Toelichting bij COM(2023)209 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)209 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, ... |
|---|---|
| bron | COM(2023)209   |
| datum | 18-04-2023 |
• Motivering en doel van het voorstel
Deze toelichting hoort bij het voorstel voor een verordening cybersolidariteit. Nu de onderlinge verbondenheid en afhankelijkheid van onze overheidsdiensten, bedrijven en burgers, over sectoren en grenzen heen, groter is dan ooit tevoren, zijn het gebruik en de afhankelijkheid van informatie- en communicatietechnologieën fundamentele aspecten geworden van alle sectoren van de economische activiteit. Door deze grotere verbreiding van digitale technologieën neemt de blootstelling aan cyberbeveiligingsincidenten en de mogelijke gevolgen daarvan toe. Tegelijkertijd worden de lidstaten geconfronteerd met toenemende cyberbeveiligingsrisico’s en een algemeen complex dreigingslandschap, met een duidelijk risico dat cyberbeveiligingsincidenten snel van de ene lidstaat naar de andere overslaan.
Bovendien worden cyberoperaties steeds meer geïntegreerd in hybride en oorlogsstrategieën, met aanzienlijke gevolgen voor het doelwit. Met name de militaire agressie van Rusland tegen Oekraïne werd voorafgegaan door en gaat gepaard met een strategie van vijandige cyberoperaties, wat een gamechanger is voor de perceptie en beoordeling van de collectieve paraatheid van de EU betreffende crisisbeheersing op het gebied van cyberbeveiliging en een oproep tot dringende actie. De dreiging van een mogelijk grootschalig incident met aanzienlijke verstoringen van en schade aan kritieke infrastructuur vereist een grotere paraatheid op alle niveaus van de cyberbeveiligingsomgeving van de EU. Deze dreiging gaat verder dan de militaire agressie van Rusland tegen Oekraïne en omvat voortdurende cyberdreigingen van statelijke en niet-statelijke actoren, die waarschijnlijk zullen aanhouden gezien het grote aantal staatsgebonden criminele en hacktivistische actoren die betrokken zijn bij de huidige geopolitieke spanningen. De afgelopen jaren is het aantal cyberaanvallen drastisch toegenomen, waaronder aanvallen op toeleveringsketens (“supplychainaanvallen”) met het oog op cyberspionage, het gebruik van gijzelsoftware of verstoring. In 2020 trof de supplychainaanval SolarWinds meer dan 18 000 organisaties wereldwijd, waaronder overheidsinstanties en grote bedrijven. Significante cyberbeveiligingsincidenten kunnen zo ontwrichtend zijn dat een of meer getroffen lidstaten er alleen niet tegen opgewassen zijn. Daarom is meer solidariteit op het niveau van de Unie nodig om cyberdreigingen en -incidenten beter op te sporen en om er beter op voorbereid te zijn en op te kunnen reageren.
Wat de opsporing van cyberdreigingen en -incidenten betreft, is er dringend behoefte aan meer informatie-uitwisseling en betere collectieve capaciteiten om cyberdreigingen veel sneller te kunnen opsporen voordat ze grootschalige schade en kosten kunnen veroorzaken 1 . Hoewel veel cyberdreigingen en -incidenten een potentiële grensoverschrijdende dimensie hebben door de interconnectie van digitale infrastructuur, blijft de uitwisseling van relevante informatie tussen de lidstaten beperkt. Het opzetten van een netwerk van landsgrensoverschrijdende centra voor beveiligingsoperaties (SOC’s) om de opsporings- en responscapaciteit te verbeteren, moet dit probleem helpen aanpakken.
Wat de paraatheid voor en respons op cyberbeveiligingsincidenten betreft, is er momenteel beperkte steun op het niveau van de Unie en solidariteit tussen de lidstaten. In de conclusies van de Raad van oktober 2021 werd benadrukt dat deze lacunes moeten worden opgevuld door de Commissie op te roepen een voorstel voor een nieuw cyberbeveiligingsnoodfonds in te dienen 2 .
Met deze verordening wordt ook uitvoering gegeven aan de in december 2020 aangenomen EU-strategie inzake cyberbeveiliging 3 , waarin de oprichting van een Europees cyberschild wordt aangekondigd en waarmee de capaciteit voor het opsporen van cyberdreigingen en het uitwisselen van informatie in de Europese Unie wordt versterkt via een federatie van nationale en landsgrensoverschrijdende SOC’s.
Deze verordening bouwt voort op de eerste stappen die reeds in nauwe samenwerking met de belangrijkste belanghebbenden zijn ontwikkeld en door het programma Digitaal Europa worden ondersteund. Wat SOC’s betreft, is in het kader van het werkprogramma cyberbeveiliging 2021-2022 van het programma Digitaal Europa met name een oproep gedaan tot het indienen van blijken van belangstelling voor de gezamenlijke aanschaf van instrumenten en infrastructuur voor de oprichting van landsgrensoverschrijdende SOC’s, alsook een oproep tot het indienen van voorstellen voor subsidies om de capaciteitsopbouw van SOC’s ten dienste van publieke en particuliere organisaties mogelijk te maken. Wat paraatheid voor en respons op incidenten betreft, heeft de Commissie een kortetermijnprogramma opgezet om de lidstaten te ondersteunen, door middel van aanvullende financiering die aan het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) is toegewezen, teneinde de paraatheid voor en de capaciteit om te reageren op grote cyberbeveiligingsincidenten onmiddellijk te versterken. Beide acties zijn voorbereid in nauwe samenwerking met de lidstaten. In deze verordening worden tekortkomingen aangepakt en inzichten uit die acties geïntegreerd.
Ten slotte wordt met dit voorstel tegemoetgekomen aan de toezegging in overeenstemming met de op 10 november aangenomen gezamenlijke mededeling over cyberdefensie 4 om een voorstel voor een EU-initiatief voor cybersolidariteit op te stellen met de volgende doelstellingen: de gemeenschappelijke capaciteiten van de EU op het gebied van opsporing, situationeel bewustzijn en respons versterken, geleidelijk een cyberbeveiligingsreserve op EU-niveau opbouwen met diensten van betrouwbare particuliere aanbieders en het testen van kritieke entiteiten ondersteunen.
Tegen deze achtergrond stelt de Commissie de huidige verordening cybersolidariteit voor om de solidariteit op het niveau van de Unie te versterken teneinde cyberdreigingen en -incidenten beter op te sporen en om er beter op voorbereid te zijn en op te kunnen reageren door middel van de volgende specifieke doelstellingen:
·de gemeenschappelijke capaciteiten van de EU op het gebied van opsporing en situationeel bewustzijn van cyberdreigingen en -incidenten versterken en aldus bijdragen tot de Europese technologische soevereiniteit op het gebied van cyberbeveiliging;
·de paraatheid van kritieke entiteiten in de hele EU vergroten en de solidariteit versterken door gemeenschappelijke capaciteit op het gebied van de respons op significante of grootschalige cyberbeveiligingsincidenten te ontwikkelen, onder meer door steun voor respons op incidenten beschikbaar te stellen aan derde landen die geassocieerd zijn met het programma Digitaal Europa;
·de weerbaarheid van de Unie vergroten en bijdragen tot een doeltreffende respons door significante of grootschalige incidenten te evalueren en te beoordelen, en daaruit lering te trekken en, in voorkomend geval, aanbevelingen te doen.
Deze doelstellingen worden nagestreefd door middel van de volgende acties:
·De uitrol van een pan-Europese infrastructuur van SOC’s (Europees cyberschild) om gemeenschappelijke capaciteiten op het gebied van opsporing en situationeel bewustzijn op te bouwen en te versterken.
·De instelling van een cybernoodmechanisme om de lidstaten te ondersteunen bij de voorbereiding en respons op, en bij het onmiddellijke herstel van, significante en grootschalige cyberbeveiligingsincidenten. Steun voor respons op incidenten wordt ook beschikbaar gesteld aan Europese instellingen, organen en instanties van de Unie.
·De instelling van een Europees evaluatiemechanisme voor cyberbeveiligingsincidenten om specifieke significante of grootschalige incidenten te evalueren en te beoordelen.
Het Europees cyberschild en het cybernoodmechanisme zullen worden ondersteund door financiering uit het programma Digitaal Europa, dat met dit wetgevingsinstrument zal worden gewijzigd om de bovengenoemde acties vast te stellen, financiële steun te verlenen voor de ontwikkeling ervan en de voorwaarden voor het ontvangen van de financiële steun te verduidelijken.
•Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Het EU-kader omvat verschillende reeds bestaande of op Unieniveau voorgestelde wetgevingen om kwetsbaarheden te verminderen, de weerbaarheid van kritieke entiteiten tegen cyberbeveiligingsrisico’s te vergroten en het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises te ondersteunen, met name de richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (NIS2) 5 , de cyberbeveiligingsverordening 6 , de richtlijn over aanvallen op informatiesystemen 7 en Aanbeveling (EU) 2017/1584 van de Commissie inzake een gecoördineerde respons op grootschalige cyberbeveiligingsincidenten en -crises 8 .
De in het kader van de verordening cybersolidariteit voorgestelde acties hebben betrekking op situationeel bewustzijn, informatie-uitwisseling en steun voor paraatheid voor en respons op cyberbeveiligingsincidenten. Deze acties zijn verenigbaar met en ondersteunen de doelstellingen van het bestaande regelgevingskader op het niveau van de Unie, met name in het kader van Richtlijn (EU) 2022/2555 (“de NIS2-richtlijn”). De verordening cybersolidariteit zal met name voortbouwen op en steun verlenen aan de bestaande kaders voor operationele samenwerking en crisisbeheersing op het gebied van cyberbeveiliging, in het bijzonder het Europees Netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) en het netwerk van Computer Security Incident Response Teams (CSIRT’s).
De platforms van landsgrensoverschrijdende SOC’s zouden een nieuwe capaciteit moeten vormen die een aanvulling vormt op het CSIRT-netwerk door gegevens over cyberdreigingen van publieke en private entiteiten te bundelen en te delen, de waarde van die gegevens te vergroten door middel van deskundige analyses en geavanceerde instrumenten, en bij te dragen tot de ontwikkeling van de capaciteiten en de technologische soevereiniteit van de Unie.
Ten slotte is dit voorstel verenigbaar met de aanbeveling van de Raad betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken 9 , waarin de lidstaten wordt verzocht dringende en doeltreffende maatregelen te nemen en loyaal, efficiënt, solidair en gecoördineerd met elkaar, de Commissie en andere relevante overheidsinstanties alsook de betrokken entiteiten samen te werken om kritieke infrastructuur die wordt gebruikt om essentiële diensten op de interne markt te verlenen weerbaarder te maken.
• Verenigbaarheid met andere beleidsterreinen van de Unie
Het voorstel is verenigbaar met andere crisismechanismen en -protocollen, zoals de geïntegreerde regeling politieke crisisrespons (IPCR). De verordening cybersolidariteit zal deze kaders en protocollen voor crisisbeheersing aanvullen door specifieke steun te verlenen voor de paraatheid voor en de respons op cyberbeveiligingsincidenten. Het voorstel zal ook verenigbaar zijn met het externe optreden van de EU in reactie op grootschalige incidenten in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB), onder meer via het EU-instrumentarium voor cyberdiplomatie. Het voorstel vormt een aanvulling op acties die worden uitgevoerd in het kader van artikel 42, lid 7, van het Verdrag betreffende de Europese Unie of in situaties als omschreven in artikel 222 van het Verdrag betreffende de werking van de Europese Unie.
Het vormt ook een aanvulling op het in december 2013 ingestelde Uniemechanisme voor civiele bescherming 10 dat is aangevuld met nieuwe wetgeving die in mei 2021 is aangenomen 11 en die de pijlers preventie, paraatheid en respons van het Uniemechanisme voor civiele bescherming versterkt, de EU extra capaciteit geeft om te reageren op nieuwe risico’s in Europa en de wereld, en de rescEU-voorraad vergroot.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
De rechtsgrondslag voor dit voorstel is artikel 173, lid 3, en artikel 322, lid 1, punt a), van het Verdrag betreffende de werking van de Europese Unie (VWEU). In artikel 173 van het VWEU is bepaald dat de Unie en de lidstaten ervoor moeten zorgen dat de omstandigheden nodig voor het concurrentievermogen van de industrie van de Unie aanwezig zijn. Deze verordening heeft tot doel de concurrentiepositie van de industrie en de dienstensector in Europa in de gedigitaliseerde economie te versterken en hun digitale transformatie te ondersteunen door het niveau van cyberbeveiliging in de digitale eengemaakte markt te verhogen. Zij is er met name op gericht burgers, bedrijven en in kritieke en zeer kritieke sectoren actieve entiteiten weerbaarder te maken tegen de toenemende cyberdreigingen, die verwoestende maatschappelijke en economische gevolgen kunnen hebben.
Het voorstel is ook gebaseerd op artikel 322, lid 1, punt a), VWEU, want het bevat specifieke regels inzake overdracht die afwijken van het jaarperiodiciteitsbeginsel van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (het “Financieel Reglement”) 12 . Met het oog op goed financieel beheer en gezien de onvoorspelbare, uitzonderlijke en specifieke aard van het cyberbeveiligingslandschap en cyberdreigingen, zou het cybernoodmechanisme een zekere mate van flexibiliteit moeten genieten wat begrotingsbeheer betreft, met name door toe te staan dat ongebruikte vastleggings- en betalingskredieten voor acties ter verwezenlijking van de in de verordening beschreven doelstellingen automatisch worden overgedragen naar het volgende begrotingsjaar. Aangezien deze nieuwe regel problemen oplevert met het Financieel Reglement, zou deze kwestie kunnen worden behandeld in het kader van de lopende onderhandelingen over de herziening van het Financieel Reglement.
• Subsidiariteit (bij niet-exclusieve bevoegdheid)
De sterke landsgrensoverschrijdende aard van cyberdreigingen en het toenemende aantal risico’s en incidenten, die overloopeffecten hebben over grenzen, sectoren en producten heen, maken dat de doelstellingen van het huidige optreden niet doeltreffend door de lidstaten alleen kunnen worden verwezenlijkt en dat de realisatie ervan gemeenschappelijke actie en solidariteit op het niveau van de Unie vereist.
De ervaring met de bestrijding van cyberdreigingen die voortkomen uit de oorlog tegen Oekraïne en de lessen die zijn getrokken uit een cyberbeveiligingsoefening onder het Franse voorzitterschap (EU CyCLES) hebben aangetoond dat concrete mechanismen voor wederzijdse ondersteuning, met name samenwerking met de particuliere sector, zouden moeten worden ontwikkeld om solidariteit op EU-niveau tot stand te brengen. Tegen deze achtergrond wordt de Commissie in de conclusies van de Raad van 23 mei 2022 over de ontwikkeling van de cyberstrategie van de Europese Unie verzocht een voorstel in te dienen voor een nieuw cyberbeveiligingsnoodfonds.
Ondersteuning en acties op het niveau van de Unie om cyberdreigingen beter op te sporen en de paraatheid en responscapaciteit te vergroten, bieden een meerwaarde omdat zo dubbel werk in de Unie en de lidstaten wordt voorkomen. Het zou leiden tot een betere benutting van de bestaande middelen en tot meer coördinatie en uitwisseling van informatie over geleerde lessen. Het cybernoodmechanisme voorziet ook in het verlenen van steun uit de EU-cyberbeveiligingsreserve aan met het programma Digitaal Europa geassocieerde derde landen.
De steun die wordt verleend via de verschillende initiatieven die op het niveau van de Unie moeten worden opgezet en gefinancierd, zal de nationale capaciteiten op het gebied van opsporing, situationeel bewustzijn en paraatheid voor en respons op cyberdreigingen en -incidenten aanvullen en niet overlappen.
•
Evenredigheid
De acties gaan niet verder dan wat nodig is om de algemene en specifieke doelstellingen van de verordening te verwezenlijken. De acties in deze verordening doen geen afbreuk aan de verantwoordelijkheden van de lidstaten voor de nationale veiligheid, de openbare veiligheid en het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. Zij doen evenmin afbreuk aan de wettelijke verplichtingen van in kritieke en zeer kritieke sectoren actieve entiteiten om cyberbeveiligingsmaatregelen vast te stellen overeenkomstig de NIS 2-richtlijn.
De acties die onder deze verordening vallen, vormen een aanvulling op die inspanningen en maatregelen doordat zij de totstandbrenging van infrastructuur voor een betere opsporing en analyse van dreigingen ondersteunen en steun verlenen voor paraatheids- en responsacties in geval van significante of grootschalige incidenten.
•
Keuze van het instrument
Het voorstel heeft de vorm van een verordening van het Europees Parlement en de Raad. Dit is het meest geschikte rechtsinstrument, aangezien alleen een verordening, met haar rechtstreeks toepasselijke wettelijke bepalingen, de mate van uniformiteit kan bieden die nodig is voor de instelling en werking van een Europees cyberschild en cybernoodmechanisme, door te voorzien in steun vanuit het programma Digitaal Europa voor de instelling ervan alsook in duidelijke voorwaarden voor het gebruik en de toewijzing van deze steun.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Raadpleging van belanghebbenden
De acties van deze verordening zullen worden ondersteund door het programma Digitaal Europa, waarover breed overleg is gepleegd. Daarnaast zullen zij voortbouwen op de eerste stappen die in nauwe samenwerking met de belangrijkste belanghebbenden zijn voorbereid. Wat SOC’s betreft, heeft de Commissie een conceptnota opgesteld over de ontwikkeling van platforms van landsgrensoverschrijdende SOC’s alsook een oproep tot het indienen van blijken van belangstelling in nauwe samenwerking met de lidstaten in het kader van het Europees Kenniscentrum voor cyberbeveiliging (ECCC). In dit verband is een onderzoek naar de capaciteiten van nationale SOC’s uitgevoerd en zijn gemeenschappelijke benaderingen en technische vereisten besproken in de technische werkgroep van het ECCC, waarin vertegenwoordigers van de lidstaten zitting hebben. Daarnaast vonden uitwisselingen plaats met het bedrijfsleven, met name via de door Enisa en de Europese organisatie voor cyberbeveiliging (ECSO) opgerichte deskundigengroep inzake SOC’s.
Ten tweede heeft de Commissie, wat paraatheid voor en respons op incidenten betreft, een kortetermijnprogramma opgezet om de lidstaten te ondersteunen, door middel van aanvullende financiering uit het programma Digitaal Europa die aan Enisa is toegewezen, teneinde de paraatheid voor en de capaciteit om te reageren op grote cyberbeveiligingsincidenten onmiddellijk te versterken. De tijdens de uitvoering van dit kortetermijnprogramma verzamelde feedback van de lidstaten en het bedrijfsleven biedt reeds waardevolle inzichten die zijn meegenomen bij de voorbereiding van de voorgestelde verordening om de vastgestelde tekortkomingen aan te pakken. Dit was een eerste stap in overeenstemming met de conclusies van de Raad over de cyberstrategie, waarin de Commissie werd verzocht een voorstel voor een nieuw cyberbeveiligingsnoodfonds in te dienen.
Daarnaast heeft op 16 februari 2023 op basis van een discussienota een workshop met deskundigen van de lidstaten over het cybernoodmechanisme plaatsgevonden. Alle lidstaten hebben aan deze workshop deelgenomen en elf lidstaten hebben schriftelijke bijdragen ingediend.
• Effectbeoordeling
Gezien de urgentie van het voorstel heeft geen effectbeoordeling plaatsgevonden. De acties van deze verordening zullen worden ondersteund door het programma Digitaal Europa en zijn in overeenstemming met de acties die zijn vastgesteld in de verordening tot oprichting van het programma Digitaal Europa, waarvoor een specifieke effectbeoordeling is uitgevoerd. Deze verordening zal geen andere significante administratieve of milieueffecten met zich meebrengen dan die welke in de effectbeoordeling van de verordening tot oprichting van het programma Digitaal Europa reeds zijn beoordeeld.
Voorts wordt voortgebouwd op de eerste acties die in nauwe samenwerking met de belangrijkste belanghebbenden zijn ontwikkeld, zoals hierboven uiteengezet, en wordt gevolg gegeven aan de oproep van de lidstaten aan de Commissie om tegen het einde van het derde kwartaal van 2022 een voorstel voor een nieuw cyberbeveiligingsnoodfonds in te dienen.
Wat situationeel bewustzijn en opsporing in het kader van het Europees cyberschild betreft, is in het kader van het werkprogramma cyberbeveiliging 2021-2022 van het programma Digitaal Europa met name een oproep gedaan tot het indienen van blijken van belangstelling voor de gezamenlijke aanschaf van instrumenten en infrastructuur voor de oprichting van landsgrensoverschrijdende SOC’s, alsook een oproep tot het indienen van voorstellen voor subsidies om de capaciteitsopbouw van SOC’s ten dienste van publieke en particuliere organisaties mogelijk te maken.
Wat paraatheid voor en respons op incidenten betreft, heeft de Commissie, zoals hierboven vermeld, een door Enisa uitgevoerd kortetermijnprogramma opgezet ter ondersteuning van de lidstaten vanuit het programma Digitaal Europa. Bij de diensten in kwestie gaat het onder meer om paraatheidsacties, zoals penetratietests van kritieke entiteiten om kwetsbaarheden aan het licht te brengen. Het programma biedt ook meer mogelijkheden om de lidstaten bij te staan in geval van een ernstig incident dat kritieke entiteiten treft. De uitvoering van dit kortetermijnprogramma door Enisa is aan de gang en heeft reeds relevante inzichten opgeleverd waarmee bij de opstelling van deze verordening rekening is gehouden.
• Grondrechten
Door bij te dragen tot de beveiliging van digitale informatie zal dit voorstel bijdragen tot de bescherming van het recht op vrijheid en veiligheid overeenkomstig artikel 6 van het Handvest van de grondrechten van de Europese Unie en tot het recht op eerbiediging van privéleven, familie-en gezinsleven overeenkomstig artikel 7 van het Handvest van de grondrechten van de Europese Unie. Door bedrijven te beschermen tegen economisch schadelijke cyberaanvallen zal het voorstel ook bijdragen tot de vrijheid van ondernemerschap overeenkomstig artikel 16 van het Handvest van de grondrechten van de Europese Unie en tot het recht op eigendom overeenkomstig artikel 17 van het Handvest van de grondrechten van de Europese Unie. Ten slotte zal het voorstel, door de integriteit van kritieke infrastructuur bij cyberaanvallen te beschermen, bijdragen tot het recht op toegang tot preventieve gezondheidszorg en op medische verzorging overeenkomstig artikel 35 van het Handvest van de grondrechten van de Europese Unie en tot het recht op toegang tot diensten vanalgemeen economisch belang overeenkomstig artikel 36 van het Handvest van de grondrechten van de Europese Unie.
4. GEVOLGEN VOOR DE BEGROTING
De acties van deze verordening zullen worden ondersteund door financiering in het kader van de strategische doelstelling “Cyberbeveiliging” van het programma Digitaal Europa.
De totale begroting omvat een verhoging van 100 miljoen euro – een bedrag waarvan in deze verordening wordt voorgesteld om het over te hevelen van andere strategische doelstellingen van het programma Digitaal Europa. Dit brengt het nieuwe totaalbedrag dat beschikbaar is voor acties op het gebied van cyberbeveiliging in het kader van het programma Digitaal Europa op 842,8 miljoen euro.
Een deel van de extra 100 miljoen euro zal het door het ECCC beheerde budget voor de uitvoering van acties op het gebied van SOC’s en de paraatheid in het kader van hun werkprogramma(’s) verhogen. Bovendien zal de aanvullende financiering dienen ter ondersteuning van de oprichting van de EU-cyberbeveiligingsreserve.
Deze vormt een aanvulling op het budget dat reeds is voorzien voor soortgelijke acties in het belangrijkste werkprogramma en het werkprogramma cyberbeveiliging van het programma Digitaal Europa voor de periode 2023-2027, waardoor het totale bedrag voor de periode 2023-2027 op 551 miljoen euro zou kunnen uitkomen, terwijl 115 miljoen reeds in de vorm van proefprojecten in de periode 2021-2022 is besteed. Inclusief de bijdragen van de lidstaten zou het totale budget kunnen oplopen tot 1,109 miljard euro.
Een overzicht van de betrokken kosten is opgenomen in het financieel memorandum bij dit voorstel.
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
De Commissie zal de uitvoering, toepassing en naleving van deze nieuwe bepalingen controleren om de doeltreffendheid ervan te beoordelen. De Commissie legt het Europees Parlement en de Raad uiterlijk vier jaar na de datum van toepassing van deze verordening een verslag over de evaluatie en de toetsing ervan voor.
• Artikelsgewijze toelichting
Inhoudsopgave
Hoofdstuk I bevat de doelstellingen van de verordening om de solidariteit op het niveau van de Unie te versterken met het oog op een betere opsporing van, en een betere voorbereiding en respons op, cyberdreigingen en -incidenten, en met name om de gemeenschappelijke opsporing en het situationeel bewustzijn van cyberdreigingen en -incidenten in de Unie te versterken, de paraatheid van in kritieke en zeer kritieke sectoren actieve entiteiten in de gehele Unie te vergroten en de solidariteit te versterken door gemeenschappelijke capaciteiten op het gebied van de respons op significante of grootschalige cyberbeveiligingsincidenten te ontwikkelen en de weerbaarheid van de Unie te vergroten door significante of grootschalige incidenten te evalueren en te beoordelen. In dit hoofdstuk worden ook de acties beschreven waarmee deze doelstellingen zullen worden verwezenlijkt: de uitrol van een Europees cyberschild, de instelling van een cybernoodmechanisme en de instelling van een evaluatiemechanisme voor cyberbeveiligingsincidenten. Het bevat ook de definities die in het instrument worden gebruikt.
In hoofdstuk II wordt het Europees cyberschild vastgesteld en worden de verschillende elementen en de voorwaarden voor deelname uiteengezet. Om te beginnen wordt de algemene doelstelling van het Europees cyberschild beschreven, namelijk de ontwikkeling van geavanceerde capaciteiten voor de Unie om gegevens over cyberdreigingen en -incidenten in de Unie op te sporen, te analyseren en te verwerken, alsook de specifieke operationele doelstellingen. Er wordt gespecificeerd dat de EU-financiering voor het Europees cyberschild zal worden uitgevoerd overeenkomstig de verordening tot oprichting van het programma Digitaal Europa.
Voorts wordt in dit hoofdstuk het soort entiteiten beschreven dat het Europees cyberschild zal vormen. Het schild zal bestaan uit nationale centra voor beveiligingsoperaties (“nationale SOC’s”) en landsgrensoverschrijdende centra voor beveiligingsoperaties (“landsgrensoverschrijdende SOC’s”). Elke deelnemende lidstaat wijst een nationaal SOC aan. Dit fungeert als referentiepunt en toegangspoort tot andere publieke en private organisaties op nationaal niveau voor het verzamelen en analyseren van informatie over cyberdreigingen en -incidenten en het bijdragen aan een landsgrensoverschrijdend SOC. Na een oproep tot het indienen van blijken van belangstelling kan het ECCC een nationaal SOC selecteren om samen met het ECCC deel te nemen aan een gezamenlijke aanbesteding van instrumenten en infrastructuur en om een subsidie te ontvangen voor het gebruik van de instrumenten en infrastructuur. Indien een nationaal SOC steun van de Unie ontvangt, verbindt het zich ertoe binnen twee jaar een aanvraag tot deelname aan een landsgrensoverschrijdende SOC in te dienen.
Landsgrensoverschrijdende SOC’s bestaan uit een consortium van ten minste drie lidstaten, vertegenwoordigd door nationale SOC’s, die zich ertoe verbinden samen te werken om hun activiteiten op het gebied van opsporing en controle van cyberdreigingen en -incidenten te coördineren. Na een eerste oproep tot het indienen van blijken van belangstelling kan het ECCC een onderbrengend consortium selecteren om samen met het ECCC deel te nemen aan een gezamenlijke aanbesteding van instrumenten en infrastructuur en om een subsidie voor het gebruik van de instrumenten en infrastructuur te ontvangen. De leden van het onderbrengend consortium sluiten een schriftelijke consortiumovereenkomst waarin hun interne regelingen zijn vastgelegd. In dit hoofdstuk worden vervolgens de vereisten beschreven voor het delen van informatie tussen de deelnemers aan een landsgrensoverschrijdend SOC, en voor het delen van informatie tussen een landsgrensoverschrijdend SOC en andere landsgrensoverschrijdende SOC’s, alsook met relevante EU-entiteiten. Nationale SOC’s die aan een landsgrensoverschrijdend SOC deelnemen, delen relevante informatie over cyberdreigingen met elkaar. De details, met inbegrip van de toezegging om aanzienlijke hoeveelheden gegevens te delen en de voorwaarden daarvoor, zouden in een consortiumovereenkomst moeten worden vastgelegd. Landsgrensoverschrijdende SOC’s zorgen voor een hoog niveau van onderlinge interoperabiliteit. Landsgrensoverschrijdende SOC’s zouden ook samenwerkingsovereenkomsten moeten sluiten met andere landsgrensoverschrijdende SOC’s, waarin de beginselen voor informatie-uitwisseling worden gespecificeerd. Wanneer landsgrensoverschrijdende SOC’s informatie verkrijgen over een mogelijk of lopend grootschalig cyberbeveiligingsincident, verstrekken zij relevante informatie aan EU-CyCLONe, het CSIRT-netwerk en de Commissie, met het oog op hun respectieve taken op het gebied van crisisbeheersing overeenkomstig Richtlijn (EU) 2022/2555. In hoofdstuk II worden tot slot de beveiligingsvoorwaarden voor deelname aan het Europees cyberschild gespecificeerd.
Bij hoofdstuk III wordt het cybernoodmechanisme ingesteld om de Unie weerbaarder te maken tegen grote cyberdreigingen en om in een geest van solidariteit de kortetermijngevolgen van significante en grootschalige cyberbeveiligingsincidenten of -crises te beperken en zich daarop voor te bereiden. Acties ter uitvoering van het cybernoodmechanisme worden ondersteund met financiering uit het programma Digitaal Europa. Het mechanisme voorziet in acties ter ondersteuning van de paraatheid, met inbegrip van gecoördineerde tests van in zeer kritieke sectoren actieve entiteiten, de respons op en het onmiddellijke herstel van significante of grootschalige cyberbeveiligingsincidenten of het beperken van significante cyberdreigingen, en wederzijdse-bijstandsacties.
De paraatheidsacties in het kader van het cybernoodmechanisme omvatten het gecoördineerd testen van de paraatheid van in zeer kritieke sectoren actieve entiteiten. De Commissie zou, na raadpleging van Enisa en de NIS-samenwerkingsgroep, regelmatig relevante sectoren of subsectoren van de in bijlage I bij Richtlijn (EU) 2022/2555 vermelde zeer kritieke sectoren moeten vaststellen, waaruit entiteiten aan de gecoördineerde paraatheidstests op EU-niveau kunnen worden onderworpen.
Voor de uitvoering van de voorgestelde responsacties bij incidenten wordt bij deze verordening een EU-cyberbeveiligingsreserve ingesteld, bestaande uit incidentresponsdiensten van betrouwbare aanbieders, geselecteerd volgens de in deze verordening vastgestelde criteria. Tot de gebruikers van de diensten van de EU-cyberbeveiligingsreserve behoren de cybercrisisbeheerautoriteiten en CSIRT’s van de lidstaten en de instellingen, organen en instanties van de Unie. De Commissie draagt de algemene verantwoordelijkheid voor de uitvoering van de EU-cyberbeveiligingsreserve en kan Enisa geheel of gedeeltelijk belasten met de werking en het beheer van de EU-cyberbeveiligingsreserve.
Om steun uit de EU-cyberbeveiligingsreserve te ontvangen, zouden de gebruikers zelf maatregelen moeten nemen om de gevolgen van het incident waarvoor om steun wordt verzocht, te beperken. De verzoeken om steun uit de EU-cyberbeveiligingsreserve zouden de nodige relevante informatie moeten bevatten over het incident en de maatregelen die de gebruikers reeds hebben genomen. In dit hoofdstuk worden ook de uitvoeringsmodaliteiten beschreven, met inbegrip van de beoordeling van verzoeken aan de EU-cyberbeveiligingsreserve.
De verordening voorziet ook in de aanbestedingsbeginselen en selectiecriteria met betrekking tot betrouwbare aanbieders van de EU-cyberbeveiligingsreserve.
Derde landen kunnen om steun uit de EU-cyberbeveiligingsreserve verzoeken indien de associatieovereenkomsten die zijn gesloten met betrekking tot hun deelname aan het programma Digitaal Europa daarin voorzien. In dit hoofdstuk worden nadere voorwaarden voor en modaliteiten van een dergelijke deelname beschreven.
Op verzoek van de Commissie, EU-CyCLONe of het CSIRT-netwerk moet Enisa dreigingen, kwetsbaarheden en mitigerende maatregelen met betrekking tot een specifiek significant of grootschalig cyberbeveiligingsincident evalueren en beoordelen. Enisa moet de evaluatie en beoordeling in de vorm van een evaluatieverslag over het incident verstrekken aan het CSIRT-netwerk, EU-CyCLONe en de Commissie om hen te ondersteunen bij het uitvoeren van hun taken. Als het incident betrekking heeft op een derde land, moet de Commissie het verslag delen met de hoge vertegenwoordiger. Het verslag zou geleerde lessen moeten bevatten en, in voorkomend geval, aanbevelingen om de cyberstrategie van de Unie te verbeteren.
Slotbepalingen (hoofdstuk V)
Hoofdstuk V bevat wijzigingen van de verordening tot oprichting van het programma Digitaal Europa en een verplichting voor de Commissie om met het oog op de evaluatie en herziening van de verordening regelmatig verslagen op te stellen en deze aan het Europees Parlement en de Raad voor te leggen. De Commissie is bevoegd om uitvoeringshandelingen vast te stellen overeenkomstig de in artikel 21 bedoelde onderzoeksprocedure teneinde: de voorwaarden voor deze interoperabiliteit tussen landsgrensoverschrijdende SOC’s te specificeren; de procedurele regelingen vast te stellen voor de uitwisseling tussen landsgrensoverschrijdende SOC’s en entiteiten van de Unie van informatie in verband met een mogelijk of lopend grootschalig cyberbeveiligingsincident; technische voorschriften vast te stellen om een hoog niveau van gegevensbeveiliging en fysieke beveiliging van de infrastructuur te waarborgen en de veiligheidsbelangen van de Unie te beschermen wanneer informatie wordt gedeeld met entiteiten die geen overheidsinstanties van de lidstaten zijn; de soorten en het aantal responsdiensten die nodig zijn voor de EU-cyberbeveiligingsreserve te specificeren; en de nadere regelingen voor de toewijzing van de ondersteunende diensten van de EU-cyberbeveiligingsreserve te specificeren.