Toelichting bij COM(2025)66 - EU-blauwdruk voor cyberbeveiligingscrisisbeheer - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2025)66 - EU-blauwdruk voor cyberbeveiligingscrisisbeheer. |
|---|---|
| bron | COM(2025)66 |
| datum | 24-02-2025 |
• Motivering en doel van het voorstel
“de Commissie op de huidige blauwdruk voor cyberbeveiliging snel te evalueren en op basis daarvan een herziene blauwdruk voor cyberbeveiliging voor te stellen in de vorm van een aanbeveling van de Raad waarin de huidige uitdagingen en het complexe cyberdreigingslandschap worden behandeld, bestaande netwerken worden versterkt, de samenwerking wordt geïntensiveerd en de muren tussen organisaties worden geslecht, waarbij in de eerste plaats van bestaande structuren wordt gebruikgemaakt. Voorts moet de herziene blauwdruk gebaseerd worden op beproefde leidende samenwerkingsbeginselen (evenredigheid, subsidiariteit, complementariteit en vertrouwelijkheid van informatie) en deze uitbreiden naar de hele levenscyclus van crisisbeheersing, alsook bijdragen tot onderlinge afstemming en verbetering van de beveiligde communicatie op het gebied van cyberbeveiliging. De herziene blauwdruk moet gegarandeerd verenigbaar zijn met bestaande kaders, zoals de IPCR, het EU-instrumentarium voor cyberdiplomatie, de EU-toolbox tegen hybride dreigingen, het crisisresponsprotocol van de rechtshandhavingsinstanties (Law Enforcement Emergency Response Protocol – LERP), opkomende kaders zoals de blauwdruk voor kritieke infrastructuur, sectorale procedures en algemene crisisbeheersingsstructuren binnen entiteiten van de Unie, waarbij ook de hoge vertegenwoordiger en Europol betrokken zijn. In deze herziene blauwdruk moet de rol van de Commissie, de hoge vertegenwoordiger en Enisa, in overeenstemming met hun respectieve bevoegdheden, met name gericht zijn op ondersteuning van horizontale coördinatie”.
Deze ontwerpaanbeveling van de Raad betreffende de blauwdruk van de Unie voor cyberbeveiligingscrisisbeheer (de “cyberblauwdruk”) heeft tot doel op duidelijke, eenvoudige en toegankelijke wijze het kader van de Europese Unie (EU) voor cyberbeveiligingscrisisbeheer te presenteren. Dit moet relevante actoren van de Unie (d.w.z. individuele entiteiten en netwerken van entiteiten op Unieniveau) in staat stellen te begrijpen hoe ze met elkaar kunnen interageren en optimaal gebruik kunnen maken van de beschikbare mechanismen gedurende de volledige levenscyclus van crisisbeheer. Ze beoogt uit te leggen wat een cybercrisis is en waardoor een cybercrisismechanisme op Unieniveau wordt getriggerd. Ze licht het gebruik toe van beschikbare mechanismen zoals het noodmechanisme voor cyberbeveiliging, waaronder de EU-cyberbeveiligingsreserve, bij de voorbereiding van het beheer van, de respons op en het herstel van een crisis die het gevolg is van een grootschalig cyberbeveiligingsincident. Voorts wil ze een meer gestructureerde samenwerking tussen civiele en militaire actoren bevorderen, met inbegrip van samenwerking met de Noord-Atlantische Verdragsorganisatie (NAVO), aangezien een grootschalig cyberincident met gevolgen voor civiele infrastructuur van de Unie waarvan de strijdkrachten afhankelijk zijn mogelijk ook responsmechanismen van de NAVO in werking doet treden.
De cyberblauwdruk is een niet-bindend instrument waarin specifieke acties voor relevante actoren in een cybercrisis worden vastgesteld en dat de algehele doeltreffendheid van het kader voor cybercrisisbeheer kan vergroten. Hij actualiseert de blauwdruk in Aanbeveling (EU) 2017/1584 van de Commissie inzake een gecoördineerde respons op grootschalige cyberbeveiligingsincidenten en -crises, en houdt rekening met de resultaten van en de lessen die zijn getrokken uit oefeningen op Unieniveau sinds de vaststelling van die aanbeveling. Hij maakt deel uit van bredere politieke prioriteiten op het gebied van paraatheid en beveiliging.
Overeenkomstig Richtlijn (EU) 2022/2555 (de “NIS 2-richtlijn”) is een “grootschalig cyberbeveiligingsincident” een incident dat leidt tot een verstoringsniveau dat te groot is om door een getroffen lidstaat alleen te worden verholpen of dat significante gevolgen heeft voor ten minste twee lidstaten. Afhankelijk van zijn oorzaak en impact kan een dergelijk incident escaleren en een volwaardige crisis worden die gevolgen heeft voor de goede werking van de interne markt of ernstige risico’s voor de openbare veiligheid en beveiliging met zich meebrengt voor entiteiten of burgers in verschillende lidstaten of in de Unie als geheel.
• Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Het voorstel is in overeenstemming met de relevante instrumenten van de Unie op cyberbeveiligingsgebied, met name de NIS 2-richtlijn en Verordening (EU) 2023/2841 tot vaststelling van maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie. Het is ook in overeenstemming met het kader van het Uniemechanisme voor civiele bescherming (UCPM), dat is ingesteld bij Besluit 1313/2013/EU van het Europees Parlement en de Raad, Uitvoeringsbesluit (EU) 2018/1993 inzake de geïntegreerde EU-regeling politieke crisisrespons (IPCR), en sectorale instrumenten voor situationeel bewustzijn en crisisbeheer, onder meer in de elektriciteitssector.
• Verenigbaarheid met andere beleidsterreinen van de Unie
De cyberblauwdruk vormt een aanvulling op en is in overeenstemming met de onlangs vastgestelde aanbeveling van de Raad betreffende een blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau te coördineren, aangezien deze laatste betrekking heeft op verstoringen in verband met fysieke niet-cyberweerbaarheid. Hij staat in nauwe wisselwerking met de crisisbeheermechanismen en -instrumenten van het gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB) en het gemeenschappelijk veiligheids- en defensiebeleid (GVDB), zoals uiteengezet in het strategisch kompas voor veiligheid en defensie van de Raad. Voorts kunnen initiatieven van de Unie ter bestrijding van cybercriminaliteit de doelstellingen van deze aanbeveling ondersteunen.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
Het voorstel is gebaseerd op artikel 292 VWEU, waarin de regels voor de vaststelling van aanbevelingen zijn vastgelegd.
Het voorstel vormt een aanvulling op het gehele wetgevingskader inzake cyberbeveiliging dat op Unieniveau is vastgesteld. Het voorstel heeft geen betrekking op het beheer van ernstige incidenten die gevolgen hebben voor entiteiten van de Unie in de zin van Verordening (EU) 2023/2841, die is vastgesteld op basis van artikel 298 VWEU. Het heeft echter wel betrekking op informatie-uitwisseling tussen entiteiten van de Unie en de lidstaten, met inbegrip van de bepalingen van Verordening (EU) 2023/2841 voor de vertegenwoordiger van de Commissie in de interinstitutionele raad voor cyberbeveiliging (IICB) als contactpunt om het voor de IICB gemakkelijker te maken informatie met betrekking tot ernstige incidenten te delen met het Europees netwerk van verbindingsorganisaties voor cybercrises EU-CyCLONe, als bijdrage aan het gedeeld situationeel bewustzijn.
• Subsidiariteit (bij niet-exclusieve bevoegdheid)
Hoewel het reageren op verstoringen van kritieke infrastructuur of van de diensten die worden verleend door essentiële en belangrijke entiteiten eerst en vooral de verantwoordelijkheid van de lidstaten is, kunnen bepaalde kwaadwillige grensoverschrijdende cyberactiviteiten kritieke informatie-infrastructuren waarvan de goede werking van de interne markt afhankelijk is, verstoren en beschadigen. Daarom speelt de Unie een belangrijke rol in geval van een significant incident of een crisis. Een dergelijke verstoring kan meerdere of zelfs alle onderdelen van de economische bedrijvigheid binnen de eengemaakte markt raken, en kan gevolgen voor de veiligheid en de internationale betrekkingen van de Unie hebben. Om de werking van de interne markt veilig te stellen, is coördinatie op Unieniveau in geval van verstoringen van kritieke infrastructuur met een aanzienlijk grensoverschrijdend effect niet alleen passend, maar ook noodzakelijk. Gecoördineerde respons op Unieniveau zal de respons van de lidstaten op de verstoring ondersteunen door middel van gedeeld situationeel bewustzijn, gecoördineerde publiekscommunicatie en het mitigeren van de gevolgen van de verstoring voor de interne markt.
• Evenredigheid
Dit voorstel is in overeenstemming met het evenredigheidsbeginsel van artikel 5, lid 4, van het Verdrag betreffende de Europese Unie. Noch de inhoud noch de vorm van deze voorgestelde aanbeveling van de Raad gaat verder dan wat nodig is om de doelstellingen daarvan te verwezenlijken. De voorgestelde acties zijn evenredig met de nagestreefde doelstellingen, die gericht zijn op een gecoördineerd beheer van cybercrises door de Unie.
• Keuze van het instrument
Om de bovengenoemde doelstellingen te verwezenlijken, voorziet het VWEU, met name in artikel 292, in de vaststelling door de Raad van aanbevelingen op basis van een voorstel van de Commissie. Overeenkomstig artikel 288 VWEU zijn aanbevelingen niet bindend. Een aanbeveling van de Raad is in dit geval een passend instrument, aangezien het de gehechtheid van de lidstaten aan de daarin opgenomen maatregel aangeeft en een sterke basis legt voor samenwerking bij de coördinatie van het beheer van grootschalige cyberbeveiligingsincidenten en -crises. Op die manier vormt de voorgestelde aanbeveling een aanvulling op het bindende rechtskader (met name de NIS 2-richtlijn).
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Raadpleging van belanghebbenden
Bij de ontwikkeling van dit voorstel heeft de Commissie overleg gepleegd over de herziening van de cyberblauwdruk en heeft zij de lidstaten en betrokken entiteiten van de Unie om input verzocht. Zij heeft rekening gehouden met de standpunten die door de deskundigen van de lidstaten en Enisa naar voren zijn gebracht tijdens een op 5 september 2024 gezamenlijk door de Commissie en Polen georganiseerde workshop in Karpacz.
De Commissie heeft tijdens vergaderingen in september 2024 vertegenwoordigers van de lidstaten geraadpleegd in het CSIRT-netwerk, EU‑CyCLONe en de NIS-samenwerkingsgroep en heeft schriftelijke bijdragen ingewacht.
De Commissie heeft het voorstel gepresenteerd en feedback van de Raad verzameld tijdens twee specifieke besprekingen in de Horizontale Groep cybervraagstukken in oktober en november 2024.
De Commissie heeft vertegenwoordigers van de particuliere sector, de lidstaten, de Europese Dienst voor extern optreden (EDEO) en Enisa geraadpleegd tijdens een workshop die in november 2024 in Brussel werd georganiseerd door de permanente vertegenwoordiging van Polen bij de EU.
De Commissie heeft betrokken entiteiten van de Unie geraadpleegd, namelijk de EDEO, Enisa, Europol en CERT-EU, onder meer via besprekingen op hoog niveau tijdens de vergaderingen van de taskforce voor cybercrises1 in juli en november 2024.
Er is consensus ontstaan over de noodzaak van een actueel, duidelijk, eenvoudig en operationeel document dat de betrokken actoren in staat stelt het kader voor cybercrisisbeheer te begrijpen en de beschikbare mechanismen doeltreffend te gebruiken. Er bestond ook consensus over de noodzaak om overlapping van instrumenten te voorkomen en goed gebruik te maken van de bestaande mechanismen op Unieniveau voor coördinatie, informatie-uitwisseling en respons, zonder nieuwe structuren te creëren of de interne standaardprocedures van bestaande netwerken en bestaande sectorale mechanismen te verstoren.