor wordt gewijzigd. Het bouwt voort op de bepalingen van die verordening en past deze aan zodat ook beheerde beveiligingsdiensten daaronder vallen. De voorgestelde wijzigingen zijn beperkt tot het strikt noodzakelijke en veranderen niets aan de kenmerken of de werking van de cyberbeveiligingsverordening.
Dit voorstel is ook in overeenstemming met Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) 4 . De aanbieders van beheerde beveiligingsdiensten worden beschouwd als essentiële of belangrijke entiteiten die behoren tot een zeer kritieke sector overeenkomstig Richtlijn (EU) 2022/2555. In overweging 86 van die richtlijn staat dat aanbieders van beheerde beveiligingsdiensten op het gebied van bijvoorbeeld incidentrespons, penetratietesten, beveiligingsaudits en consultancy een bijzonder belangrijke rol spelen in het bijstaan van entiteiten bij hun inspanningen om incidenten te voorkomen, op te sporen, erop te reageren en ervan te herstellen. Aanbieders van beheerde beveiligingsdiensten zijn echter ook zelf het doelwit van cyberaanvallen geweest en vormen een bijzonder risico vanwege hun nauwe integratie in de activiteiten van hun klanten. Essentiële en belangrijke entiteiten in de zin van Richtlijn (EU) 2022/2555 moeten daarom nog meer zorgvuldigheid betrachten bij de selectie van een aanbieder van beheerde beveiligingsdiensten.
Met dit voorstel wordt beoogd de kwaliteit van beheerde beveiligingsdiensten te verbeteren en de vergelijkbaarheid ervan te vergroten. Daardoor kunnen essentiële en belangrijke entiteiten bij de selectie van een aanbieder van beheerde beveiligingsdiensten de grotere zorgvuldigheid betrachten die krachtens Richtlijn (EU) 2022/2555 vereist is. Bovendien is de definitie van “beheerde beveiligingsdiensten” in dit voorstel afgeleid van en lijkt zij sterk op de definitie van “aanbieders van beheerde beveiligingsdiensten” in Richtlijn (EU) 2022/2555. Om deze redenen is het voorstel zeer complementair met de NIS 2-richtlijn.
Ten slotte vormt dit voorstel een aanvulling op de voorgestelde verordening cybersolidariteit. De voorgestelde verordening cybersolidariteit voorziet in een procedure voor de selectie van aanbieders om een EU-cyberbeveiligingsreserve te vormen, waarbij onder meer rekening moet worden gehouden met de vraag of die aanbieders een Europese of nationale cyberbeveiligingscertificering hebben verkregen. Toekomstige certificeringsregelingen voor beheerde beveiligingsdiensten zullen dus een belangrijke rol spelen bij de uitvoering van de verordening cybersolidariteit.
• Verenigbaarheid met andere beleidsterreinen van de Unie
Dit voorstel doet geen afbreuk aan de verenigbaarheid van de cyberbeveiligingsverordening met Verordening (EU) 2016/679 (de algemene verordening gegevensbescherming, “AVG”) 5 en de bepalingen daarvan over de vaststelling van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens om aan te tonen dat verwerkingsactiviteiten door verwerkingsverantwoordelijken en verwerkers aan deze verordening voldoen. De cyberbeveiligingsverordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig de algemene verordening gegevensbescherming, ook niet als dergelijke verwerkingen in producten en diensten zijn geïntegreerd.
Voorts doet dit voorstel geen afbreuk aan de verenigbaarheid van de cyberbeveiligingsverordening met Verordening (EG) nr. 765/2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht 6 , met name wat betreft het kader voor nationale accreditatie- en conformiteitsbeoordelingsinstanties, en nationale autoriteiten voor certificeringstoezicht.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
Dit voorstel wijzigt de cyberbeveiligingsverordening, die gebaseerd is op artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Zoals in het geval van de cyberbeveiligingsverordening beoogt dit voorstel versnippering van de interne markt te voorkomen, namelijk door het mogelijk te maken Europese cyberbeveiligingscertificeringsregelingen voor beheerde beveiligingsdiensten vast te stellen. De lidstaten zijn begonnen met de vaststelling van nationale certificeringsregelingen voor beheerde beveiligingsdiensten. Er bestaat dus een concreet risico op versnippering van de interne markt voor deze diensten, dat met dit voorstel moet worden aangepakt. Daarom is artikel 114 VWEU de relevante rechtsgrondslag voor dit initiatief.
• Subsidiariteit (bij niet-exclusieve bevoegdheid)
De doelstelling om de vaststelling van Europese cyberbeveiligingscertificeringsregelingen voor beheerde beveiligingsdiensten mogelijk te maken en versnippering van de interne markt te voorkomen, kan niet op nationaal niveau worden verwezenlijkt, maar alleen op het niveau van de Unie. Bovendien worden beheerde beveiligingsdiensten, waarop de voorgestelde wijziging gericht is, aangeboden door aanbieders die in de hele Unie actief zijn, net zoals hun grootste potentiële klanten. Actie op het niveau van de Unie is derhalve noodzakelijk en doeltreffender dan actie op nationaal niveau.
• Evenredigheid
Het voorstel is een gerichte wijziging van de cyberbeveiligingsverordening. Het is beperkt tot wat strikt noodzakelijk is om de doelstelling ervan te verwezenlijken, namelijk het mogelijk maken om Europese cyberbeveiligingscertificeringsregelingen vast te stellen voor beheerde beveiligingsdiensten, naast ICT-producten, -diensten en -processen. Met de voorgestelde wijzigingen wordt met name het toepassingsgebied van het Europees cyberbeveiligingscertificeringskader aangepast zodat ook “beheerde beveiligingsdiensten” daaronder vallen, wordt een definitie van die diensten geïntroduceerd in overeenstemming met de NIS 2-richtlijn en worden de beveiligingsdoelstellingen van de Europese cyberbeveiligingscertificering aangepast aan “beheerde beveiligingsdiensten”. De overige wijzigingen zijn van technische aard en zijn bedoeld om ervoor te zorgen dat de desbetreffende artikelen ook van toepassing zijn op “beheerde beveiligingsdiensten”. Het voorgestelde initiatief is dus evenredig met de doelstelling.
• Keuze van het instrument
Aangezien het voorstel een wijziging van Verordening (EU) 2019/881 inhoudt, is een verordening het passende rechtsinstrument.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Niet van toepassing.
• Raadpleging van belanghebbenden
Er is gericht overleg gepleegd met de lidstaten en Enisa. In dit overleg hebben de lidstaten hun huidige activiteiten en standpunten met betrekking tot de certificering van beheerde beveiligingsdiensten beschreven. Enisa heeft zijn standpunten en bevindingen uit besprekingen met de lidstaten en belanghebbenden toegelicht. De van de lidstaten en Enisa ontvangen opmerkingen en informatie zijn in dit voorstel verwerkt.
• Bijeenbrengen en gebruik van expertise
Niet van toepassing.
• Effectbeoordeling
Er is verzocht om ontheffing van de noodzaak van een effectbeoordeling, aangezien het voorstel een zeer beperkte en gerichte wijziging van de cyberbeveiligingsverordening betreft. Het zou de Commissie machtigen om door middel van uitvoeringshandelingen certificeringsregelingen vast te stellen voor “beheerde beveiligingsdiensten”, naast ICT-producten, -diensten en -processen, die reeds onder de verordening vallen. De wijziging zou echter pas effect hebben wanneer dergelijke certificeringsregelingen in een later stadium worden vastgesteld. Bovendien zou de wijziging het vrijwillige karakter van de certificeringsregelingen niet veranderen.
• Resultaatgerichtheid en vereenvoudiging
Niet van toepassing.
• Grondrechten
Het voorstel heeft geen voorzienbare gevolgen voor de bescherming van de grondrechten.
4. GEVOLGEN VOOR DE BEGROTING
Geen.
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
De bij het voorstel te wijzigen bepalingen zullen worden geëvalueerd in het kader van de periodieke evaluatie van de cyberbeveiligingsverordening die de Commissie overeenkomstig artikel 67 daarvan zal uitvoeren. Bij die evaluatie wordt ook gekeken naar de gevolgen, de doeltreffendheid en de efficiëntie van de bepalingen inzake het cyberbeveiligingscertificeringskader met betrekking tot de doelstellingen om een toereikend cyberbeveiligingsniveau van ICT-producten, -diensten en -processen in de Unie te waarborgen en de werking van de interne markt te verbeteren. Het voorstel bevat een wijziging die ervoor zorgt dat de evaluatie ook betrekking heeft op beheerde beveiligingsdiensten. De Commissie zendt ook een verslag over de evaluatie en haar conclusies toe aan het Europees Parlement, de Raad en de raad van bestuur van Enisa en maakt de bevindingen van het verslag openbaar.
• Artikelsgewijze toelichting
Het voorstel bevat twee artikelen. Terwijl artikel 1 de wijzigingen van Verordening (EU) 2019/881 bevat, heeft artikel 2 betrekking op de inwerkingtreding. Artikel 1 bevat gerichte wijzigingen om het toepassingsgebied van het Europees cyberbeveiligingscertificeringskader in de cyberbeveiligingsverordening te wijzigen zodat ook “beheerde beveiligingsdiensten” daaronder vallen (artikelen 1 en 46 van de cyberbeveiligingsverordening). Er wordt een definitie van die diensten geïntroduceerd, die zeer nauw aansluit bij de definitie van “aanbieders van beheerde beveiligingsdiensten” in de NIS 2-richtlijn (artikel 2 van de cyberbeveiligingsverordening). Ook wordt een nieuw artikel 51 bis toegevoegd over de beveiligingsdoelstellingen van de Europese cyberbeveiligingscertificering, aangepast aan “beheerde beveiligingsdiensten”. Ten slotte bevat het voorstel een aantal technische wijzigingen om ervoor te zorgen dat de desbetreffende artikelen ook van toepassing zijn op “beheerde beveiligingsdiensten”.