Toelichting bij COM(2018)630 - Europees centrum voor industrie, technologie en onderzoek inzake cyberbeveiliging en nationale coördinatiecentra - Bijdrage aan de bijeenkomst van de leiders, september 2018

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

1. ACHTERGROND VAN HET VOORSTEL

Motivering en doel van het voorstel

Nu het dagelijks leven en de economie steeds meer op digitale technologieën steunen, stijgt ook het risico op ernstige cyberincidenten. Om de veiligheid in de toekomst te waarborgen, zal de Unie zich beter moeten kunnen weren tegen cyberdreigingen, aangezien zowel de civiele infrastructuur als de militaire capaciteit afhankelijk zijn van veilige digitale systemen.

Om de grotere uitdagingen aan te kunnen, heeft de Unie haar activiteiten op dit gebied gestaag opgevoerd. Daarbij bouwt zij voort op de cyberbeveiligingsstrategie van 2013 1 en de daarin opgenomen doelstellingen en beginselen ter bevordering van een betrouwbaar, veilig en open cyber-ecosysteem. In 2016 heeft de Unie voor het eerst maatregelen op het gebied van cyberbeveiliging vastgesteld in Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad 2 voor de beveiliging van netwerk- en informatiesystemen.

Aangezien het cyberbeveiligingslandschap snel verandert, hebben de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid in september 2017 een gezamenlijke mededeling 3 voorgesteld over 'Weerbaarheid, afschrikking en defensie: bouwen aan sterke cyberbeveiliging voor de EU' om de weerbaarheid, het afschrikkingseffect en het reactievermogen van de EU ten opzichte van cyberaanvallen te versterken. In de gezamenlijke mededeling wordt ook op eerdere initiatieven voortgebouwd en worden een aantal maatregelen voorgesteld, zoals de versterking van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), de oprichting van een vrijwillig en Uniebreed kader voor cyberbeveiligingscertificering met het oog op betere cyberbeveiliging van digitale producten en diensten, alsook een blauwdruk om snel en gecoördineerd op grootschalige cyberincidenten en -crises te reageren.

In de gezamenlijke mededeling werd erkend dat het ook in het strategische belang van de Unie is om essentiële technologische capaciteiten op het gebied van cyberbeveiliging te behouden en te ontwikkelen voor de beveiliging van de digitale eengemaakte markt, en met name de bescherming van kritieke netwerken en informatiesystemen, alsook voor de verlening van essentiële diensten op het gebied van cyberbeveiliging. De Unie moet in staat zijn zelfstandig haar digitale activa veilig te stellen en te concurreren op de mondiale cyberbeveiligingsmarkt.

De Unie is momenteel een netto-importeur van cyberbeveiligingsproducten en -oplossingen en is grotendeels afhankelijk van niet-Europese aanbieders 4 . De cyberbeveiligingsmarkt is wereldwijd goed voor 600 miljard euro en zal de komende vijf jaar naar verwachting gemiddeld met zo'n 17 % groeien wat betreft de verkoop, het aantal bedrijven en de werkgelegenheid. In de top 20 van landen die vanuit marktperspectief op kop lopen wat cyberbeveiliging betreft, staan echter maar zes lidstaten 5 .

Tegelijkertijd is er in de Unie een schat aan deskundigheid en ervaring op het gebied van cyberbeveiliging – bij de recente inventarisatie door de Commissie van expertisecentra op het gebied van cyberbeveiliging zijn 660 organisaties uit de hele Unie in kaart gebracht 6 . Indien deze knowhow in verhandelbare producten en oplossingen zou worden omgezet, zou dit de Unie in staat stellen de gehele waardeketen op het gebied van cyberbeveiliging te bestrijken. De onderzoeksgemeenschap en de industriële gemeenschappen leveren echter los van elkaar inspanningen die daardoor niet op elkaar zijn afgestemd en geen gezamenlijk doel nastreven, waardoor de EU op dit gebied minder concurrerend is en haar digitale troeven minder goed kan veiligstellen. De betrokken cyberbeveiligingssectoren (zoals energie, ruimtevaart, defensie, vervoer) en subdomeinen worden momenteel onvoldoende ondersteund 7 . In Europa worden de synergieën tussen de civiele en militaire cyberbeveiligingssectoren niet ten volle benut.

Toen in 2016 het publiek-private partnerschap voor cyberbeveiliging ("cPPP") in de Unie werd opgezet, was dit een eerste grote stap om de onderzoeksgemeenschap, de industrie en de publieke sector samen te brengen om onderzoek en innovatie op het gebied van cyberbeveiliging te vergemakkelijken. Dit zou binnen de grenzen van het meerjarig financieel kader voor de periode 2014-2020 goede, meer gerichte resultaten op het gebied van onderzoek en innovatie moeten opleveren. Dankzij het cPPP konden industriële partners toezeggingen doen over hun individuele uitgaven met betrekking tot gebieden die in de strategische agenda voor onderzoek en innovatie van het partnerschap zijn vastgesteld.

De Unie kan echter op veel grotere schaal investeringen nastreven en heeft behoefte aan een doeltreffender mechanisme om blijvende capaciteit op te bouwen, inspanningen en bevoegdheden te bundelen en een stimulans te geven aan de ontwikkeling van innovatieve oplossingen voor cyberbeveiligingsuitdagingen van het bedrijfsleven op het gebied van nieuwe multifunctionele technologieën (bv. kunstmatige intelligentie, kwantumcomputers, blockchaintechnologie en veilige digitale identiteiten) en in cruciale sectoren (bv. vervoer, energie, gezondheid, financiën, de overheid, telecommunicatie, de maakindustrie, defensie, ruimtevaart).

In de gezamenlijke mededeling werd de mogelijkheid overwogen om de cyberbeveiligingscapaciteit van de Unie te versterken door middel van een netwerk van kenniscentra voor cyberbeveiliging met een centraal Europees kenniscentrum voor cyberbeveiliging. Dit zou een aanvulling zijn op de bestaande inspanningen voor een dergelijke capaciteitsopbouw op het niveau van de Unie en van de lidstaten. In de gezamenlijke mededeling wordt gewag gemaakt van het voornemen van de Commissie om in 2018 de effecten te beoordelen van de beschikbare opties voor de op te zetten structuur. Als eerste stap – en als bijdrage aan het toekomstige denkproces – heeft de Commissie in het kader van Horizon 2020 een proeffase opgestart om de nationale centra samen te brengen in een netwerk en zo een nieuwe impuls te geven aan de ontwikkeling van kennis en technologie op het gebied van cyberbeveiliging.

De staatshoofden en regeringsleiders hebben op de digitale top van Tallinn in september 2017 opgeroepen om van Europa uiterlijk in 2025 een leider in cyberbeveiliging te maken, zodat de burgers, consumenten en bedrijven vol vertrouwen online kunnen gaan en bescherming genieten, en een vrij en aan het recht onderworpen internet mogelijk wordt.

In de conclusies van de Raad 8 van november 2017 werd de Commissie verzocht om snel een effectbeoordeling van de mogelijke opties te maken en medio 2018 het toepasselijke rechtsinstrument voor de uitvoering van het initiatief voor te stellen.

Het programma Digitaal Europa, dat in juni 2018 door de Commissie is voorgesteld 9 , is bedoeld om de voordelen van de digitale transformatie voor Europese burgers en bedrijven op alle relevante beleidsgebieden van de EU te vergroten en te maximaliseren door het beleid te versterken en de ambities van de digitale eengemaakte markt te ondersteunen. In het programma wordt een coherente en overkoepelende aanpak voorgesteld met het oog op de optimale benutting van geavanceerde technologieën en de juiste combinatie van technische capaciteit en menselijke competentie bij de digitale transformatie – niet alleen op het gebied van cyberbeveiliging, maar ook met betrekking tot slimme data-infrastructuur, kunstmatige intelligentie, geavanceerde vaardigheden en toepassingen in de industrie en op gebieden van openbaar belang. Deze elementen hangen samen, versterken elkaar en kunnen, wanneer zij gelijktijdig worden gestimuleerd, de omvang bereiken die nodig is om een data-economie te laten gedijen 10 . Ook in het programma Horizon Europa 11 , het volgende EU-kaderprogramma voor O&I, is cyberbeveiliging een prioriteit.

In deze verordening wordt voorgesteld om tegelijk met een netwerk van nationale coördinatiecentra een Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging op te richten. Om het Europese technologische en industriële ecosysteem op het gebied van cyberbeveiliging te stimuleren, moet dit op maat gemaakte samenwerkingsmodel als volgt functioneren: Het kenniscentrum bevordert de werkzaamheden van het netwerk, helpt deze te coördineren, en helpt de kennisgemeenschap voor cyberbeveiliging vooruit door de agenda voor cyberbeveiligingstechnologie te stimuleren en de toegang tot de opgedane knowhow te vergemakkelijken. Het kenniscentrum doet dit met name door de relevante onderdelen van de programma's Digitaal Europa en Horizon Europa ten uitvoer te leggen door subsidies toe te kennen en aanbestedingen uit te schrijven. Aangezien in andere delen van de wereld aanzienlijk in cyberbeveiliging wordt geïnvesteerd en er in Europa behoefte is aan een betere coördinatie en bundeling van de middelen, wordt het kenniscentrum voorgesteld als een Europees partnerschap 12 , wat een gezamenlijke investering door de Unie, de lidstaten en/of de industrie vergemakkelijkt. Daarom moeten de lidstaten volgens dit voorstel in gelijke mate financieel bijdragen aan de acties van het kenniscentrum en het netwerk. Het voornaamste besluitvormingsorgaan is de raad van bestuur, waarin alle lidstaten vertegenwoordigd zijn, maar waarin alleen de lidstaten die een financiële bijdrage leveren, stemrecht hebben. In de raad van bestuur wordt er gestemd volgens het beginsel van dubbele meerderheid, wat betekent dat 75 % van de financiële bijdragen en 75 % van de stemmen nodig zijn. Aangezien de Commissie verantwoordelijk is voor de begroting van de Unie, beschikt zij over 50 % van de stemmen. Voor haar werkzaamheden in de raad van bestuur zal de Commissie, waar nodig, gebruikmaken van de expertise van de Europese Dienst voor extern optreden. Om regelmatig overleg met de privésector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen, wordt de raad van bestuur bijgestaan door een industrieel en wetenschappelijk adviescomité.

Het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zou nauw samenwerken met het netwerk van nationale coördinatiecentra en de kennisgemeenschap voor cyberbeveiliging die bij deze verordening worden opgericht (bestaande uit een grote en diverse groep van actoren die zich bezighouden met de ontwikkeling van cyberbeveiligingstechnologie, zoals onderzoeksinstellingen, industrieën aan de vraagzijde en aan de aanbodzijde, en de publieke sector); dit kenniscentrum zou het voornaamste uitvoeringsorgaan zijn voor de financiële middelen van de EU die in het kader van de voorgestelde programma's Digitaal Europa en Horizon Europa voor cyberbeveiliging worden uitgetrokken.

Door deze alomvattende aanpak zou cyberbeveiliging in de hele waardeketen kunnen worden ondersteund, van het onderzoek tot de uitrol en het gebruik van cruciale technologieën. De financiële bijdragen van de lidstaten moeten in verhouding staan tot de financiële bijdrage van de EU aan dit initiatief en zijn een onontbeerlijk element voor het welslagen ervan.

De European Cybersecurity Organisation (Europese organisatie voor cyberbeveiliging), de tegenhanger van de Commissie voor het contractuele publiek-private partnerschap voor cyberbeveiliging in het kader van Horizon 2020, moet, gezien haar bijzondere deskundigheid en ruime en relevante vertegenwoordiging van belanghebbenden, worden uitgenodigd om bij te dragen aan de werkzaamheden van het kenniscentrum en het netwerk.

Ook moet het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging manieren zoeken om de synergieën tussen de civiele en defensieaspecten van cyberbeveiliging te versterken. Het kenniscentrum moet de lidstaten en andere relevante actoren ondersteunen door advies te verstrekken, expertise te delen en de samenwerking bij projecten en acties te vergemakkelijken. Op verzoek van de lidstaten zou het ook kunnen optreden als projectbeheerder, met name met betrekking tot het Europees Defensiefonds. Dit initiatief beoogt bij te dragen tot de aanpak van de volgende problemen:

·Onvoldoende samenwerking tussen de vraagzijde en de aanbodzijde in de cyberbeveiligingsindustrie. De Europese bedrijven staan voor de uitdaging dat ze zowel voor hun eigen beveiliging moeten zorgen als veilige producten en diensten aan hun klanten moeten aanbieden. Ze zijn echter vaak niet in staat om hun bestaande producten, diensten en activa afdoende te beveiligen of om veilige innovatieve producten en diensten te ontwerpen. Voor individuele spelers voor wie cyberbeveiliging buiten de kernactiviteiten valt, is het vaak te duur om cruciale activa met betrekking tot cyberbeveiliging te ontwikkelen en toe te passen. Tegelijkertijd worden de banden tussen de vraag- en de aanbodzijde van de cyberbeveiligingsmarkt onvoldoende aangehaald, wat leidt tot een suboptimaal aanbod van Europese producten en oplossingen die zijn aangepast aan de behoeften van de verschillende sectoren, en tot onvoldoende vertrouwen bij de marktdeelnemers.

·Geen efficiënt mechanisme voor samenwerking tussen de lidstaten voor de opbouw van industriële capaciteit. Op dit moment is er ook geen doeltreffend mechanisme dat de lidstaten toelaat samen te werken aan de opbouw van de nodige capaciteiten ter ondersteuning van innovatie op het gebied van cyberbeveiliging in alle bedrijfssectoren en de aanwending van geavanceerde Europese oplossingen op het gebied van cyberbeveiliging. De bestaande mechanismen voor samenwerking tussen de lidstaten op het gebied van cyberbeveiliging krachtens Richtlijn (EU) 2016/1148 voorzien niet in dit soort activiteiten.

·Onvoldoende samenwerking binnen en tussen onderzoeks- en industriële gemeenschappen. Hoewel Europa theoretisch over het vermogen beschikt om de volledige cyberbeveiligingswaardeketen te dekken, zijn er relevante cyberbeveiligingssectoren (bv. energie, ruimtevaart, defensie, vervoer) en subdomeinen die tegenwoordig slecht worden ondersteund door de onderzoeksgemeenschap of slechts worden ondersteund door een beperkt aantal centra (bv. postkwantum- en kwantumcryptografie, vertrouwen en cyberbeveiliging bij kunstmatige intelligentie). Hoewel er hiervoor kennelijk wordt samengewerkt, gaat het zeer vaak om consultancyachtige kortetermijnafspraken, waardoor er geen langetermijnplannen worden gemaakt om industriële uitdagingen op het gebied van cyberbeveiliging op te lossen.

·Onvoldoende samenwerking op het gebied van cyberbeveiliging tussen civiele en militaire onderzoeks- en innovatiegemeenschappen. Het probleem van de ontoereikende samenwerking heeft ook betrekking op de civiele en militaire gemeenschappen. De bestaande synergieën worden niet ten volle benut omdat er geen efficiënte mechanismen zijn waardoor deze gemeenschappen efficiënt zouden kunnen samenwerken en vertrouwen kunnen opbouwen, hetgeen – meer nog dan op andere gebieden – een voorwaarde is voor succesvolle samenwerking. Tegelijk beschikt de EU-markt voor cyberbeveiling slechts over beperkte financiële mogelijkheden en zijn er onder meer onvoldoende financiële middelen voor innovatie.

·Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Het kennisnetwerk voor cyberbeveiliging en het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zullen een extra ondersteuning zijn voor de bestaande beleidsbepalingen en spelers op het gebied van cyberbeveiliging. Het mandaat van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zal een aanvulling vormen op de inspanningen van het Enisa, maar legt een andere nadruk en vereist andere vaardigheden. Terwijl het mandaat van het Enisa voorziet in een adviserende rol inzake onderzoek en innovatie op het gebied van cyberbeveiliging in de EU, is het voorgestelde mandaat van het kenniscentrum vooral gericht op andere taken die cruciaal zijn voor de versterking van de weerbaarheid van de EU op het gebied van cyberbeveiliging. Bovendien komen de kernactiviteiten in het mandaat van het Enisa niet overeen met de kerntaken van het kenniscentrum en het netwerk, namelijk het stimuleren van de ontwikkeling en invoering van cyberbeveiligingstechnologie en het aanvullen van de inspanningen voor capaciteitsopbouw op EU- en nationaal niveau.

Het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zal samen met het kennisnetwerk voor cyberbeveiliging ook werken aan de ondersteuning van onderzoek om de standaardiserings- en certificeringsprocessen te vergemakkelijken en te versnellen, met name die met betrekking tot regelingen voor cyberbeveiligingscertificering in de zin van de voorgestelde cyberbeveiligingsverordening 13 14 .

Dit initiatief is een feitelijke uitbreiding van het publiek-private partnerschap voor cyberbeveiliging (cPPP), de eerste EU-brede poging om de cyberbeveiligingsbranche, de vraagzijde (kopers van cyberbeveiligingsproducten en -oplossingen, met inbegrip van openbare besturen en kritieke sectoren zoals de vervoers-, gezondheids-, energie- en financiële sector) en de onderzoeksgemeenschap bijeen te brengen om een platform voor duurzame dialoog op te zetten en voorwaarden te scheppen voor vrijwillige gezamenlijke investeringen. Het cPPP werd in 2016 opgezet en zal tegen 2020 tot 1,8 miljard EUR aan investeringen hebben geleid. De omvang van de investeringen in andere delen van de wereld (de VS hebben in 2017 alleen al 19 miljard dollar geïnvesteerd in cyberbeveiliging) toont aan dat de EU meer moet doen om een kritische massa aan investeringen te bereiken en de versnippering van de capaciteiten in de hele EU te verhelpen.

·Verenigbaarheid met andere beleidsterreinen van de Unie

Het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zal optreden als één uitvoerend orgaan voor diverse EU-programma’s ter ondersteuning van cyberbeveiliging (de programma's 'Digitaal Europa' en 'Horizon Europa') en zal de samenhang en de synergieën tussen deze programma’s verbeteren.

Dit initiatief kan ook een aanvulling bieden op de inspanningen van de lidstaten door makers van onderwijsbeleid passende input te geven voor de verbetering van de vaardigheden op het gebied van cyberbeveiliging (bv. door voor de civiele en militaire onderwijsstelsels leerplannen voor cyberbeveiliging te ontwikkelen). Dat zou ertoe bijdragen dat de EU op termijn over gekwalificeerd cyberbeveiligingspersoneel beschikt, wat van cruciaal belang is voor cyberbeveiligingsbedrijven en andere branches met een belang in cyberbeveiliging. Wat onderwijs en opleiding in cyberdefensie betreft, strookt dit initiatief met de lopende werkzaamheden van het platform voor onderwijs, opleiding, evaluatie en oefeningen op cybergebied dat is opgericht in het kader van de Europese Veiligheids- en defensieacademie.

Dit initiatief zal de inspanningen van de digitale-innovatiehubs in het kader van het programma 'Digitaal Europa' aanvullen en ondersteunen. Digitale-innovatiehubs zijn non-profitorganisaties die bedrijven – vooral startups, kmo's en midcaps – helpen hun concurrentievermogen te vergroten door de bedrijfsprocessen/productieprocessen, maar ook de producten en diensten zelf, te verbeteren door middel van slimme innovatie met digitale technologie. Digitale-innovatiehubs bieden bedrijfsgerichte innovatiediensten aan, zoals marktonderzoek, financieringsadvies, toegang tot relevante test- en experimenteerfaciliteiten, opleidingen en de ontwikkeling van vaardigheden, om nieuwe producten of diensten met succes op de markt te brengen of om betere productieprocessen in te voeren. Sommige digitale-innovatiehubs met specifieke deskundigheid op het gebied van cyberbeveiliging zouden rechtstreeks kunnen worden betrokken bij de kennisgemeenschap voor cyberbeveiliging die bij dit initiatief wordt opgericht. In de meeste gevallen zouden de digitale-innovatiehubs, die zelf geen specifiek cyberbeveiligingsprofiel hebben, er echter voor zorgen dat hun clientèle toegang heeft tot de expertise, de kennis en de capaciteiten op het gebied van cyberbeveiliging waarover de kennisgemeenschap voor cyberbeveiliging beschikt. Ze zouden hiervoor nauw samenwerken met het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging. Digitale-innovatiehubs zouden ook ondersteuning bieden bij de aanwending van innovatieve cyberbeveiligingsproducten en -oplossingen die tegemoetkomen aan de behoeften van de bedrijven en andere eindgebruikers die bij hen zijn aangesloten. Tot slot zouden sectorspecifieke digitale-innovatiehubs hun kennis over bestaande sectorale behoeften kunnen delen met het netwerk en het kenniscentrum en zo input geven voor de discussie om de onderzoeks- en innovatieagenda op één lijn te brengen met de industriële behoeften.

Er zal worden gestreefd naar synergieën met relevante kennis- en innovatiegemeenschappen van het Europees Instituut voor innovatie en technologie, en in het bijzonder met EIT Digital.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

Rechtsgrondslag

Door zijn aard en specifieke doelstellingen moet het kenniscentrum worden vastgesteld op basis van een dubbele rechtsgrondslag. Op grond van artikel 187 VWEU, waarin structuren in het leven worden geroepen die noodzakelijk zijn voor de goede uitvoering van programma's voor onderzoek en technologische ontwikkeling en demonstratie in de Unie, kan het kenniscentrum synergieën creëren en middelen bundelen om in de nodige capaciteit op het niveau van de lidstaten te investeren en Europese gedeelde activa te ontwikkelen (bv. door de gezamenlijke aanbesteding van de nodige infrastructuur voor tests en experimenten op het gebied van cyberbeveiliging). In de eerste alinea van artikel 188 wordt voorzien in de vaststelling van dergelijke maatregelen. Met artikel 188, eerste alinea, als enige rechtsgrondslag zouden de activiteiten echter niet verder mogen gaan dan onderzoek en ontwikkeling, hetgeen wel nodig is om alle in deze verordening vastgestelde doelstellingen van het kenniscentrum te verwezenlijken om de marktintroductie van cyberbeveiligingsproducten en -oplossingen te ondersteunen, het concurrentievermogen en het marktaandeel van de Europese cyberbeveiligingsbranche te helpen versterken, en toegevoegde waarde te bieden ten opzichte van de nationale inspanningen om de vaardigheidskloof op het gebied van cyberbeveiliging te dichten. Om deze doelstellingen te verwezenlijken is het daarom noodzakelijk artikel 173, lid 3, VWEU als rechtsgrondslag toe te voegen, zodat de Unie maatregelen kan vaststellen om het concurrentievermogen van de industrie te ondersteunen.

Motivering van het voorstel aan de hand van de subsidiariteits- en evenredigheidsbeginselen

Cyberbeveiliging is een zaak van gemeenschappelijk belang voor de Unie, zoals ook is bevestigd in de hierboven vermelde conclusies van de Raad. Goede voorbeelden zijn de omvang en het grensoverschrijdende karakter van incidenten zoals WannaCry en NonPetya. Gezien de aard en de omvang van de technologische uitdagingen op het gebied van cyberbeveiliging, en aangezien de inspanningen in het bedrijfsleven, de overheidssector en de onderzoeksgemeenschappen, alsook tussen deze sectoren onderling, onvoldoende worden gecoördineerd, moet de EU de coördinatie-inspanningen verder ondersteunen, zowel om een kritische massa aan middelen bijeen te brengen als om een beter beheer van kennis en activa te garanderen. Dit is noodzakelijk aangezien er middelen nodig zijn voor bepaalde capaciteiten voor het onderzoek naar en de ontwikkeling en invoering van cyberbeveiligingstechnologieën, aangezien er toegang moet worden verleend tot interdisciplinaire kennis op het gebied van cyberbeveiliging in verschillende disciplines (vaak slechts gedeeltelijk beschikbaar op nationaal niveau) en aangezien de industriële waardeketens een mondiaal karakter hebben en de concurrenten overal ter wereld op allerlei markten actief zijn.

Hiervoor zijn middelen en expertise vereist van een niveau dat moeilijk kan worden bereikt met afzonderlijke maatregelen van een lidstaat. Zo zou een pan-Europees kwantumcommunicatienetwerk een investering van ongeveer 900 miljoen EUR van de EU vergen, afhankelijk van de investeringen van de lidstaten (te koppelen / aan te vullen) en de mate waarin voor de technologie bestaande infrastructuren kunnen worden hergebruikt. Het initiatief zal een grote rol spelen bij het bundelen van de financiering en het mogelijk maken van dit soort investeringen in de Unie.

De doelstellingen van dit initiatief kunnen niet volledig door de lidstaten alleen worden verwezenlijkt. Zoals hierboven is aangetoond, kunnen de doelstellingen beter worden verwezenlijkt op het niveau van de Unie door de inspanningen te bundelen en overlappingen te voorkomen, door bij te dragen tot het bereiken van een kritische massa aan investeringen en door ervoor te zorgen dat de overheidsfinanciering optimaal wordt gebruikt. Tegelijk gaat deze verordening, overeenkomstig het evenredigheidsbeginsel, niet verder dan nodig is om dit doel te verwezenlijken. Maatregelen op EU-niveau zijn daarom gerechtvaardigd om redenen van subsidiariteit en evenredigheid.

Dit instrument voorziet niet in nieuwe wettelijke verplichtingen voor bedrijven. Tegelijkertijd zullen voor ondernemingen, en met name kleine en middelgrote ondernemingen, naar alle waarschijnlijk de kosten met betrekking tot het ontwerp van innovatieve cyberbeveiligde producten afnemen, aangezien dit initiatief het mogelijk maakt om middelen te bundelen voor investeringen in de nodige capaciteiten op lidstaatniveau of om Europese gedeelde activa te ontwikkelen (bv. door de gezamenlijke aanbesteding van de nodige infrastructuur voor tests en experimenten op het gebied van cyberbeveiliging). Deze activa zouden door industrieën en kmo’s in verschillende sectoren kunnen worden gebruikt om ervoor te zorgen dat hun producten cyberbeveiligd zijn en dat cyberbeveiliging concurrentievoordeel oplevert.

Keuze van het instrument

Het voorgestelde instrument voorziet in de oprichting van een orgaan voor de uitvoering van maatregelen op het gebied van cyberbeveiliging in het kader van de programma's 'Digitaal Europa' en 'Horizon Europa'. Het bevat een beschrijving van het mandaat, de taken en de bestuurlijke structuur van dit orgaan. De oprichting van een dergelijk orgaan van de Unie, moet in een verordening worden vastgesteld.

3. RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Het voorstel tot oprichting van een kennisnetwerk voor cyberbeveiliging met een Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging is een nieuw initiatief. Het is een voortzetting en opschaling van het contractuele publiek-private partnerschap voor cyberbeveiliging dat in 2016 in het leven is geroepen.

Raadpleging van belanghebbenden

Cyberbeveiliging is een breed, sectoroverschrijdend thema. De Commissie heeft verschillende raadplegingsmethoden gebruikt om ervoor te zorgen dat het algemeen belang van de Unie – en niet dat van een beperkte groep belanghebbenden – duidelijk tot uiting komt in dit initiatief. Met deze methode wordt gezorgd voor transparantie en verantwoordingsplicht in het kader van de werkzaamheden van de Commissie. Hoewel er gezien de doelgroep (de industrie, de onderzoeksgemeenschap en de lidstaten) voor dit initiatief geen specifieke openbare raadpleging is gehouden, werd het thema al geregeld door een aantal andere openbare raadplegingen aangesneden:

·In 2018 werd een algemene openbare raadpleging gehouden over investeringen, onderzoek en innovatie, kleine en middelgrote ondernemingen en de interne markt.

·In 2017 werd online een twaalf weken durende openbare raadpleging gehouden om te peilen naar de mening van het grote publiek (ongeveer 90 respondenten) over de evaluatie en herziening van het Enisa.

·In 2016 werd online een twaalf weken durende openbare raadpleging gehouden naar aanleiding van de start van het contractuele publiek-private partnerschap voor cyberbeveiliging (ongeveer 240 respondenten).

De Commissie heeft ook gerichte raadplegingen over dit initiatief georganiseerd, waaronder workshops, vergaderingen en gerichte verzoeken om input (van het Enisa en het Europees Defensieagentschap). De raadplegingsperiode duurde zes maanden en liep van november 2017 tot en met maart 2018. De Commissie heeft ook de expertisecentra in kaart gebracht, waardoor bij 665 centra voor cyberbeveiliging informatie kon worden verzameld over hun knowhow, activiteiten, werkterreinen en internationale samenwerking. De enquête werd in januari opgestart en voor de analyse in het verslag zijn de antwoorden in aanmerking genomen die uiterlijk op 8 maart 2018 zijn ingediend.

Belanghebbenden uit de onderzoeks- en industriële gemeenschappen waren van mening dat het kenniscentrum en het netwerk een toegevoegde waarde zouden kunnen bieden voor de huidige inspanningen op nationaal niveau door te helpen een EU-breed ecosysteem voor cyberbeveiliging in het leven te roepen dat een betere samenwerking tussen de onderzoeks- en industriële gemeenschappen mogelijk maakt. Zij vonden het ook noodzakelijk dat de EU en de lidstaten het industriebeleid voor cyberbeveiliging proactief, met een langetermijnperspectief en vanuit strategisch oogpunt uitstippelen en daarbij verder gaan dan alleen onderzoek en innovatie. De belanghebbenden vermeldden ook dat er behoefte is aan toegang tot essentiële capaciteiten zoals test- en experimenteerfaciliteiten en aan meer ambitie bij het dichten van de kloof op het gebied van cyberbeveiligingsvaardigheden, bijvoorbeeld door grootschalige Europese projecten op te zetten die het grootste talent aantrekken. Al het bovenstaande werd ook gezien als noodzakelijk als de EU wereldwijd een leider op het gebied van cyberbeveiliging wil worden.

In het kader van de sinds september verrichte raadplegingsactiviteiten 15 en in de specifieke conclusies van de Raad 16 hebben de lidstaten positief gereageerd op het voornemen om een kennisnetwerk voor cyberbeveiliging op te richten om de ontwikkeling en toepassing van cyberbeveiligingstechnologieën te bevorderen, waarbij de nadruk wordt gelegd op het belang om inclusief te zijn voor alle lidstaten en hun bestaande excellentie- en kenniscentra en bijzondere aandacht te schenken aan complementariteit. De lidstaten benadrukten met name het belang van de coördinerende rol van het toekomstige kenniscentrum ter ondersteuning van het netwerk. De in maart 2018 door de Europese Dienst voor extern optreden uitgevoerde inventarisatie van de behoeften op het gebied van cyberdefensie heeft aangetoond dat de meeste lidstaten vinden dat de EU een meerwaarde kan bieden op het vlak van opleiding en onderwijs en bij de ondersteuning van de industrie door middel van onderzoek en ontwikkeling 17 . Het initiatief zou inderdaad samen met de lidstaten of met door hen gesteunde entiteiten ten uitvoer worden gelegd. Door samenwerkingsverbanden op te zetten tussen de industrie, de onderzoeksgemeenschap en/of de openbare sector zouden de bestaande entiteiten en inspanningen kunnen worden gebundeld in plaats van dat er nieuwe worden gecreëerd. De lidstaten zouden ook worden betrokken bij het vaststellen van specifieke acties die gericht zijn op de overheidssector als een directe gebruiker van cyberbeveiligingstechnologie en -knowhow.

Effectbeoordeling

Een effectbeoordeling ter ondersteuning van dit initiatief is op 11 april 2017 voorgelegd aan de Raad voor regelgevingstoetsing en kreeg een positief advies met punten van voorbehoud. De effectbeoordeling is vervolgens opnieuw bekeken aan de hand van de opmerkingen van de Raad voor regelgevingstoetsing. Het advies van de raad voor regelgevingstoetsing en de bijlage waarin wordt uitgelegd op welke manier rekening is gehouden met de opmerkingen van de raad, worden samen met dit voorstel gepubliceerd.

1.

In de effectbeoordeling zijn een aantal wetgevende en niet-wetgevende beleidsopties in overweging genomen. De volgende opties zijn meegenomen voor een diepgaande beoordeling:


·Het basisscenario – de samenwerkingsoptie – gaat uit van de voortzetting van de huidige aanpak om de industriële en technologische capaciteiten op het gebied van cyberbeveiliging in de EU verder op te bouwen door middel van onderzoek en innovatie en daarmee verband houdende samenwerkingsmechanismen in het kader van KP9.

·Optie 1: Een kennisnetwerk voor cyberbeveiliging en een Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging met een dubbel mandaat om maatregelen te nemen ter ondersteuning van industriële technologieën, alsook op het gebied van onderzoek en innovatie.

·Optie 2: Een kennisnetwerk voor cyberbeveiliging met een Europees onderzoeks- en kenniscentrum voor cyberbeveiliging, gericht op onderzoek en innovatie.

De opties die in een vroeg stadium werden verworpen, waren 1) de optie om helemaal geen actie te ondernemen, 2) de optie om uitsluitend een kennisnetwerk voor cyberbeveiliging op te richten, 3) de optie om alleen een gecentraliseerde structuur te creëren en 4) de optie om een bestaand agentschap te gebruiken (het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), het Uitvoerend Agentschap onderzoek (REA) of het Uitvoerend Agentschap innovatie en netwerken (INEA)).

De conclusie van de analyse luidde dat optie 1 het best geschikt is om de doelstellingen van het initiatief te verwezenlijken, om optimale economische, maatschappelijke en milieueffecten te bereiken en de belangen van de Unie het best te waarborgen. De voornaamste argumenten vóór deze optie waren de mogelijkheid om een echt industriebeleid op het gebied van cyberbeveiliging uit te werken door ondersteuning te bieden aan activiteiten die niet alleen verband houden met onderzoek en ontwikkeling, maar ook met marktintroductie, de flexibiliteit van het netwerk van kenniscentra om met verschillende samenwerkingsmodellen het gebruik van bestaande kennis en middelen te optimaliseren en de mogelijkheid om structuur aan te brengen in de samenwerkingsverbanden en gezamenlijke toezeggingen van publieke en private belanghebbenden uit alle relevante sectoren, met inbegrip van defensie. Tot slot maakt optie 1 het mogelijk om ook meer synergieën te creëren en biedt deze optie een uitvoeringsmechanisme voor twee verschillende EU-financieringsstromen op het gebied van cyberbeveiliging in het kader van het volgende meerjarig financieel kader (de programma's 'Digitaal Europa' en 'Horizon Europa').

Grondrechten

Dankzij dit initiatief kunnen overheden en industrieën in de lidstaten cyberdreigingen voortaan beter voorkomen en er beter op reageren, door beter beveiligde producten en oplossingen te bieden en aan te schaffen. Dit is met name van belang voor de beveiliging van de toegang tot essentiële diensten (zoals vervoers-, gezondheids-, bancaire en financiële diensten).

Als de Europese Unie meer capaciteit heeft om zelfstandig haar producten en diensten te beveiligen, zal dit de burgers ook helpen om van hun democratische rechten en waarden te genieten (bv. betere bescherming van de in het Handvest van de grondrechten verankerde rechten op informatie, met name het recht op bescherming van persoonsgegevens en het privéleven) zodat ook het vertrouwen in de digitale maatschappij en economie groter wordt.

4. GEVOLGEN VOOR DE BEGROTING

Het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging zal, in samenwerking met het kennisnetwerk voor cyberbeveiliging, het voornaamste uitvoeringsorgaan zijn voor de financiële middelen van de EU die in het kader van Digitaal Europa en Horizon Europa voor cyberbeveiliging worden uitgetrokken.

De budgettaire gevolgen van de uitvoering van Digitaal Europa zijn in detail beschreven in het financieel memorandum bij dit voorstel. De bijdrage uit het budget van de cluster 'Inclusieve en veilige samenleving' van pijler II 'Wereldwijde uitdagingen en industrieel concurrentievermogen' van Horizon Europa (totaal budget van 2 800 000 000 EUR), zoals vermeld in artikel 21, lid 1, onder b), zal door de Commissie worden voorgesteld tijdens het wetgevingsproces en in elk geval voordat een politiek akkoord wordt bereikt. Het voorstel zal worden gebaseerd op de resultaten van het in artikel 6, lid 6, van Verordening XXX [kaderprogramma Horizon Europa] omschreven strategische planningsproces.

5. OVERIGE ELEMENTEN

Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

In dit voorstel (artikel 38) wordt expliciet voorzien in een evaluatieclausule op grond waarvan de Commissie een onafhankelijke evaluatie zal maken. De Commissie zal vervolgens aan het Europees Parlement en de Raad verslag uitbrengen over haar evaluatie en, in voorkomend geval, een voorstel tot herziening doen, teneinde de impact en de toegevoegde waarde van het instrument te meten. De evaluatiemethodiek van de Commissie inzake betere regelgeving zal worden toegepast.

Zoals bepaald in artikel 17 van dit voorstel, moet de uitvoerend directeur elke twee jaar een ex-postevaluatie van de activiteiten van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging en het netwerk aan de raad van bestuur voorleggen. De uitvoerend directeur moet ook een actieplan als follow-up van ex-postevaluaties en tweejaarlijks een voortgangsrapportage voor de Commissie opstellen. De raad van bestuur moet erop toezien dat gepast gevolg wordt gegeven aan die conclusies, zoals bepaald in artikel 16 van dit voorstel.

Overeenkomstig de bepalingen van artikel 228 van het Verdrag kunnen vermeende gevallen van wanbeheer bij de activiteiten van de juridische entiteit worden onderzocht door de Europese Ombudsman.