Overwegingen bij COM(2023)208 - Wijziging van Verordening (EU) 2019/881 wat betreft beheerde beveiligingsdiensten

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

 
dossier COM(2023)208 - Wijziging van Verordening (EU) 2019/881 wat betreft beheerde beveiligingsdiensten.
document COM(2023)208 NLEN
datum 19 december 2024
 
(1) Verordening (EU) 2019/881 van het Europees Parlement en de Raad 7 voorziet in een kader voor de vaststelling van Europese cyberbeveiligingscertificeringsregelingen teneinde een toereikend cyberbeveiligingsniveau van ICT-producten, -diensten en -processen in de Unie te waarborgen, alsmede om versnippering van de interne markt wat betreft cyberbeveiligingscertificeringsregelingen in de Unie te vermijden.

(2) Beheerde beveiligingsdiensten, d.w.z. diensten die bestaan uit het uitvoeren van of het verlenen van bijstand bij activiteiten die verband houden met de beheersing van het cyberbeveiligingsrisico van hun klanten, zijn steeds belangrijker geworden bij de preventie en beperking van cyberbeveiligingsincidenten. De aanbieders van die diensten worden dan ook beschouwd als essentiële of belangrijke entiteiten die behoren tot een zeer kritieke sector overeenkomstig Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad 8 . In overweging 86 van die richtlijn staat dat aanbieders van beheerde beveiligingsdiensten op het gebied van bijvoorbeeld incidentrespons, penetratietesten, beveiligingsaudits en consultancy een bijzonder belangrijke rol spelen in het bijstaan van entiteiten bij hun inspanningen om incidenten te voorkomen, op te sporen, erop te reageren en ervan te herstellen. Aanbieders van beheerde beveiligingsdiensten zijn echter ook zelf het doelwit van cyberaanvallen geweest en vormen een bijzonder risico vanwege hun nauwe integratie in de activiteiten van hun klanten. Essentiële en belangrijke entiteiten in de zin van Richtlijn (EU) 2022/2555 moeten daarom nog meer zorgvuldigheid betrachten bij de selectie van een aanbieder van beheerde beveiligingsdiensten.

(3) Aanbieders van beheerde beveiligingsdiensten spelen ook een belangrijke rol in de EU-cyberbeveiligingsreserve, waarvan de geleidelijke totstandbrenging wordt ondersteund door Verordening (EU) …/…. [tot vaststelling van maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren] De EU-cyberbeveiligingsreserve moet worden gebruikt ter ondersteuning van responsacties en acties gericht op onmiddellijk herstel in geval van significante en grootschalige cyberbeveiligingsincidenten. Verordening (EU) .../... [tot vaststelling van maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren] voorziet in een selectieprocedure voor de aanbieders die de EU-cyberbeveiligingsreserve vormen, waarbij onder meer rekening moet worden gehouden met de vraag of de betrokken aanbieder een Europese of nationale cyberbeveiligingscertificering heeft verkregen. De relevante diensten die worden verleend door “betrouwbare aanbieders” overeenkomstig Verordening (EU) ..../..... [tot vaststelling van maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren], komen overeen met “beheerde beveiligingsdiensten” overeenkomstig deze verordening.

(4) Certificering van beheerde beveiligingsdiensten is niet alleen relevant bij de selectie voor de EU-cyberbeveiligingsreserve, maar is ook een essentiële kwaliteitsindicator voor particuliere en publieke entiteiten die van plan zijn dergelijke diensten aan te kopen. Gezien het kritieke karakter van beheerde beveiligingsdiensten en de gevoeligheid van de gegevens die in het kader daarvan worden verwerkt, kan certificering potentiële klanten belangrijke aanwijzingen en zekerheid bieden over de betrouwbaarheid van deze diensten. Europese certificeringsregelingen voor beheerde beveiligingsdiensten dragen ertoe bij versnippering van de interne markt te voorkomen. Deze verordening heeft derhalve tot doel de werking van de interne markt te verbeteren.

(5) Naast de uitrol van ICT-producten, -diensten of -processen bieden aanbieders van beheerde beveiligingsdiensten vaak aanvullende diensten die afhankelijk zijn van de competenties, deskundigheid en ervaring van hun personeel. Een zeer hoog niveau van deze competenties, deskundigheid en ervaring, alsmede passende interne procedures moeten deel uitmaken van de beveiligingsdoelstellingen om te waarborgen dat de verleende beheerde beveiligingsdiensten van zeer hoge kwaliteit zijn. Om ervoor te zorgen dat alle aspecten van een beheerde beveiligingsdienst onder een certificeringsregeling kunnen vallen, moet Verordening (EU) 2019/881 worden gewijzigd. 

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad en heeft op [DD/MM/JJJJ] advies uitgebracht.