Overwegingen bij COM(2023)209 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)209 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, ... |
|---|---|
| document | COM(2023)209   |
| datum | 19 december 2024 |
(2) De omvang, frequentie en impact van cyberbeveiligingsincidenten nemen toe, met inbegrip van aanvallen op toeleveringsketens (’supplychainaanvallen”) met het oog op cyberspionage, gijzelsoftware of verstoring. Zij vormen een grote bedreiging voor het functioneren van netwerk- en informatiesystemen. Gelet op het snel veranderende dreigingslandschap vereist de dreiging van mogelijke grootschalige incidenten die aanzienlijke verstoringen of schade aan kritieke infrastructuur veroorzaken, een grotere paraatheid op alle niveaus van het cyberbeveiligingskader van de Unie. Deze dreiging gaat verder dan de militaire agressie van Rusland tegen Oekraïne en zal waarschijnlijk aanhouden gezien het grote aantal staatsgebonden criminele en hacktivistische actoren die betrokken zijn bij de huidige geopolitieke spanningen. Dergelijke incidenten kunnen de verlening van openbare diensten en de uitoefening van economische activiteiten, ook in kritieke of zeer kritieke sectoren, belemmeren, aanzienlijke financiële verliezen veroorzaken, het vertrouwen van de gebruikers ondermijnen, grote schade toebrengen aan de economie van de Unie, en zelfs gevolgen voor de gezondheid of levensbedreigende gevolgen hebben. Bovendien zijn cyberbeveiligingsincidenten onvoorspelbaar, aangezien zij vaak zeer snel ontstaan en evolueren, niet beperkt zijn tot een specifiek geografisch gebied en zich gelijktijdig of onmiddellijk over vele landen verspreiden.
(3) De concurrentiepositie van de industrie en de dienstensector in de Unie in de gedigitaliseerde economie moet worden versterkt en de digitale transformatie ervan moet worden ondersteund door het niveau van cyberbeveiliging in de digitale eengemaakte markt te verhogen. Zoals aanbevolen in drie verschillende voorstellen van de Conferentie over de toekomst van Europa 16 , is het noodzakelijk om burgers, bedrijven en entiteiten die kritieke infrastructuur exploiteren weerbaarder te maken tegen de toenemende cyberbedreigingen, die verwoestende maatschappelijke en economische gevolgen kunnen hebben. Daarom is er behoefte aan investeringen in infrastructuur en diensten ter ondersteuning van een snellere opsporing van en respons op cyberdreigingen en -incidenten, en hebben de lidstaten bijstand nodig om zich beter voor te bereiden en beter te kunnen reageren op significante en grootschalige cyberbeveiligingsincidenten. De Unie zou ook haar capaciteit op deze gebieden moeten vergroten, met name wat betreft het verzamelen en analyseren van gegevens over cyberdreigingen en -incidenten.
(4) De Unie heeft reeds een aantal maatregelen genomen om kritieke infrastructuur en entiteiten minder kwetsbaar te maken voor en weerbaarder te maken tegen cyberbeveiligingsrisico’s, met name Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad 17 , Aanbeveling (EU) 2017/1584 van de Commissie 18 , Richtlijn 2013/40/EU van het Europees Parlement en de Raad 19 en Verordening (EU) 2019/881 van het Europees Parlement en de Raad 20 . Daarnaast wordt de lidstaten in de aanbeveling van de Raad betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken, verzocht dringende en doeltreffende maatregelen te nemen en loyaal, efficiënt, solidair en gecoördineerd met elkaar, de Commissie en andere relevante overheidsinstanties alsook de betrokken entiteiten samen te werken om kritieke infrastructuur die wordt gebruikt om essentiële diensten op de interne markt te verlenen weerbaarder te maken.
(5) De toenemende cyberbeveiligingsrisico’s en een algemeen complex dreigingslandschap, met een duidelijk risico dat cyberbeveiligingsincidenten snel overslaan van de ene lidstaat naar de andere en van een derde land naar de Unie, vereisen versterkte solidariteit op het niveau van de Unie om cyberdreigingen en -incidenten beter op te sporen en om er beter op voorbereid te zijn en beter op te kunnen reageren. De lidstaten hebben de Commissie ook verzocht om in de conclusies van de Raad over een EU-cyberstrategie 21 een voorstel voor een nieuw cyberbeveiligingsnoodfonds in te dienen.
(6) In de op 10 november 2022 aangenomen gezamenlijke mededeling over het EU-beleid op het gebied van cyberdefensie 22 werd een EU-initiatief voor cybersolidariteit aangekondigd met de volgende doelstellingen: versterken van de gemeenschappelijke capaciteiten van de EU op het gebied van opsporing, situationeel bewustzijn en respons door de uitrol van een EU-infrastructuur van centra voor beveiligingsoperaties (’sOC’s”) te bevorderen, de geleidelijke opbouw van een cyberbeveiligingsreserve op EU-niveau met diensten van betrouwbare particuliere aanbieders te ondersteunen en kritieke entiteiten op basis van EU-risicobeoordelingen op mogelijke kwetsbaarheden te testen.
(7) Het is noodzakelijk de opsporing en het situationeel bewustzijn van cyberdreigingen en -incidenten in de hele Unie te versterken en de solidariteit te versterken door de paraatheid van de lidstaten en de Unie voor, alsook hun vermogen om te reageren op, significante en grootschalige cyberbeveiligingsincidenten te verbeteren. Daarom zou een pan-Europese infrastructuur van SOC’s (Europees cyberschild) moeten worden uitgerold om gemeenschappelijke capaciteiten op het gebied van opsporing en situationeel bewustzijn op te bouwen en te versterken; er zou een cybernoodmechanisme moeten worden ingesteld om de lidstaten te ondersteunen bij de voorbereiding en respons op, en bij het onmiddellijke herstel van, significante en grootschalige cyberbeveiligingsincidenten; er zou een evaluatiemechanisme voor cyberbeveiligingsincidenten moeten worden ingesteld om specifieke significante of grootschalige incidenten te evalueren en te beoordelen. Deze acties laten de artikelen 107 en 108 van het Verdrag betreffende de werking van de Europese Unie (“VWEU”) onverlet.
(8) Om deze doelstellingen te bereiken, is het ook noodzakelijk Verordening (EU) 2021/694 van het Europees Parlement en de Raad 23 op bepaalde gebieden te wijzigen. Deze verordening zou met name Verordening (EU) 2021/694 wijzigen wat betreft de toevoeging van nieuwe operationele doelstellingen in verband met het Europees cyberschild en het cybernoodmechanisme in het kader van specifieke doelstelling 3 van het programma Digitaal Europa, dat erop gericht is de weerbaarheid, integriteit en betrouwbaarheid van de digitale eengemaakte markt te waarborgen, de capaciteit om cyberaanvallen en -dreigingen te monitoren en erop te reageren te versterken, en de landsgrensoverschrijdende samenwerking op het gebied van cyberbeveiliging te versterken. Dit zal worden aangevuld met de specifieke voorwaarden waaronder financiële steun voor deze acties kan worden verleend en de governance- en coördinatiemechanismen die nodig zijn om de beoogde doelstellingen te verwezenlijken, moeten worden vastgesteld. Andere wijzigingen van Verordening (EU) 2021/694 moeten beschrijvingen van voorgestelde acties in het kader van de nieuwe operationele doelstellingen omvatten, evenals meetbare indicatoren om de uitvoering van deze nieuwe operationele doelstellingen te monitoren.
(9) De financiering van acties in het kader van deze verordening moet worden voorzien in Verordening (EU) 2021/694, die de relevante basishandeling moet blijven voor deze acties die zijn vastgelegd in specifieke doelstelling 3 van het programma Digitaal Europa. Specifieke voorwaarden voor deelname aan elke actie zullen worden vastgesteld in de desbetreffende werkprogramma’s, overeenkomstig de toepasselijke bepaling van Verordening (EU) 2021/694.
(10) De horizontale financiële regels die het Europees Parlement en de Raad op grond van artikel 322 VWEU hebben vastgesteld, zijn op deze verordening van toepassing. Deze regels zijn vastgelegd in het Financieel Reglement en bepalen met name de procedure voor het opstellen en uitvoeren van de begroting van de Unie, en zij voorzien in controles op de verantwoordelijkheid van financiële actoren. De op grond van artikel 322 VWEU vastgestelde regels omvatten ook een algemeen conditionaliteitsregime ter bescherming van de Uniebegroting zoals vastgesteld in Verordening (EU, Euratom) 2020/2092 van het Europees Parlement en de Raad.
(11) Met het oog op een goed financieel beheer moeten specifieke regels worden vastgesteld voor de overdracht van ongebruikte vastleggings- en betalingskredieten. Met inachtneming van het beginsel dat de begroting van de Unie jaarlijks wordt vastgesteld, zou deze verordening, vanwege de onvoorspelbare, uitzonderlijke en specifieke aard van het cyberbeveiligingslandschap, moeten voorzien in mogelijkheden om ongebruikte middelen over te dragen naast de in het Financieel Reglement vastgestelde middelen, zodat de capaciteit van het cybernoodmechanisme om de lidstaten te ondersteunen bij de doeltreffende bestrijding van cyberdreigingen, wordt gemaximaliseerd.
(12) Om cyberdreigingen en -incidenten doeltreffender te voorkomen en te beoordelen en er doeltreffender op te reageren, is het noodzakelijk meer kennis te ontwikkelen over de bedreigingen voor kritieke activa en infrastructuur op het grondgebied van de Unie, met inbegrip van de geografische spreiding, interconnectie en mogelijke gevolgen ervan in geval van cyberaanvallen die deze infrastructuur treffen. Er moet een grootschalige EU-infrastructuur van SOC’s worden uitgerold (“het Europees cyberschild”), bestaande uit verscheidene interoperabele landsgrensoverschrijdende platforms, die elk verscheidene nationale SOC’s groeperen. Die infrastructuur moet de belangen en behoeften van de lidstaten en de Unie op het gebied van cyberbeveiliging dienen, door gebruik te maken van de modernste technologie voor geavanceerde instrumenten voor gegevensverzameling en -analyse, de capaciteit voor de opsporing en het beheer van cyberdreigingen en -incidenten te verbeteren en realtime situationeel bewustzijn te bieden. Die infrastructuur moet dienen om de opsporing van cyberdreigingen en -incidenten te verbeteren en aldus de entiteiten en netwerken van de Unie die verantwoordelijk zijn voor crisisbeheersing in de Unie, met name het Europees Netwerk van verbindingsorganisaties voor cybercrises (“EU-CyCLONe”), zoals gedefinieerd in Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad 24 , aan te vullen en te ondersteunen.
(13) Elke lidstaat moet een overheidsinstantie op nationaal niveau aanwijzen die belast is met de coördinatie van de activiteiten voor het opsporen van cyberdreigingen in die lidstaat. Deze nationale SOC’s moeten fungeren als referentiepunt en toegangspoort op nationaal niveau voor deelname aan het Europees cyberschild en moeten ervoor zorgen dat informatie over cyberdreigingen van publieke en private entiteiten op doeltreffende en gestroomlijnde wijze op nationaal niveau wordt gedeeld en verzameld.
(14) Als onderdeel van het Europees cyberschild moet een aantal landsgrensoverschrijdende centra voor cyberbeveiligingsoperaties (“landsgrensoverschrijdende SOC’s”) worden opgericht. Deze moeten de nationale SOC’s van ten minste drie lidstaten samenbrengen, om ten volle voordeel te halen uit de landsgrensoverschrijdende opsporing van dreigingen alsook uit informatie-uitwisseling en -beheer. De algemene doelstelling van landsgrensoverschrijdende SOC’s moet zijn: het versterken van de capaciteit voor het analyseren, voorkomen en opsporen van cyberdreigingen en het ondersteunen van de productie van hoogwaardige inlichtingen over cyberdreigingen, met name door het delen van gegevens uit diverse publieke of private bronnen, alsook door het delen en gezamenlijk gebruiken van geavanceerde instrumenten, en het gezamenlijk ontwikkelen van opsporings-, analyse- en preventiecapaciteiten in een betrouwbare omgeving. Zij moeten nieuwe aanvullende capaciteit bieden, voortbouwend en als aanvulling op bestaande SOC’s en Computer Security Incident Response Teams (CSIRT’s) en andere relevante actoren.
(15) Op nationaal niveau worden de monitoring, opsporing en analyse van cyberdreigingen doorgaans verzorgd door SOC’s van publieke en private entiteiten, in combinatie met CSIRT’s. Daarnaast wisselen CSIRT’s informatie uit in het kader van het CSIRT-netwerk, overeenkomstig Richtlijn (EU) 2022/2555. De landsgrensoverschrijdende SOC’s moeten een nieuwe capaciteit vormen die een aanvulling vormt op het CSIRT-netwerk door gegevens over cyberdreigingen van publieke en private entiteiten te bundelen en te delen, de waarde van die gegevens te vergroten door middel van deskundige analyses en gezamenlijk verworven infrastructuren en geavanceerde instrumenten, en bij te dragen tot de ontwikkeling van de capaciteiten en de technologische soevereiniteit van de Unie.
(16) De landsgrensoverschrijdende SOC’s moeten fungeren als centraal punt dat het mogelijk maakt relevante gegevens en informatie over cyberdreigingen breed te bundelen en dreigingsinformatie te verspreiden onder een grote en diverse groep actoren (bv. computercrisisresponsteams (“CERT’s”), CSIRT’s, centra voor informatie-uitwisseling en -analyse (“ISAC’s”), exploitanten van kritieke infrastructuur). De informatie die tussen deelnemers aan een landsgrensoverschrijdend SOC wordt uitgewisseld, kan onder meer bestaan uit gegevens afkomstig van netwerken en sensoren, informatiebronnen over dreigingen, indicatoren voor aantasting en gecontextualiseerde informatie over incidenten, dreigingen en kwetsbaarheden. Daarnaast moeten landsgrensoverschrijdende SOC’s ook samenwerkingsovereenkomsten sluiten met andere landsgrensoverschrijdende SOC’s.
(17) Een gedeeld situationeel bewustzijn onder de betrokken autoriteiten is een absolute voorwaarde voor paraatheid en coördinatie in de hele Unie met betrekking tot significante en grootschalige cyberbeveiligingsincidenten. Bij Richtlijn (EU) 2022/2555 wordt EU-CyCLONe opgericht om het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises op operationeel niveau te ondersteunen en om ervoor te zorgen dat relevante informatie regelmatig tussen de lidstaten en de instellingen, organen en instanties van de Unie wordt uitgewisseld. In Aanbeveling (EU) 2017/1584 inzake een gecoördineerde respons op grootschalige cyberbeveiligingsincidenten en -crises wordt ingegaan op de rol van alle relevante actoren. In richtlijn (EU) 2022/2555 wordt ook herinnerd aan de verantwoordelijkheden van de Commissie in het bij Besluit 1313/2013/EU van het Europees Parlement en de Raad ingestelde Uniemechanisme voor civiele bescherming, alsmede voor het verstrekken van analytische verslagen voor de geïntegreerde regeling politieke crisisrespons (IPCR) in het kader van Uitvoeringsbesluit (EU) 2018/1993. In situaties waarin landsgrensoverschrijdende SOC’s informatie verkrijgen over een mogelijk of lopend grootschalig cyberbeveiligingsincident, moeten zij daarom relevante informatie verstrekken aan EU-CyCLONe, het CSIRT-netwerk en de Commissie. Afhankelijk van de situatie kan de te delen informatie met name bestaan uit technische informatie, informatie over de aard en de motieven van de aanvaller of potentiële aanvaller, en niet-technische informatie op hoger niveau over een mogelijk of lopend grootschalig cyberbeveiligingsincident. In dit verband moet terdege rekening worden gehouden met het “need-to-know” -beginsel en met de mogelijk gevoelige aard van de gedeelde informatie.
(18) Entiteiten die deelnemen aan het Europees cyberschild moeten zorgen voor een hoog niveau van interoperabiliteit, onder meer, in voorkomend geval, wat betreft gegevensformaten, taxonomie, instrumenten voor gegevensverwerking en -analyse, en beveiligde communicatiekanalen, een minimumniveau van beveiliging van de applicatielaag, een dashboard voor situationeel bewustzijn en indicatoren. Bij de vaststelling van een gemeenschappelijke taxonomie en de ontwikkeling van een model voor situatieverslagen om de technische oorzaak en gevolgen van cyberbeveiligingsincidenten te beschrijven, moet rekening worden gehouden met de lopende werkzaamheden inzake de melding van incidenten in het kader van de uitvoering van Richtlijn (EU) 2022/2555.
(19) Om de grootschalige uitwisseling van gegevens over cyberdreigingen uit verschillende bronnen in een betrouwbare omgeving mogelijk te maken, moeten entiteiten die deelnemen aan het Europees cyberschild worden uitgerust met geavanceerde en zeer veilige instrumenten, apparatuur en infrastructuur. Dit moet het mogelijk maken de collectieve opsporingscapaciteit en de tijdige waarschuwingen aan autoriteiten en relevante entiteiten te verbeteren, met name door gebruik te maken van de nieuwste technologieën op het gebied van artificiële intelligentie (AI) en gegevensanalyse.
(20) Door gegevens te verzamelen , te delen en uit te wisselen, moet het Europees cyberschild de technologische soevereiniteit van de Unie versterken. De bundeling van hoogwaardige samengestelde gegevens moet ook bijdragen tot de ontwikkeling van geavanceerde technologieën op het gebied van artificiële intelligentie (AI) en gegevensanalyse. Dit moet worden vergemakkelijkt door het Europees cyberschild te verbinden met de pan-Europese high-performance computing-infrastructuur die is opgericht bij Verordening (EU) 2021/1173 van de Raad 25 .
(21) Hoewel het Europees cyberschild een civiel project is, zou de cyberdefensiegemeenschap kunnen profiteren van sterkere capaciteiten op het gebied van civiele opsporing en situationeel bewustzijn die zijn ontwikkeld voor de bescherming van kritieke infrastructuur. Landsgrensoverschrijdende SOC’s moeten, met steun van de Commissie en het Europees Kenniscentrum voor cyberbeveiliging (“ECCC”), en in samenwerking met de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid (de “hoge vertegenwoordiger”), geleidelijk specifieke protocollen en normen ontwikkelen om samenwerking met de cyberdefensiegemeenschap mogelijk te maken, met inbegrip van doorlichting en beveiligingsvoorwaarden. De ontwikkeling van het Europees cyberschild moet gepaard gaan met een reflectie die het mogelijk maakt om in de toekomst samen te werken met netwerken en platforms die verantwoordelijk zijn voor informatie-uitwisseling in de cyberdefensiegemeenschap, in nauwe samenwerking met de hoge vertegenwoordiger.
(22) De uitwisseling van informatie tussen deelnemers aan het Europees cyberschild moet in overeenstemming zijn met de bestaande wettelijke voorschriften en in het bijzonder met de uniale en nationale wetgeving inzake gegevensbescherming, alsook met de mededingingsregels van de Unie die van toepassing zijn op de uitwisseling van informatie. De ontvanger van de informatie moet, voor zover de verwerking van persoonsgegevens noodzakelijk is, technische en organisatorische maatregelen nemen om de rechten en vrijheden van de betrokkenen te beschermen, moet de gegevens vernietigen zodra zij niet langer nodig zijn voor het aangegeven doel, en moet de instantie die de gegevens ter beschikking stelt ervan in kennis stellen dat de gegevens zijn vernietigd.
(23) Onverminderd artikel 346 VWEU moet de uitwisseling van informatie die op grond van uniale of nationale regelgeving vertrouwelijk is, beperkt blijven tot informatie die relevant is voor en in verhouding staat tot het doel van die uitwisseling. Bij de uitwisseling van dergelijke informatie moet de vertrouwelijkheid van de informatie worden gewaarborgd en moeten de veiligheids- en commerciële belangen van de betrokken entiteiten worden beschermd, met volledige inachtneming van handels- en bedrijfsgeheimen.
(24) Gezien de toenemende risico’s en het groeiende aantal cyberbeveiligingsincidenten waarmee de lidstaten te maken krijgen, moet een instrument voor crisisondersteuning worden opgezet om de Unie weerbaarder te maken tegen significante en grootschalige cyberbeveiligingsincidenten en moeten de acties van de lidstaten worden aangevuld met financiële noodsteun voor paraatheid, respons en onmiddellijk herstel van essentiële diensten. Dat instrument moet het mogelijk maken om in welbepaalde omstandigheden en onder duidelijke voorwaarden snel bijstand te verlenen en om het gebruik van de middelen zorgvuldig te monitoren en te evalueren. Hoewel de primaire verantwoordelijkheid voor de preventie van, en voor de voorbereiding en respons op, cyberbeveiligingsincidenten en -crises bij de lidstaten ligt, bevordert het cybernoodmechanisme de solidariteit tussen de lidstaten overeenkomstig artikel 3, lid 3, van het Verdrag betreffende de Europese Unie (“VEU”).
(25) Het cybernoodmechanisme moet steun verlenen aan de lidstaten ter aanvulling van hun eigen maatregelen en middelen, en andere bestaande steunmogelijkheden in geval van respons op en onmiddellijk herstel van significante en grootschalige cyberbeveiligingsincidenten, zoals de diensten die het Agentschap van de Europese Unie voor cyberbeveiliging (“Enisa”) overeenkomstig zijn mandaat verleent, de gecoördineerde respons en de bijstand van het CSIRT-netwerk, de mitigatiesteun van EU-CyCLONe, alsook wederzijdse bijstand tussen de lidstaten, onder meer in het kader van artikel 42, lid 7, VEU, de snellereactieteams bij cyberbeveiligingsincidenten van de PESCO 26 en de snellereactieteams bij hybride dreigingen. Het moet voorzien in de noodzaak ervoor te zorgen dat er gespecialiseerde middelen beschikbaar zijn om de paraatheid voor en de respons op cyberbeveiligingsincidenten in de hele Unie en in derde landen te ondersteunen.
(26) Dit instrument doet geen afbreuk aan procedures en kaders voor de coördinatie van crisisrespons op het niveau van de Unie, met name het Uniemechanisme voor civiele bescherming 27 , de geïntegreerde EU-regeling politieke crisisrespons (IPCR 28 ,) en Richtlijn (EU) 2022/2555. Het kan bijdragen tot of een aanvulling vormen op acties die worden uitgevoerd in het kader van artikel 42, lid 7, VEU of in situaties als omschreven in artikel 222 VWEU. Het gebruik van dit instrument moet in voorkomend geval ook worden gecoördineerd met de uitvoering van de maatregelen van het instrumentarium voor cyberdiplomatie.
(27) De in het kader van deze verordening verleende bijstand moet de acties van de lidstaten op nationaal niveau ondersteunen en aanvullen. Daartoe moet worden gezorgd voor nauwe samenwerking en overleg tussen de Commissie en de getroffen lidstaat. Bij een verzoek om steun in het kader van het cybernoodmechanisme moet de lidstaat relevante informatie verstrekken die de noodzaak van de steun rechtvaardigt.
(28) Krachtens Richtlijn (EU) 2022/2555 moeten de lidstaten een of meer cybercrisisbeheerautoriteiten aanwijzen of oprichten en ervoor zorgen dat deze over voldoende middelen beschikken om hun taken doeltreffend en efficiënt uit te voeren. Ook moeten de lidstaten capaciteiten, middelen en procedures vaststellen die in geval van een crisis kunnen worden ingezet, en moeten zij een nationaal plan voor respons op grootschalige cyberbeveiligingsincidenten en -crises aannemen waarin de doelstellingen van en regelingen voor het beheer van grootschalige cyberbeveiligingsincidenten en -crises zijn uiteengezet. De lidstaten moeten ook een of meer CSIRT’s oprichten die belast zijn met de behandeling van incidenten volgens een welomschreven proces en die ten minste de sectoren, subsectoren en soorten entiteiten bestrijken die onder het toepassingsgebied van die richtlijn vallen, en moeten ervoor zorgen dat zij over voldoende middelen beschikken om hun taken doeltreffend uit te voeren. Deze verordening doet geen afbreuk aan de rol van de Commissie om ervoor te zorgen dat de lidstaten de verplichtingen van Richtlijn (EU) 2022/2555 nakomen. Het cybernoodmechanisme moet bijstand verlenen voor acties die gericht zijn op het verbeteren van de paraatheid en voor responsacties bij incidenten om de gevolgen van significante en grootschalige cyberbeveiligingsincidenten te beperken, onmiddellijk herstel te ondersteunen en/of de werking van essentiële diensten te herstellen.
(29) Om een consistente aanpak te bevorderen en de veiligheid in de hele Unie en haar interne markt te verbeteren, moet als onderdeel van de paraatheidsacties steun worden verleend voor het op gecoördineerde wijze testen en beoordelen van de cyberbeveiliging van entiteiten die actief zijn in sectoren die in Richtlijn (EU) 2022/2555 als zeer kritieke sectoren zijn aangemerkt. Daartoe moet de Commissie, met de steun van Enisa en in samenwerking met de bij Richtlijn (EU) 2022/2555 opgerichte NIS-samenwerkingsgroep, regelmatig relevante sectoren of subsectoren vaststellen die in aanmerking moeten komen om financiële steun te ontvangen voor gecoördineerde tests op het niveau van de Unie. De sectoren of subsectoren moeten worden gekozen uit bijlage I bij Richtlijn (EU) 2022/2555 (“zeer kritieke sectoren”). De gecoördineerde tests moeten gebaseerd zijn op gemeenschappelijke risicoscenario’s en -methoden. Bij de selectie van sectoren en de ontwikkeling van risicoscenario’s moet rekening worden gehouden met relevante Uniebrede risicobeoordelingen en risicoscenario’s, met inbegrip van de noodzaak om dubbel werk te voorkomen, zoals de risicobeoordeling en risicoscenario’s waarom wordt verzocht in de conclusies van de Raad over de ontwikkeling van de cyberstrategie van de Europese Unie en die door de Commissie, de hoge vertegenwoordiger en de NIS-samenwerkingsgroep moeten worden uitgevoerd, in coördinatie met de betrokken civiele en militaire organen en instanties en gevestigde netwerken, waaronder EU-CyCLONe, alsmede de risicobeoordeling van communicatienetwerken en -infrastructuur waarom is verzocht in het kader van de gezamenlijke ministeriële oproep van Nevers en die wordt uitgevoerd door de NIS-samenwerkingsgroep, met de steun van de Commissie en Enisa, en in samenwerking met het Orgaan van Europese regulerende instanties voor elektronische communicatie (Berec), de gecoördineerde risicobeoordelingen die moeten worden uitgevoerd krachtens artikel 22 van Richtlijn (EU) 2022/2555 en het testen van de digitale operationele weerbaarheid als bedoeld in Verordening (EU) 2022/2554 van het Europees Parlement en de Raad 29 . Bij de selectie van sectoren moet ook rekening worden gehouden met de aanbeveling van de Raad betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken.
(30) Daarnaast moet het cybernoodmechanisme steun bieden voor andere paraatheidsacties en de paraatheid ondersteunen in andere sectoren die niet vallen onder de gecoördineerde tests van in zeer kritieke sectoren actieve entiteiten. Deze acties kunnen verschillende soorten nationale paraatheidsactiviteiten omvatten.
(31) Het cybernoodmechanisme moet ook steun verlenen voor responsacties bij incidenten om de gevolgen van significante en grootschalige cyberbeveiligingsincidenten te beperken, onmiddellijk herstel te ondersteunen of de werking van essentiële diensten te herstellen. In voorkomend geval moet het het UCPM aanvullen om te zorgen voor een alomvattende aanpak van de gevolgen van cyberbeveiligingsincidenten voor de burgers.
(32) Het cybernoodmechanisme moet de door de lidstaten verleende bijstand aan een lidstaat die is getroffen door een significant of grootschalig cyberbeveiligingsincident steunen, onder meer via het in artikel 15 van Richtlijn (EU) 2022/2555 bedoelde CSIRT-netwerk. De lidstaten die bijstand verlenen, moeten kunnen verzoeken om dekking van de kosten in verband met het uitzenden van deskundigenteams in het kader van wederzijdse bijstand. De subsidiabele kosten kunnen de reis- en verblijfkosten en de dagvergoedingen van cyberbeveiligingsdeskundigen omvatten.
(33) Er moet geleidelijk een cyberbeveiligingsreserve op Unieniveau worden opgezet, bestaande uit diensten van particuliere aanbieders van beheerde beveiligingsdiensten ter ondersteuning van responsacties en acties gericht op onmiddellijk herstel in geval van significante of grootschalige cyberbeveiligingsincidenten. De EU-cyberbeveiligingsreserve moet de beschikbaarheid en paraatheid van de diensten waarborgen. De diensten van de EU-cyberbeveiligingsreserve moeten dienen om de nationale autoriteiten te ondersteunen bij het verlenen van bijstand aan getroffen in kritieke of zeer kritieke sectoren actieve entiteiten, als aanvulling op hun eigen acties op nationaal niveau. Bij een verzoek om steun uit de EU-cyberbeveiligingsreserve moeten de lidstaten specificeren welke steun op nationaal niveau aan de getroffen entiteit is verleend, waarmee rekening moet worden gehouden bij de beoordeling van het verzoek van de lidstaat. De diensten van de EU-cyberbeveiligingsreserve kunnen ook dienen ter ondersteuning van instellingen, organen en instanties van de Unie, onder vergelijkbare voorwaarden.
(34) Met het oog op de selectie van particuliere aanbieders die diensten verlenen in het kader van de EU-cyberbeveiligingsreserve moet een reeks minimumcriteria worden vastgesteld die moeten worden opgenomen in de aanbesteding voor de selectie van deze dienstverleners teneinde ervoor te zorgen dat wordt voldaan aan de behoeften van de autoriteiten van de lidstaten en de in kritieke of zeer kritieke sectoren actieve entiteiten.
(35) Om de oprichting van de EU-cyberbeveiligingsreserve te ondersteunen, zou de Commissie kunnen overwegen Enisa te verzoeken een potentiële certificeringsregeling overeenkomstig Verordening (EU) 2019/881 op te stellen voor beheerde beveiligingsdiensten op de gebieden die onder het cybernoodmechanisme vallen.
(36) Om de doelstellingen van deze verordening te ondersteunen, namelijk het bevorderen van gedeeld situationeel bewustzijn, het vergroten van de weerbaarheid van de Unie en het mogelijk maken van een doeltreffende respons op significante en grootschalige cyberbeveiligingsincidenten, moeten EU-CyCLONe, het CSIRT-netwerk of de Commissie Enisa kunnen verzoeken om dreigingen, kwetsbaarheden en mitigatiemaatregelen met betrekking tot een specifiek significant of grootschalig cyberbeveiligingsincident te evalueren en te beoordelen. Na de voltooiing van een evaluatie en beoordeling van een incident moet Enisa in samenwerking met relevante belanghebbenden, waaronder vertegenwoordigers van de particuliere sector, de lidstaten, de Commissie en andere relevante instellingen, organen en instanties van de EU een evaluatieverslag over het incident opstellen. Wat de particuliere sector betreft, ontwikkelt Enisa kanalen voor de uitwisseling van informatie met gespecialiseerde aanbieders, waaronder aanbieders van beheerde beveiligingsoplossingen en verkopers, om bij te dragen tot de opdracht van Enisa om in de hele Unie een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken. Voortbouwend op de samenwerking met belanghebbenden, met inbegrip van de particuliere sector, moet het evaluatieverslag over specifieke incidenten gericht zijn op het beoordelen van de oorzaken en gevolgen van een incident alsook de maatregelen om het incident te beperken nadat het zich heeft voorgedaan. Bijzondere aandacht dient uit te gaan naar de inbreng van, en de lessen die worden gedeeld door, de aanbieders van beheerde beveiligingsdiensten die voldoen aan de voorwaarden hoogste professionele integriteit, onpartijdigheid en vereiste technische deskundigheid, zoals in deze verordening vereist. Het verslag moet worden ingediend bij en als input dienen voor de werkzaamheden van EU-CyCLONe, het CSIRT-netwerk en de Commissie. Als het incident betrekking heeft op een derde land, zal de Commissie het verslag ook delen met de hoge vertegenwoordiger.
(37) Gezien de onvoorspelbare aard van cyberaanvallen en het feit dat deze vaak niet beperkt zijn tot een specifiek geografisch gebied en een groot risico op overloopeffecten inhouden, draagt de versterking van de weerbaarheid van buurlanden en hun capaciteit om doeltreffend te reageren op significante en grootschalige cyberbeveiligingsincidenten bij tot de bescherming van de Unie als geheel. Daarom kunnen met het programma Digitaal Europa geassocieerde derde landen steun ontvangen uit de EU-cyberbeveiligingsreserve indien daarin is voorzien in de desbetreffende associatieovereenkomst met het programma Digitaal Europa. De financiering voor geassocieerde derde landen moet door de Unie worden ondersteund in het kader van relevante partnerschappen en financieringsinstrumenten voor die landen. De steun moet betrekking hebben op diensten op het gebied van respons op en onmiddellijk herstel van significante of grootschalige cyberbeveiligingsincidenten. De in deze verordening vastgestelde voorwaarden voor de EU-cyberbeveiligingsreserve en betrouwbare aanbieders moeten gelden wanneer steun wordt verleend aan de met het programma Digitaal Europa geassocieerde derde landen.
(38) Om eenvormige voorwaarden voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de voorwaarden voor de interoperabiliteit tussen landsgrensoverschrijdende SOC’s te specificeren; de procedurele regelingen vast te stellen voor de uitwisseling van informatie in verband met een mogelijk of lopend grootschalig cyberbeveiligingsincident tussen landsgrensoverschrijdende SOC’s en entiteiten van de Unie; technische voorschriften vast te stellen om de beveiliging van het Europees cyberschild te waarborgen; de soorten en het aantal responsdiensten die nodig zijn voor de EU-cyberbeveiligingsreserve te specificeren; en de nadere regelingen voor de toewijzing van de ondersteunende diensten van de EU-cyberbeveiligingsreserve te specificeren. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad.
(39) De doelstelling van deze verordening kan beter op het niveau van de Unie dan door de lidstaten worden verwezenlijkt. De Unie kan derhalve maatregelen nemen overeenkomstig de in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde beginselen van subsidiariteit en evenredigheid. Deze verordening gaat niet verder dan wat nodig is om dat doel te bereiken.