Verordening 2025/38 - Maatregelen ter versterking van de solidariteit en de capaciteit in de Unie om cyberdreigingen en -incidenten op te sporen, zich erop voor te bereiden en erop te reageren en tot wijziging van Verordening (EU) 2021/694 (verordening cybersolidariteit) - Hoofdinhoud

Publicatieblad

van de Europese Unie

NL

L-serie

2025/38

15.1.2025

Gelet op de steeds grotere onderlinge verbondenheid en afhankelijkheid van overheidsdiensten van de lidstaten, bedrijven en burgers, over sectoren en grenzen heen zijn het gebruik en de afhankelijkheid van informatie- en communicatietechnologieën fundamentele aspecten geworden van alle sectoren van de economische activiteit en de samenleving, waardoor tegelijkertijd mogelijke kwetsbaarheden ontstaan.

De omvang, frequentie en impact van cyberbeveiligingsincidenten, met inbegrip van aanvallen op toeleveringsketens ten behoeve van cyberspionage, gijzelsoftware of verstoring, nemen overal in de Unie en wereldwijd toe. Zij vormen een grote bedreiging voor het functioneren van netwerk- en informatiesystemen. Gelet op het snel veranderende dreigingslandschap vereist de dreiging van mogelijke grootschalige cyberbeveiligingsincidenten die aanzienlijke verstoringen of schade aan kritieke infrastructuur veroorzaken, een grotere paraatheid van het cyberbeveiligingskader van de Unie. Deze dreiging gaat verder dan de Russische aanvalsoorlog tegen Oekraïne en zal waarschijnlijk aanhouden gezien het grote aantal actoren die betrokken zijn bij de huidige geopolitieke spanningen. Dergelijke incidenten kunnen de verlening van openbare diensten belemmeren, aangezien cyberaanvallen vaak gericht zijn op lokale, regionale of nationale openbare diensten en infrastructuur, waarbij lokale overheden bijzonder kwetsbaar zijn, ook vanwege hun beperkte middelen. Zij kunnen ook de uitoefening van economische activiteiten, ook in zeer kritieke of andere kritieke sectoren, belemmeren, aanzienlijke financiële verliezen veroorzaken, het vertrouwen van de gebruikers ondermijnen, grote schade toebrengen aan de economie en de democratische systemen van de Unie, en zelfs gevolgen voor de gezondheid of levensbedreigende gevolgen hebben. Bovendien zijn cyberbeveiligingsincidenten onvoorspelbaar, aangezien zij vaak snel ontstaan en evolueren, niet beperkt zijn tot een specifiek geografisch gebied en zich gelijktijdig of onmiddellijk over vele landen verspreiden. Het is belangrijk dat de publieke sector, de private sector, de academische wereld, het maatschappelijk middenveld en de media nauw samenwerken.

Het is nodig de concurrentiepositie van de industrie- en dienstensector in de Unie in de gedigitaliseerde economie te versterken en de digitale transformatie ervan te ondersteunen door het niveau van cyberbeveiliging in de digitale eengemaakte markt te verhogen zoals aanbevolen in drie verschillende voorstellen van de Conferentie over de toekomst van Europa. Het is noodzakelijk om burgers, bedrijven, met inbegrip van micro-ondernemingen, kleine en middelgrote ondernemingen en start-ups, en entiteiten die kritieke infrastructuur exploiteren, weerbaarder te maken tegen de toenemende cyberbedreigingen, die verwoestende maatschappelijke en economische gevolgen kunnen hebben. Daarom is er behoefte aan investeringen in infrastructuur en diensten en capaciteitsopbouw voor het ontwikkelen van cyberbeveiligingsvaardigheden ter ondersteuning van een snellere opsporing van en respons op cyberdreigingen en -incidenten. Daarnaast hebben de lidstaten bijstand nodig om zich beter voor te bereiden en beter te kunnen reageren op significante en grootschalige cyberbeveiligingsincidenten, alsmede hebben zij bijstand nodig bij het initiële herstel van dergelijke incidenten. Voortbouwend op de bestaande structuren en in nauwe samenwerking daarmee moet de Unie ook haar capaciteit op deze gebieden vergroten, met name wat betreft het verzamelen en analyseren van gegevens over cyberdreigingen en -incidenten.

De Unie heeft reeds een aantal maatregelen genomen om kritieke infrastructuur en entiteiten minder kwetsbaar te maken voor en weerbaarder te maken tegen risico’s, met name Verordening (EU) 2019/881 van het Europees Parlement en de Raad (5), Richtlijnen 2013/40/EU (6) en (EU) 2022/2555 (7) van het Europees Parlement en de Raad en Aanbeveling (EU) 2017/1584 van de Commissie (8). Daarnaast wordt de lidstaten in de aanbeveling van de Raad van 8 december 2022 betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken, verzocht maatregelen te nemen, en met elkaar, de Commissie en andere relevante overheidsinstanties alsook de betrokken entiteiten samen te werken, om kritieke infrastructuur die wordt gebruikt om essentiële diensten op de interne markt te verlenen weerbaarder te maken.

De toenemende cyberbeveiligingsrisico’s en een algemeen complex dreigingslandschap, met een duidelijk risico dat beveiligingsincidenten snel overslaan van de ene lidstaat naar de andere en van een derde land naar de Unie, vereisen versterking van de solidariteit op het niveau van de Unie om cyberdreigingen en -incidenten beter op te sporen, er beter op voorbereid te zijn, er beter op te kunnen reageren en beter ervan te kunnen herstellen, met name door de capaciteiten van bestaande structuren te versterken. In de conclusies van de Raad van 23 mei 2022 over de ontwikkeling van de cyberstrategie van de Europese Unie werd de Commissie bovendien verzocht om een voorstel voor een nieuw cyberbeveiligingsnoodfonds in te dienen.

In de gezamenlijke mededeling van de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid van 10 november 2022 aan het Europees Parlement en de Raad over het EU-beleid op het gebied van cyberdefensie werd een EU-initiatief voor cybersolidariteit aangekondigd met de volgende doelstellingen: versterken van de gemeenschappelijke vermogens van de EU op het gebied van opsporing, situationeel bewustzijn en respons door de uitrol van een EU-infrastructuur van operationele beveiligingscentra (Security Operation Centres — SOC’s) te bevorderen, de geleidelijke totstandbrenging van een cyberreserve op EU-niveau met diensten van betrouwbare private aanbieders te ondersteunen en kritieke entiteiten op basis van EU-risicobeoordelingen op potentiële kwetsbaarheden te testen.

Het is noodzakelijk de opsporing en het situationeel bewustzijn van cyberdreigingen en -incidenten in de hele Unie te versterken en de solidariteit te versterken door de paraatheid van de lidstaten en de Unie voor, alsook hun capaciteit ter voorkoming van en om te reageren op significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten te versterken. Daarom moet een pan-Europees netwerk van cyberhubs (het “Europees waarschuwingssysteem voor cyberbeveiliging”) worden opgericht om gecoördineerde capaciteiten op het gebied van opsporing en situationeel bewustzijn op te bouwen, en de capaciteiten van de Unie op het gebied van opsporing van dreigingen en informatiedeling te versterken; een noodmechanisme voor cyberbeveiliging moet worden ingesteld om de lidstaten op hun verzoek te ondersteunen bij de voorbereiding en respons op, het beperken van de gevolgen van en het initiëren van het herstel van significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten, en om andere gebruikers te ondersteunen bij het reageren op significante cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten, en een Europees evaluatiemechanisme voor cyberbeveiligingsincidenten moet worden ingesteld om specifieke significante cyberbeveiligingsincidenten of grootschalige cyberbeveiligingsincidenten te evalueren en te beoordelen. De uit hoofde van deze verordening ondernomen acties moeten worden uitgevoerd met inachtneming van de bevoegdheden van de lidstaten en moeten een aanvulling vormen op, en geen herhaling zijn van, de activiteiten van het CSIRT-netwerk, het Europees netwerk van verbindingsorganisaties voor cybercrises (“EU-CyCLONe”) of de samenwerkingsgroep (de “NIS-samenwerkingsgroep”), die allen zijn opgericht bij Richtlijn (EU) 2022/2555. Die acties laten de artikelen 107 en 108 van het Verdrag betreffende de werking van de Europese Unie (“VWEU”) onverlet.

Om deze doelstellingen te bereiken is het noodzakelijk Verordening (EU) 2021/694 van het Europees Parlement en de Raad (9) op bepaalde gebieden te wijzigen. Deze verordening moet met name Verordening (EU) 2021/694 wijzigen wat betreft de toevoeging van nieuwe operationele doelstellingen in verband met het Europees waarschuwingssysteem voor cyberbeveiliging en het noodmechanisme voor cyberbeveiliging in het kader van specifieke doelstelling 3 van het programma Digitaal Europa, dat erop gericht is de weerbaarheid, integriteit en betrouwbaarheid van de digitale eengemaakte markt te waarborgen, de capaciteit om cyberaanvallen en -dreigingen te monitoren en erop te reageren te versterken, en de landsgrensoverschrijdende samenwerking en coördinatie op het gebied van cyberbeveiliging te versterken. Het Europees waarschuwingssysteem voor cyberbeveiliging kan een belangrijke rol spelen bij de ondersteuning van de lidstaten bij het anticiperen op en beschermen tegen cyberdreigingen, en de EU-cyberbeveiligingsreserve kan een belangrijke rol spelen bij de ondersteuning van de lidstaten, de instellingen, organen en instanties van de Unie en met het programma Digitaal Europa geassocieerde derde landen bij het reageren op en het beperken van de gevolgen van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten. Die gevolgen kunnen aanzienlijke materiële of immateriële schade en ernstige risico’s voor de openbare veiligheid en veiligheid omvatten. In het licht van de specifieke rol die het Europees waarschuwingssysteem voor cyberbeveiliging en de EU-cyberbeveiligingsreserve kunnen spelen, moet bij deze verordening Verordening (EU) 2021/694 worden gewijzigd wat betreft de deelname van juridische entiteiten die in de Unie zijn gevestigd maar onder zeggenschap staan van derde landen, wanneer er een reëel risico bestaat dat de nodige en toereikende instrumenten, infrastructuur en diensten, of technologie, expertise en capaciteit, niet beschikbaar zijn in de Unie en de voordelen van de deelname van dergelijke entiteiten zwaarder wegen dan het beveiligingsrisico. De specifieke voorwaarden waaronder financiële steun kan worden verleend voor acties ter uitvoering van het Europees waarschuwingssysteem voor cyberbeveiliging en de EU-cyberbeveiligingsreserve moeten worden vastgesteld en de governance- en coördinatiemechanismen die nodig zijn om de beoogde doelstellingen te verwezenlijken, moeten worden gedefinieerd. Andere wijzigingen van Verordening (EU) 2021/694 moeten beschrijvingen van voorgestelde acties in het kader van de nieuwe operationele doelstellingen omvatten, evenals meetbare indicatoren om de uitvoering van die nieuwe operationele doelstellingen te monitoren.

Om de respons van de Unie op cyberdreigingen en -incidenten te versterken, is samenwerking met internationale organisaties en betrouwbare en gelijkgestemde internationale partners van vitaal belang. In dit verband moeten als betrouwbare en gelijkgestemde internationale partners worden beschouwd de landen die de beginselen delen waarop de totstandbrenging van de Unie is geïnspireerd, namelijk de democratie, de rechtsstaat, de universaliteit en ondeelbaarheid van de mensenrechten en de fundamentele vrijheden, de eerbiediging van de menselijke waardigheid, de beginselen van gelijkheid en solidariteit en de eerbiediging van de beginselen van het Handvest van de Verenigde Naties en het internationaal recht, en die de essentiële veiligheidsbelangen van de Unie of haar lidstaten niet ondermijnen. Een dergelijke samenwerking zou ook nuttig kunnen zijn met betrekking tot de op grond van deze verordening ondernomen acties, met name het Europees waarschuwingssysteem voor cyberbeveiliging en de EU-cyberbeveiligingsreserve. Verordening (EU) 2021/694 moet bepalen dat, met inachtneming van bepaalde beschikbaarheids- en beveiligingsvoorwaarden, inschrijvingen voor aanbestedingen voor het Europees waarschuwingssysteem voor cyberbeveiliging en de EU-cyberbeveiligingsreserve openstaan voor juridische entiteiten die onder zeggenschap van derde landen staan, mits aan de vereisten op het gebied van beveiliging wordt voldaan. Bij de beoordeling van het beveiligingsrisico van het op deze wijze openstellen van de aanbesteding is het van belang rekening te houden met de beginselen en waarden die de Unie deelt met gelijkgestemde internationale partners, wanneer die beginselen en waarden verband houden met wezenlijke veiligheidsbelangen van de Unie. Wanneer dergelijke beveiligingsvereisten worden overwogen in het kader van Verordening (EU) 2021/694, kan bovendien rekening worden gehouden met verschillende elementen, zoals de bedrijfsstructuur en het besluitvormingsproces van een entiteit, de beveiliging van gegevens en gerubriceerde of gevoelige informatie en de garantie dat de resultaten van de actie niet worden gecontroleerd of beperkt door niet in aanmerking komende derde landen.

De financiering van acties uit hoofde van deze verordening moet worden bepaald in Verordening (EU) 2021/694, die de relevante basishandeling moet blijven voor de acties die zijn vastgelegd in specifieke doelstelling 3 van het programma Digitaal Europa. Specifieke voorwaarden voor deelname aan elke actie zullen worden vastgesteld in de desbetreffende werkprogramma’s, overeenkomstig Verordening (EU) 2021/694.

De horizontale financiële regels die het Europees Parlement en de Raad op grond van artikel 322 VWEU hebben vastgesteld, zijn op deze verordening van toepassing. Die regels zijn vastgelegd in Verordening (EU, Euratom) 2024/2506 van het Europees Parlement en de Raad (10) en bepalen met name de procedure voor het opstellen en uitvoeren van de begroting van de Unie, alsook voorzien in controles op de verantwoordelijkheid van financiële actoren. De op grond van artikel 322 VWEU vastgestelde regels omvatten ook een algemeen conditionaliteitsregime zoals vastgesteld in Verordening (EU, Euratom) 2020/2092 van het Europees Parlement en de Raad (11) ter bescherming van de Uniebegroting.

Hoewel preventie- en paraatheidsmaatregelen van essentieel belang zijn om de weerbaarheid van de Unie bij de aanpak van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten te vergroten, zijn het voorkomen, de timing en de omvang van dergelijke incidenten vanwege hun aard onvoorspelbaar. De financiële middelen die nodig zijn om een adequate respons te waarborgen, kunnen van jaar tot jaar aanzienlijk verschillen en moeten onmiddellijk ter beschikking kunnen worden gesteld. Om het begrotingsbeginsel van voorspelbaarheid te verzoenen met de noodzaak om snel te reageren op nieuwe behoeften is het vereist dat de financiële uitvoering van de werkprogramma’s dan ook wordt aangepast. Bijgevolg is het passend de overdracht van ongebruikte kredieten toe te staan, maar uitsluitend naar het volgende jaar en de EU-cyberbeveiligingsreserve en de acties ter ondersteuning van wederzijdse bijstand, in aanvulling op de overdracht van kredieten die zijn toegestaan krachtens artikel 12, lid 4, van Verordening (EU, Euratom) 2024/2509.

Om cyberdreigingen en -incidenten doeltreffender te voorkomen en te beoordelen, er doeltreffender op te reageren en ervan te herstellen, is het noodzakelijk meer kennis te ontwikkelen over de bedreigingen voor kritieke activa en infrastructuur op het grondgebied van de Unie, met inbegrip van de geografische spreiding, interconnectie en mogelijke gevolgen ervan in geval van cyberaanvallen die deze infrastructuur treffen. Een proactieve aanpak om cyberdreigingen aan het licht te brengen, te beperken en te voorkomen, omvat een verhoogd vermogen van geavanceerde opsporingscapaciteiten. Het Europees waarschuwingssysteem voor cyberbeveiliging moet bestaan uit verscheidene interoperabele landsgrensoverschrijdende cyberhubs, die elk drie of meer nationale cyberhubs groeperen. Die infrastructuur moet de belangen en behoeften van de lidstaten en de Unie op het gebied van cyberbeveiliging dienen, door gebruik te maken van de modernste technologie om relevante, en, in voorkomend geval geanonimiseerde, gegevens en informatie op geavanceerde wijze te verzamelen, en van instrumenten voor gegevensanalyse, door de capaciteit voor de gecoördineerde opsporing en het beheer van cyberdreigingen en -incidenten te verbeteren en door realtime situationeel bewustzijn te bieden. Die infrastructuur moet dienen om de strategie te verbeteren, door opsporing, aggregatie en de analyse van gegevens en informatie te versterken teneinde cyberdreigingen en -incidenten te voorkomen en aldus de entiteiten en netwerken van de Unie die verantwoordelijk zijn voor cybercrisisbeheersing in de Unie, met name EU-CyCLONe aan te vullen en te ondersteunen.

Deelname aan het Europees waarschuwingssysteem voor cyberbeveiliging is vrijwillig voor de lidstaten. Elke lidstaat moet één centrale entiteit op nationaal niveau aanwijzen die belast is met de coördinatie van de activiteiten voor het opsporen van cyberdreigingen in die lidstaat. Die nationale cyberhubs moeten fungeren als referentiepunt en toegangspoort op nationaal niveau voor deelname aan het Europees waarschuwingssysteem voor cyberbeveiliging en moeten ervoor zorgen dat informatie over cyberdreigingen van publieke en private entiteiten op doeltreffende en gestroomlijnde wijze op nationaal niveau wordt gedeeld en verzameld. Nationale cyberhubs kunnen de samenwerking en informatiedeling tussen publieke en private entiteiten versterken en kunnen ook de uitwisseling van relevante gegevens en informatie met relevante sectorale en sectoroverschrijdende gemeenschappen ondersteunen, met inbegrip van relevante centra voor sectorspecifieke informatie-uitwisseling en -analyse (“ISAC’s”). Nauwe en gecoördineerde samenwerking tussen publieke en private entiteiten is essentieel om de cyberweerbaarheid van de Unie te versterken. Dergelijke samenwerking is met name waardevol in de context van het delen van inlichtingen over cyberdreigingen om de actieve cyberbescherming te verbeteren. In het kader van dergelijke samenwerking en informatiedeling kunnen de nationale cyberhubs om specifieke informatie verzoeken en deze ontvangen. Die nationale cyberhubs zijn op grond van deze verordening niet verplicht of bevoegd om dergelijke verzoeken af te dwingen. In voorkomend geval en in overeenstemming met het Unie- en nationale recht kan de gevraagde of ontvangen informatie telemetrie-, sensor- en registratiegegevens omvatten van entiteiten, zoals aanbieders van beheerde beveiligingsdiensten, die actief zijn in zeer kritieke sectoren of andere kritieke sectoren binnen die lidstaat, teneinde de snelle opsporing van potentiële cyberdreigingen en -incidenten in een vroeger stadium te versterken en zo het situationele bewustzijn te verbeteren. Indien de nationale cyberhub niet de bevoegde autoriteit is die door de betrokken lidstaat is aangewezen of ingesteld uit hoofde van artikel 8, lid 1, van Richtlijn (EU) 2022/2555, is het van cruciaal belang dat de nationale cyberhub met die bevoegde autoriteit coördineert met betrekking tot verzoeken om dergelijke gegevens en de ontvangst ervan.

Als onderdeel van het Europees waarschuwingssysteem voor cyberbeveiliging moet een aantal landsgrensoverschrijdende cyberhubs worden opgericht. Die landsgrensoverschrijdende cyberhubs moeten de nationale cyberhubs van ten minste drie lidstaten samenbrengen, om ervoor te zorgen dat er ten volle voordeel wordt gehaald uit de landsgrensoverschrijdende opsporing van dreigingen en uit informatiedeling en -beheer. De algemene doelstelling van landsgrensoverschrijdende cyberhubs moet zijn: het versterken van de capaciteit voor het analyseren, voorkomen en opsporen van cyberdreigingen en het ondersteunen van de productie van hoogwaardige inlichtingen over cyberdreigingen, met name door het delen van relevante, en in voorkomend geval geanonimiseerde, gegevens in een betrouwbare en beveiligde omgeving, uit diverse publieke of private bronnen, alsook door het delen en gezamenlijk gebruiken van geavanceerde instrumenten, en het gezamenlijk ontwikkelen van opsporings-, analyse- en preventiecapaciteiten in een betrouwbare en beveiligde omgeving. Landsgrensoverschrijdende cyberhubs moeten nieuwe aanvullende capaciteit bieden, voortbouwend en als aanvulling op bestaande SOC’s, CSIRT’s en andere relevante actoren, waaronder het CSIRT-netwerk.

Een lidstaat die na een oproep tot het indienen van blijken van belangstelling door het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging (European Cybersecurity Industrial, Technology and Research Competence Centre — ECCC), dat is opgericht bij Verordening (EU) 2021/887 van het Europees Parlement en de Raad (12), wordt geselecteerd om een nationale cyberhub op te zetten of de capaciteiten ervan te versterken, moet samen met het ECCC relevante instrumenten, infrastructuur of diensten aankopen. Een dergelijke lidstaat moet in aanmerking komen voor een subsidie voor de exploitatie van de instrumenten, infrastructuur of diensten. Een onderbrengend consortium, bestaande uit tenminste drie lidstaten, dat door het ECCC is geselecteerd na een oproep tot het indienen van blijken van belangstelling om een landsgrensoverschrijdende cyberhub op te zetten of de capaciteiten ervan te versterken, moet samen met het ECCC relevante instrumenten, infrastructuur of diensten aankopen. Het onderbrengend consortium moet in aanmerking komen voor een subsidie voor de exploitatie van de instrumenten, infrastructuur of diensten. De aanbestedingsprocedure voor de aankoop van de relevante instrumenten, infrastructuur of diensten moet gezamenlijk worden uitgevoerd door het ECCC en desbetreffende aanbestedende diensten van de geselecteerde lidstaten, na dergelijke oproepen tot het indienen van blijken van belangstelling. Dergelijke aanbesteding moet artikel 168, lid 2, van Verordening (EU, Euratom) 2024/2509 en de financiële regels van het ECCC naleven. Private entiteiten mogen daarom niet in aanmerking komen voor deelname aan de oproepen tot het indienen van blijken van belangstelling om samen met het ECCC instrumenten, infrastructuur of diensten aan te kopen of om subsidies te ontvangen voor de exploitatie van die instrumenten, infrastructuren of diensten. De lidstaten moeten echter in staat zijn om private entiteiten te betrekken bij het opzetten, verbeteren en exploiteren van hun nationale cyberhubs en landsgrensoverschrijdende cyberhubs op andere manieren die zij passend achten, in overeenstemming met het Unie- en nationale recht. Private entiteiten kunnen ook in aanmerking komen voor Uniefinanciering op grond van Verordening (EU) 2021/887 met het oog op steunverlening aan nationale cyberhubs.

Om de opsporing van cyberdreigingen en het situationeel bewustzijn in de Unie te verbeteren, moet een lidstaat die na een oproep tot het indienen van blijken van belangstelling wordt geselecteerd om een nationale cyberhub op te zetten of de capaciteiten ervan te versterken, zich ertoe verbinden een aanvraag in te dienen om deel te nemen aan een landsgrensoverschrijdende cyberhub. Indien een lidstaat niet deelneemt aan een landsgrensoverschrijdende cyberhub binnen twee jaar na de datum waarop de instrumenten, infrastructuur of diensten zijn verworven of, indien dit eerder is, waarop de lidstaat subsidiefinanciering heeft ontvangen, mag de lidstaat niet in aanmerking komen voor aanvullende ondersteunende acties van de Unie in het kader van Europees waarschuwingssysteem voor cyberbeveiliging ter verbetering van de capaciteiten van zijn nationale cyberhub. In dergelijke gevallen kunnen entiteiten uit de lidstaten nog steeds deelnemen aan oproepen tot het indienen van voorstellen met betrekking tot andere onderwerpen in het kader van het programma Digitaal Europa of andere Europese financieringsprogramma’s, met inbegrip van oproepen voor capaciteit voor opsporing van cyberdreigingen en informatiedeling, mits die entiteiten voldoen aan de in die programma’s vastgestelde subsidiabiliteitscriteria.

CSIRT’s wisselen informatie in het CSIRT-netwerk overeenkomstig Richtlijn (EU) 2022/2555. Het Europees waarschuwingssysteem voor cyberbeveiliging moet een nieuwe capaciteit vormen die een aanvulling vormt op het CSIRT-netwerk door bij te dragen tot de ontwikkeling van een situationeel bewustzijn in de Unie waardoor de capaciteiten van het CSIRT-netwerk kunnen worden versterkt. Landsgrensoverschrijdende cyberhubs moeten coördineren en nauw samenwerken met het CSIRT-netwerk. Zij moeten optreden door gegevens te bundelen en relevante en, in voorkomend geval, geanonimiseerde informatie over cyberdreigingen van publieke en private entiteiten te delen, de waarde van dergelijke gegevens en informatie te vergroten door middel van deskundige analyses en gezamenlijk verworven infrastructuur en geavanceerde instrumenten, en door bij te dragen tot de technologische soevereiniteit, de open strategische autonomie, het concurrentievermogen en de weerbaarheid van de Unie, en tot de ontwikkeling van de capaciteiten van de Unie.

De landsgrensoverschrijdende cyberhubs moeten fungeren als centrale punten hetgeen toelaat relevante gegevens en inlichtingen over cyberdreigingen breed te bundelen, en het mogelijk maken dreigingsinformatie te verspreiden onder een grote en diverse groep belanghebbenden, zoals computercrisisresponsteams (“CERT’s”), CSIRT’s, ISAC’s en exploitanten van kritieke infrastructuur. De leden van een onderbrengend consortium moeten in de consortiumovereenkomst specificeren welke relevante informatie onder de deelnemers aan de betrokken landsgrensoverschrijdende cyberhub wordt gedeeld. De informatie die tussen deelnemers aan een landsgrensoverschrijdende cyberhub wordt uitgewisseld, kan onder meer bestaan uit gegevens afkomstig van netwerken en sensoren, informatiebronnen over dreigingen, indicatoren voor aantasting, en gecontextualiseerde informatie over incidenten, cyberdreigingen, bijna-incidenten, kwetsbaarheden, technieken en procedures, vijandige tactieken, dreigingsactorspecifieke informatie, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om cyberaanvallen op te sporen. Daarnaast moeten landsgrensoverschrijdende cyberhubs ook samenwerkingsovereenkomsten sluiten met elkaar. In dergelijke samenwerkingsovereenkomsten moeten met name beginselen voor informatiedeling en interoperabiliteit worden gespecificeerd. De clausules ervan inzake interoperabiliteit, met name modellen en protocollen voor het delen van informatie, moeten gebaseerd zijn op interoperabiliteitsrichtsnoeren die worden uitgevaardigd door het Agentschap van de Europese Unie voor cyberbeveiliging dat is opgericht bij Verordening (EU) 2019/881 (Enisa), die derhalve als uitgangspunt dienen. Die richtsnoeren moeten snel worden uitgevaardigd opdat landsgrensoverschrijdende cyberhubs er in een vroeg stadium rekening mee kunnen houden. Zij moeten rekening houden met internationale normen en beste praktijken, en de werking van gevestigde landsgrensoverschrijdende cyberhubs.

Landsgrensoverschrijdende cyberhubs en het CSIRT-netwerk moeten nauw samenwerken om synergieën en complementariteit van activiteiten te verzekeren. Daartoe moeten zij overeenstemming bereiken over procedurele regelingen voor samenwerking en het delen van relevante informatie. Dit kan onder meer inhouden dat relevante informatie over cyberdreigingen en significante cyberbeveiligingsincidenten wordt gedeeld en dat ervoor wordt gezorgd dat ervaringen met geavanceerde instrumenten, met name technologieën op het gebied van kunstmatige intelligentie en gegevensanalyse, die binnen de landsgrensoverschrijdende cyberhubs worden gebruikt, worden gedeeld met het CSIRT-netwerk.

Een gedeeld situationeel bewustzijn onder de betrokken autoriteiten is een absolute voorwaarde voor paraatheid en coördinatie in de hele Unie met betrekking tot significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten. Bij Richtlijn (EU) 2022/2555 is EU-CyCLONe opgericht om het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises op operationeel niveau te ondersteunen en om ervoor te zorgen dat relevante informatie regelmatig tussen de lidstaten en de instellingen, organen en instanties van de Unie wordt uitgewisseld. Richtlijn (EU) 2022/2555 heeft ook voorzien in de oprichting van een CSIRT-netwerk om een soepele en doeltreffende operationele samenwerking tussen alle lidstaten te bevorderen. Om situationeel bewustzijn te waarborgen en de solidariteit te versterken moeten landsgrensoverschrijdende cyberhubs in situaties waarin zij informatie verkrijgen over een mogelijk of lopend grootschalig cyberbeveiligingsincident, relevante informatie verstrekken aan het CSIRT-netwerk en, bij wijze van vroegtijdige waarschuwing, EU-CyCLONe in kennis stellen. Afhankelijk van de situatie kan de te delen informatie met name bestaan uit technische informatie, informatie over de aard en de motieven van de aanvaller of potentiële aanvaller, en niet-technische informatie op hoger niveau over een mogelijk of lopend grootschalig cyberbeveiligingsincident. In dit verband moet terdege rekening worden gehouden met het “need-to-know”-beginsel en met de mogelijk gevoelige aard van de gedeelde informatie. In richtlijn (EU) 2022/2555 wordt ook herinnerd aan de verantwoordelijkheden van de Commissie in het bij Besluit 1313/2013/EU van het Europees Parlement en de Raad (13) ingestelde Uniemechanisme voor civiele bescherming, alsmede voor het verstrekken van de analytische verslagen voor de geïntegreerde EU-regeling politieke crisisrespons (“IPCR-regeling”) in het kader van Uitvoeringsbesluit (EU) 2018/1993 van de Raad (14). Wanneer landsgrensoverschrijdende cyberhubs relevante informatie en vroegtijdige waarschuwingen in verband met een mogelijk of lopend grootschalig cyberbeveiligingsincident delen met EU-CyCLONe en het CSIRT-netwerk, is het van essentieel belang dat deze informatie via die netwerken wordt gedeeld met de autoriteiten van de lidstaten alsook met de Commissie. In dit verband voorziet Richtlijn (EU) 2022/2555 erin dat EU-CyCLONe tot doel heeft het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises op operationeel niveau te ondersteunen en ervoor te zorgen dat relevante informatie regelmatig tussen de lidstaten en de instellingen, organen en instanties van de Unie wordt uitgewisseld. Tot de taken van EU-CyCLONe behoort het ontwikkelen van een gedeeld situationeel bewustzijn voor dergelijke incidenten en crises. Het is van het grootste belang dat EU-CyCLONe, in overeenstemming met dat doel en zijn taken, ervoor zorgt dat dergelijke informatie onmiddellijk wordt verstrekt aan de relevante vertegenwoordigers van de lidstaten en aan de Commissie. Daartoe is het van cruciaal belang dat het reglement van orde van EU-CyCLONe passende bepalingen bevat.

Entiteiten die deelnemen aan het Europees waarschuwingssysteem voor cyberbeveiliging, moeten zorgen voor een hoog niveau van interoperabiliteit, onder meer, in voorkomend geval, wat betreft gegevensformaten, taxonomie, gegevensverwerking en instrumenten voor gegevensanalyse. Zij moeten ook zorgen voor beveiligde communicatiekanalen, een minimumniveau van beveiliging van de applicatielaag, een dashboard voor situationeel bewustzijn, en indicatoren. Bij de vaststelling van een gemeenschappelijke taxonomie en de ontwikkeling van een model voor situatieverslagen om de oorzaken van opgespoorde cyberdreigingen en -risico’s te beschrijven, moet rekening worden gehouden met de bestaande werkzaamheden die zijn gedaan in het kader van de uitvoering van Richtlijn (EU) 2022/2555.

Om de grootschalige uitwisseling van relevante gegevens en informatie over cyberdreigingen uit verschillende bronnen in een betrouwbare en beveiligde omgeving mogelijk te maken, moeten entiteiten die deelnemen aan het Europees waarschuwingssysteem voor cyberbeveiliging worden uitgerust met geavanceerde en zeer veilige instrumenten, apparatuur en infrastructuur, en gekwalificeerd personeel. Dit moet het mogelijk maken de collectieve opsporingscapaciteit en de tijdige waarschuwingen aan autoriteiten en relevante entiteiten te verbeteren, met name door gebruik te maken van de nieuwste technologieën op het gebied van artificiële intelligentie en gegevensanalyse.

Door relevante gegevens en informatie te verzamelen, te analyseren, te delen en uit te wisselen, moet het Europees waarschuwingssysteem voor cyberbeveiliging de technologische soevereiniteit, en de strategische autonomie op het gebied van cyberbeveiliging, het concurrentievermogen en de weerbaarheid, van de Unie versterken. De bundeling van hoogwaardige samengestelde gegevens kan ook bijdragen tot de ontwikkeling van geavanceerde technologieën op het gebied van artificiële intelligentie en gegevensanalyse. Menselijk toezicht en daarvoor geschoolde arbeidskrachten blijven van essentieel belang voor het effectief bundelen van gegevens van hoge kwaliteit.

Hoewel het Europees waarschuwingssysteem voor cyberbeveiliging een civiel project is, zou de cyberdefensiegemeenschap baat kunnen hebben bij sterkere capaciteiten op het gebied van civiele opsporing en situationeel bewustzijn die zijn ontwikkeld voor de bescherming van kritieke infrastructuur.

De informatiedeling tussen deelnemers aan het Europees waarschuwingssysteem voor cyberbeveiliging moet in overeenstemming zijn met de bestaande wettelijke voorschriften en in het bijzonder met het Unie- en nationale recht inzake gegevensbescherming, alsook met de mededingingsregels van de Unie die van toepassing zijn op de uitwisseling van informatie. De ontvanger van de informatie moet, voor zover de verwerking van persoonsgegevens noodzakelijk is, technische en organisatorische maatregelen nemen om de rechten en vrijheden van de betrokkenen te beschermen, en de gegevens vernietigen zodra zij niet langer nodig zijn voor het aangegeven doel en de entiteit die de gegevens ter beschikking stelt ervan in kennis stellen dat de gegevens zijn vernietigd.

Het waarborgen van vertrouwelijkheid en informatiebeveiliging is van het grootste belang voor alle drie de pijlers van deze verordening, of het nu gaat om het aanmoedigen van het delen of uitwisselen van informatie in het kader van het Europees waarschuwingssysteem voor cyberbeveiliging, om het beschermen van de belangen van de entiteiten die steun aanvragen in het kader van het noodmechanisme voor cyberbeveiliging, of om ervoor te zorgen dat verslagen in het kader van het Europees evaluatiemechanisme voor cyberbeveiligingsincidenten nuttige informatie kunnen opleveren waaruit lering kan worden getrokken zonder negatieve gevolgen te hebben voor de door de incidenten getroffen entiteiten. De deelname van lidstaten en entiteiten aan die mechanismen is afhankelijk van de vertrouwensrelatie tussen hun componenten. Wanneer informatie vertrouwelijk is op grond van Unie- of nationale voorschriften, moet de deling of uitwisseling ervan uit hoofde van deze verordening beperkt blijven tot hetgeen relevant is voor en evenredig is aan het doel van de deling of uitwisseling. Bij die deling of uitwisseling van informatie moet de vertrouwelijkheid van die informatie gewaarborgd worden en de veiligheids- en commerciële belangen van de betrokken entiteiten beschermd worden. Informatiedeling of -uitwisseling op grond van deze verordening kan plaatsvinden aan de hand van geheimhoudingsovereenkomsten of richtsnoeren voor de verspreiding van informatie, zoals het verkeerslichtprotocol. Onder het verkeerslichtprotocol moet worden verstaan een middel om informatie te verstrekken over beperkingen ten aanzien van de verdere verspreiding van informatie. Het wordt in bijna alle CSIRT’s en in enkele ISAC’s gebruikt. Naast die algemene vereisten moeten, wat het Europees waarschuwingssysteem voor cyberbeveiliging betreft, in overeenkomsten met onderbrengende consortia specifieke regels worden vastgesteld met betrekking tot de voorwaarden voor informatiedeling binnen de betreffende landsgrensoverschrijdende cyberhub. Die overeenkomsten zouden met name kunnen vereisen dat informatie alleen wordt uitgewisseld in overeenstemming met het Unie- en nationale recht.

Met betrekking tot de uitrol van de EU-cyberbeveiligingsreserve zijn specifieke vertrouwelijkheidsregels nodig. Steun zal worden gevraagd, beoordeeld en verleend in een crisiscontext en met betrekking tot entiteiten die actief zijn in gevoelige sectoren. Voor een doeltreffende werking van de EU-cyberbeveiligingsreserve is het van essentieel belang dat gebruikers en entiteiten onverwijld alle informatie kunnen delen en toegankelijk maken die elke entiteit nodig heeft om haar rol te spelen bij de beoordeling van verzoeken om en de aanwending van steun. Dienovereenkomstig moet in deze verordening worden bepaald dat al dergelijke informatie alleen wordt gebruikt of gedeeld wanneer dat nodig is voor de werking van de EU-cyberbeveiligingsreserve, en dat informatie die vertrouwelijk is of gerubriceerd op grond van het Unie- en nationale recht uitsluitend in overeenstemming met dat recht mag worden gebruikt en gedeeld. Daarnaast moeten gebruikers in voorkomend geval gebruik kunnen maken van protocollen voor het delen van informatie, zoals het verkeerslichtprotocol, om beperkingen nader te specificeren. Hoewel de gebruikers in dit verband over discretionaire bevoegdheid beschikken, is het belangrijk dat zij bij de toepassing van dergelijke beperkingen rekening houden met de mogelijke gevolgen, met name wat betreft de vertraagde beoordeling of levering van de gevraagde diensten. Met het oog op een efficiënte EU-cyberbeveiligingsreserve is het belangrijk dat de aanbestedende dienst deze gevolgen voor de gebruiker verduidelijkt voordat hij een verzoek indient. Die waarborgen zijn beperkt tot het verzoek om, en de verlening van, diensten van de EU-cyberbeveiligingsreserve en hebben geen invloed op de informatie-uitwisseling in andere kaders, zoals bij de aanbesteding van de EU-cyberbeveiligingsreserve.

Gezien de toenemende risico’s en het groeiende aantal incidenten waarmee de lidstaten te maken krijgen, moet een instrument voor crisisondersteuning worden opgezet, namelijk het noodmechanisme voor cyberbeveiliging, om de Unie weerbaarder te maken tegen significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten en moeten de acties van de lidstaten worden aangevuld met financiële noodsteun voor paraatheid, respons op incidenten en initieel herstel van essentiële diensten. Aangezien het volledig herstel van een incident een uitgebreid proces is waarbij de werking van de door het incident getroffen entiteit wordt hersteld in de toestand van vóór het incident en een langdurig proces kan zijn dat aanzienlijke kosten met zich meebrengt, moet de steun uit de EU-cyberbeveiligingsreserve worden beperkt tot de eerste fase van het herstelproces, hetgeen moet leiden tot het herstel van de basisfuncties van de systemen. Het noodmechanisme voor cyberbeveiliging moet het mogelijk maken om in welbepaalde omstandigheden en onder duidelijke voorwaarden snel en doeltreffend bijstand te verlenen en om het gebruik van de middelen zorgvuldig te monitoren en te evalueren. Hoewel de primaire verantwoordelijkheid voor de preventie van, en voor de voorbereiding en respons op, incidenten en crises bij de lidstaten ligt, bevordert het noodmechanisme voor cyberbeveiliging de solidariteit tussen de lidstaten overeenkomstig artikel 3, lid 3, van het Verdrag betreffende de Europese Unie (VEU).

Het noodmechanisme voor cyberbeveiliging moet steun verlenen aan de lidstaten ter aanvulling van hun eigen maatregelen en middelen, en andere bestaande steunmogelijkheden in geval van respons op en initieel herstel van significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten, zoals de diensten die Enisa overeenkomstig zijn mandaat verleent, de gecoördineerde respons en de bijstand van het CSIRT-netwerk, de mitigatiesteun van EU-CyCLONe, alsook wederzijdse bijstand tussen de lidstaten waaronder, in het kader van artikel 42, lid 7, VEU, en de op grond van Besluit (GBVB) 2017/2315 van de Raad (15) opgerichte snellereactieteams bij cyberbeveiligingsincidenten van de permanente gestructureerde samenwerking (PESCO). Het moet voorzien in de noodzaak ervoor te zorgen dat er gespecialiseerde middelen beschikbaar zijn om de paraatheid voor, de respons op en het herstel na dergelijke incidenten in de hele Unie en in met het programma Digitaal Europa geassocieerde derde landen te ondersteunen.

Deze verordening doet geen afbreuk aan procedures en kaders voor de coördinatie van crisisrespons op het niveau van de Unie, met name Richtlijn (EU) 2022/2555, het Uniemechanisme voor civiele bescherming, dat is ingesteld bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad (16), de IPCR-regeling en Aanbeveling (EU) 2017/1584 van de Commissie (17). Steun die wordt verleend in het kader van het noodmechanisme voor cyberbeveiliging, kan een aanvulling vormen op de bijstand die wordt verleend in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid en het gemeenschappelijk veiligheids- en defensiebeleid, onder meer via de snellereactieteams bij cyberbeveiligingsincidenten, waarbij rekening gehouden wordt met de civiele aard van het noodmechanisme voor cyberbeveiliging. Steun die wordt verleend uit hoofde van het noodmechanisme voor cyberbeveiliging, kan een aanvulling vormen op acties die worden uitgevoerd in het kader van artikel 42, lid 7, VEU, met inbegrip van bijstand die door een lidstaat aan een andere lidstaat wordt verleend, of deel uitmaken van de gezamenlijke respons van de Unie en de lidstaten of in situaties als bedoeld in artikel 222 VWEU. De uitvoering van deze verordening moet in voorkomend geval ook worden gecoördineerd met de uitvoering van de maatregelen in het kader van het instrumentarium voor cyberdiplomatie.

De uit hoofde van deze verordening verleende bijstand moet de acties van de lidstaten op nationaal niveau ondersteunen en aanvullen. Daartoe moet worden gezorgd voor nauwe samenwerking en overleg tussen de Commissie, Enisa, de lidstaten en, in voorkomend geval, het ECCC. Bij een verzoek om steun in het kader van het noodmechanisme voor cyberbeveiliging moeten de lidstaten relevante informatie verstrekken die de noodzaak van de steun rechtvaardigt.

Richtlijn (EU) 2022/2555 vereist van de lidstaten dat zij een of meer cybercrisisbeheerautoriteiten aanwijzen of oprichten en ervoor zorgen dat deze over voldoende middelen beschikken om hun taken doeltreffend en efficiënt uit te voeren. Ook vereist die richtlijn van de lidstaten dat zij capaciteiten, middelen en procedures vaststellen die in geval van een crisis kunnen worden ingezet, alsook dat zij een nationaal plan voor respons op grootschalige cyberbeveiligingsincidenten en -crises aannemen waarin de doelstellingen van en regelingen voor het beheer van grootschalige cyberbeveiligingsincidenten en -crises zijn uiteengezet. De lidstaten wordt ook voorgeschreven dat zij een of meer CSIRT’s oprichten die belast zijn met de behandeling van incidenten volgens een welomschreven proces en die ten minste de sectoren, subsectoren en soorten entiteiten bestrijken die onder het toepassingsgebied van die richtlijn vallen, en ervoor zorgen dat zij over voldoende middelen beschikken om hun taken doeltreffend uit te voeren. Deze verordening doet geen afbreuk aan de rol van de Commissie om ervoor te zorgen dat de lidstaten de verplichtingen van Richtlijn (EU) 2022/2555 nakomen. Het noodmechanisme voor cyberbeveiliging moet bijstand verlenen voor acties die gericht zijn op het verbeteren van de paraatheid en voor responsacties bij incidenten om de gevolgen van significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten te beperken, initieel herstel te ondersteunen of de basisfuncties van diensten van in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten te herstellen.

Om een consistente aanpak te bevorderen en de veiligheid in de hele Unie en haar interne markt te verbeteren, moet, als onderdeel van de paraatheidsacties, steun worden verleend voor het op gecoördineerde wijze testen en beoordelen van de cyberbeveiliging van op grond van Richtlijn (EU) 2022/2555 aangemerkte in zeer kritieke sectoren actieve entiteiten, onder meer door middel van oefening en opleiding. Daartoe moet de Commissie, na raadpleging van Enisa, de NIS-samenwerkingsgroep en EU-CyCLONe, regelmatig relevante sectoren of subsectoren vaststellen die in aanmerking moeten komen om financiële steun te ontvangen voor gecoördineerde paraatheidstests op het niveau van de Unie. De sectoren of subsectoren moeten worden gekozen uit de zeer kritieke sectoren die zijn opgesomd in bijlage I bij Richtlijn (EU) 2022/2555. De gecoördineerde paraatheidstests moeten gebaseerd zijn op gemeenschappelijke risicoscenario’s en -methoden. Bij de selectie van sectoren en de ontwikkeling van risicoscenario’s moet rekening worden gehouden met relevante Uniebrede risicobeoordelingen en risicoscenario’s, met inbegrip van de noodzaak om dubbel werk te voorkomen, zoals de risicobeoordeling en risicoscenario’s waarom wordt verzocht in de conclusies van de Raad over de ontwikkeling van de cyberstrategie van de Europese Unie die door de Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid (de “hoge vertegenwoordiger”) en de NIS-samenwerkingsgroep wordt uitgevoerd, in coördinatie met betrokken civiele en militaire organen en instanties en gevestigde netwerken, waaronder EU-CyCLONe, alsmede de risicobeoordeling van communicatienetwerken en -infrastructuur waarom is verzocht in het kader van de gezamenlijke ministeriële oproep van Nevers en die wordt uitgevoerd door de NIS-samenwerkingsgroep, met de steun van de Commissie en Enisa, en in samenwerking met het Orgaan van Europese regulerende instanties voor elektronische communicatie dat is opgericht bij Verordening (EU) 2018/1971 van het Europees Parlement en de Raad (18), de op Unieniveau gecoördineerde risicobeoordelingen van kritieke toeleveringsketens die moeten worden uitgevoerd krachtens artikel 22 van Richtlijn (EU) 2022/2555 en het testen van de digitale operationele weerbaarheid als bepaald in Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (19). Bij de selectie van sectoren moet ook rekening worden gehouden met de aanbeveling van de Raad betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken.

Daarnaast moet het noodmechanisme voor cyberbeveiliging steun bieden voor andere paraatheidsacties en de paraatheid ondersteunen in andere sectoren die niet vallen onder de gecoördineerde paraatheidstests van in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten. Deze acties kunnen verschillende soorten nationale paraatheidsactiviteiten omvatten.

Wanneer de lidstaten subsidies ontvangen ter ondersteuning van paraatheidsacties, kunnen entiteiten in zeer kritieke sectoren op vrijwillige basis aan die acties deelnemen. Het geldt als goede praktijk dat de deelnemende entiteiten na dergelijke acties een saneringsplan opstellen om alle daaruit voortvloeiende aanbevelingen van specifieke maatregelen uit te voeren om zo veel mogelijk voordeel uit de paraatheidsactie te halen. Hoewel het belangrijk is dat de lidstaten in het kader van de acties erom verzoeken dat deelnemende entiteiten dergelijke herstelplannen opstellen en uitvoeren, zijn de lidstaten op grond van deze verordening niet verplicht of bevoegd om dergelijke verzoeken af te dwingen. Dergelijke verzoeken doen geen afbreuk aan de vereisten voor entiteiten en toezichtbevoegdheden voor bevoegde autoriteiten in overeenstemming met Richtlijn (EU) 2022/2555.

Het noodmechanisme voor cyberbeveiliging moet ook steun verlenen voor responsacties bij incidenten om de gevolgen van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten te beperken, initieel herstel te ondersteunen of de werking van essentiële diensten te herstellen. In voorkomend geval moet het noodmechanisme voor cyberbeveiliging het Uniemechanisme voor civiele bescherming aanvullen om te zorgen voor een alomvattende aanpak van de gevolgen van incidenten voor de burgers.

Het noodmechanisme voor cyberbeveiliging moet de door een lidstaat verleende technische bijstand aan een andere lidstaat die is getroffen door een significant cyberbeveiligingsincident of grootschalig cyberbeveiligingsincident steunen, onder meer via de in artikel 11, lid 3, punt f), van Richtlijn (EU) 2022/2555 bedoelde CSIRT’s. De lidstaten die dergelijke bijstand verlenen, moeten kunnen verzoeken om dekking van de kosten in verband met het uitzenden van deskundigenteams in het kader van wederzijdse bijstand. De subsidiabele kosten kunnen reis- en verblijfkosten en dagvergoedingen van cyberbeveiligingsdeskundigen omvatten.

Gezien de essentiële rol die private bedrijven spelen bij de opsporing van, paraatheid voor en respons op grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten, is het belangrijk de waarde te erkennen van vrijwillige pro-bonosamenwerking met dergelijke bedrijven, waarbij zij zonder vergoeding diensten aanbieden in geval van grootschalige cyberbeveiligingsincidenten en -crises en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten en -crises. Enisa kan, in samenwerking met EU-CyCLONe, de ontwikkeling van dergelijke pro-bono-initiatieven kunnen monitoren en kunnen bevorderen dat deze voldoen aan de criteria die op grond van deze verordening van toepassing zijn op betrouwbare aanbieders van beheerde beveiligingsdiensten, onder meer met betrekking tot de betrouwbaarheid van private bedrijven, hun ervaring en het vermogen om gevoelige informatie op een veilige manier te verwerken.

Als onderdeel van het noodmechanisme voor cyberbeveiliging moet geleidelijk een EU-cyberbeveiligingsreserve worden opgezet, bestaande uit betrouwbare aanbieders van beheerde beveiligingsdiensten van, ter ondersteuning van responsacties en acties gericht op initieel herstel in geval van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten of aan grootschalig cyberbeveiligingsincidenten gelijkwaardige incidenten die gevolgen hebben voor de lidstaten, de instellingen, organen of instanties van de Unie of met het programma Digitaal Europa geassocieerde derde landen. De EU-cyberbeveiligingsreserve moet de beschikbaarheid en paraatheid van de diensten waarborgen. De reserve moet daarom diensten omvatten die vooraf zijn vastgelegd, met inbegrip van bijvoorbeeld capaciteit die op korte termijn bereikbaar en inzetbaar is. De diensten van de EU-cyberbeveiligingsreserve moeten dienen om de nationale autoriteiten te ondersteunen bij het verlenen van bijstand aan getroffen in zeer kritieke sectoren actieve entiteiten of getroffen in andere kritieke sectoren actieve entiteiten, als aanvulling op hun eigen acties op nationaal niveau. De diensten van de EU-cyberbeveiligingsreserve moeten ook kunnen dienen ter ondersteuning van instellingen, organen en instanties van de Unie, onder vergelijkbare voorwaarden. De EU-cyberbeveiligingsreserve kan ook bijdragen aan het versterken van de concurrentiepositie van de industrie en diensten in de Unie in de hele digitale economie, met inbegrip van micro-ondernemingen en kleine en middelgrote ondernemingen en start-ups, ook door een impuls te geven aan investeringen in onderzoek en innovatie. Het is belangrijk om bij de aankoop van de diensten voor de EU-cyberbeveiligingsreserve rekening te houden met het Europees kader voor vaardigheden op het gebied van cyberbeveiliging van Enisa. Bij een verzoek om steun uit de EU-cyberbeveiligingsreserve moeten gebruikers in hun aanvraag passende informatie opnemen over de getroffen entiteit en de mogelijke gevolgen, informatie over de gevraagde dienst uit de EU-cyberbeveiligingsreserve, en de steun die op nationaal niveau aan de getroffen entiteit is verleend, waarmee rekening moet worden gehouden bij de beoordeling van het verzoek van de aanvrager. Om te zorgen voor complementariteit met andere vormen van steun aan de getroffen entiteit moet het verzoek in voorkomend geval ook informatie bevatten over bestaande contractuele regelingen inzake incidentresponsdiensten en diensten op het gebied van initieel herstel, alsook verzekeringscontracten die een dergelijk soort incident kunnen dekken.

Om ervoor te zorgen dat de financiering van de Unie doeltreffend wordt gebruikt, moeten vooraf vastgelegde diensten in het kader van de EU-cyberbeveiligingsreserve overeenkomstig het desbetreffende contract converteerbaar zijn in paraatheidsdiensten in verband met de preventie van en respons op incidenten, in gevallen waarin die vooraf vastgelegde diensten niet worden gebruikt voor respons op incidenten gedurende de periode waarvoor zij vooraf zijn vastgelegd. Die diensten moeten complementair zijn en mogen niet overlappen met de paraatheidsacties die door het ECCC worden beheerd.

Verzoeken om steun uit de EU-cyberbeveiligingsreserve van de cybercrisisbeheerautoriteiten van de lidstaten en CSIRT’s, of CERT-EU namens instellingen, organen en instanties van de Unie, moeten worden beoordeeld door de aanbestedende dienst. Wanneer het beheer en de werking van de EU-cyberbeveiligingsreserve aan Enisa zijn toevertrouwd, is die aanbestedende dienst Enisa. Verzoeken om steun van met het programma Digitaal Europa geassocieerde derde landen moeten worden beoordeeld door de Commissie. Om de indiening en beoordeling van verzoeken om steun te vergemakkelijken, zou Enisa een beveiligd platform kunnen opzetten.

Wanneer meerdere gelijktijdige verzoeken worden ontvangen, moet prioriteit worden gegeven aan die verzoeken overeenkomstig de in deze verordening vastgestelde criteria. In het licht van de algemene doelstellingen van deze verordening moeten deze criteria betrekking hebben op de omvang en ernst van het incident, het soort getroffen entiteit, de mogelijke gevolgen van het incident voor de getroffen lidstaten of gebruikers, de potentiële grensoverschrijdende aard van het incident en het risico van overloopeffecten, en de maatregelen die de gebruiker reeds heeft genomen om de respons en het initieel herstel te ondersteunen. In het licht van die doelstellingen en gezien het feit dat verzoeken van gebruikers uit de lidstaten uitsluitend bedoeld zijn om in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten in de hele Unie te ondersteunen, is het passend hogere prioriteit te geven aan verzoeken van gebruikers uit de lidstaten wanneer die criteria ertoe leiden dat twee of meer verzoeken als gelijkwaardig worden beoordeeld. Dit doet geen afbreuk aan eventuele verplichtingen van de lidstaten uit hoofde van relevante onderbrengingsovereenkomsten om maatregelen te nemen om de instellingen, organen en instanties van de Unie te beschermen en bij te staan.

De Commissie moet de algemene verantwoordelijkheid dragen voor de uitvoering van de EU-cyberbeveiligingsreserve. Gezien de uitgebreide ervaring die Enisa heeft opgedaan met de ondersteunende actie op het gebied van cyberbeveiliging, is Enisa het meest geschikte agentschap om de EU-cyberbeveiligingsreserve uit te voeren. De Commissie dient Enisa dan ook gedeeltelijk of, wanneer zij dat passend acht, volledig te belasten met de werking en het beheer van de EU-cyberbeveiligingsreserve. De opdracht moet worden uitgevoerd overeenkomstig de toepasselijke regels van Verordening (EU, Euratom) 2024/2509 en moet met name afhankelijk worden gesteld van de vervulling van de relevante voorwaarden voor de ondertekening van een bijdrageovereenkomst. Alle aspecten van de werking en het beheer van de EU-cyberbeveiligingsreserve die niet aan Enisa worden toevertrouwd, moeten in direct beheer worden uitgevoerd door de Commissie, ook vóór de ondertekening van de bijdrageovereenkomst.

De lidstaten moeten een sleutelrol spelen bij de oprichting, bij de uitrol en na de uitrol van de EU-cyberbeveiligingsreserve. Aangezien Verordening (EU) 2021/694 de relevante basishandeling is voor acties tot uitvoering van de EU-cyberbeveiligingsreserve, moeten de acties in het kader van de EU-cyberbeveiligingsreserve worden opgenomen in de in artikel 24 van Verordening (EU) 2021/694 bedoelde werkprogramma’s als. Op grond van lid 6 van dat artikel moet de Commissie die werkprogramma’s door middel van uitvoeringshandelingen vaststellen overeenkomstig de onderzoeksprocedure. Voorts moet de Commissie, in coördinatie met de NIS-samenwerkingsgroep, de prioriteiten en de ontwikkeling van de EU-cyberbeveiligingsreserve bepalen.

De in het kader van de EU-cyberbeveiligingsreserve vastgestelde contracten mogen geen gevolgen hebben voor de onderlinge relatie tussen bedrijven en bestaande verplichtingen tussen de betrokken entiteit of gebruikers en de dienstverlener.

Met het oog op de selectie van private aanbieders die diensten verlenen in het kader van de EU-cyberbeveiligingsreserve is het nodig een reeks minimumcriteria en -vereisten vast te stellen die moeten worden opgenomen in de oproepen tot het indienen van inschrijvingen voor aanbestedingen met het oog op de selectie van die dienstverleners teneinde ervoor te zorgen dat wordt voldaan aan de behoeften van de autoriteiten van de lidstaten, in zeer kritieke sectoren actieve entiteiten en in andere kritieke sectoren actieve entiteiten. Om tegemoet te komen aan de specifieke behoeften van de lidstaten moet de aanbestedende dienst, bij de aankoop van diensten voor de EU-cyberbeveiligingsreserve, in voorkomend geval aanvullende selectiecriteria en -vereisten ontwikkelen naast de in deze verordening vastgestelde selectiecriteria en -vereisten. Het is belangrijk om de deelname van kleinere aanbieders, die actief zijn op regionaal en lokaal niveau, aan te moedigen.

Bij de selectie van aanbieders voor opname in de EU-cyberbeveiligingsreserve moet de aanbestedende dienst ernaar streven ervoor te zorgen dat de EU-cyberbeveiligingsreserve, in haar geheel beschouwd, aanbieders bevat die kunnen voldoen aan de taaleisen van gebruikers. Daartoe moet de aanbestedende dienst, alvorens een bestek op te stellen, nagaan of de potentiële gebruikers van de EU-cyberbeveiligingsreserve specifieke taaleisen stellen, zodat ondersteunende diensten van de EU-cyberbeveiligingsreserve kunnen worden verleend in een van de officiële talen van de instellingen van de Unie of van de lidstaat die de gebruiker of de betrokken entiteit waarschijnlijk begrijpt. Indien een gebruiker in het kader van de verlening van ondersteunende diensten van de EU-cyberbeveiligingsreserve meer dan één taal verlangt en die diensten voor deze gebruiker in die talen zijn aangekocht, moet de gebruiker in zijn verzoek om ondersteuning van de EU-cyberbeveiligingsreserve kunnen aangeven in welke van deze talen de diensten moeten worden verleend met betrekking tot het specifieke incident dat aanleiding heeft gegeven tot het verzoek.

Om de instelling van de EU-cyberbeveiligingsreserve te ondersteunen, is het van belang dat de Commissie Enisa verzoekt een potentiële regeling voor cyberbeveiligingscertificering voor beheerde beveiligingsdiensten op grond van Verordening (EU) 2019/881 op te stellen, op de gebieden die onder het noodmechanisme voor cyberbeveiliging vallen.

Om de doelstellingen van deze verordening te ondersteunen, namelijk het bevorderen van gedeeld situationeel bewustzijn, het vergroten van de weerbaarheid van de Unie en het mogelijk maken van een doeltreffende respons op significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten, moet de Commissie of EU-CyCLONe Enisa kunnen verzoeken om, met de ondersteuning van het CSIRT-netwerk en met instemming van de betrokken lidstaten, cyberdreigingen, bekende kwetsbaarheden die kunnen worden uitgebuit en mitigatiemaatregelen met betrekking tot een specifiek significant cyberbeveiligingsincident of grootschalig cyberbeveiligingsincident te evalueren en te beoordelen. Na de voltooiing van een evaluatie en beoordeling van een incident moet Enisa in samenwerking met de betrokken lidstaat, relevante belanghebbenden, waaronder vertegenwoordigers van de private sector, de Commissie en andere relevante instellingen, organen en instanties van de Unie een evaluatieverslag over het incident opstellen. Voortbouwend op de samenwerking met belanghebbenden, ook van de private sector, moet het evaluatieverslag over specifieke incidenten gericht zijn op het beoordelen van de oorzaken en gevolgen van een incident alsook de maatregelen om het incident te beperken nadat het zich heeft voorgedaan. Bijzondere aandacht dient uit te gaan naar de inbreng van, en de lessen die worden gedeeld door, de aanbieders van beheerde beveiligingsdiensten die voldoen aan de voorwaarden van hoogste professionele integriteit, onpartijdigheid en vereiste technische deskundigheid, zoals in deze verordening vereist. Het verslag moet worden ingediend bij EU-CyCLONe, het CSIRT-netwerk en de Commissie en moet als informatie dienen voor zowel hun werkzaamheden en die van Enisa. Als het incident betrekking heeft op een met het programma Digitaal Europa geassocieerd derde land, moet de Commissie het verslag ook verstrekken aan de hoge vertegenwoordiger.

Gezien de onvoorspelbare aard van cyberaanvallen en het feit dat deze vaak niet beperkt zijn tot een specifiek geografisch gebied en een groot risico op overloopeffecten inhouden, draagt de versterking van de weerbaarheid van buurlanden en hun capaciteit om doeltreffend te reageren op significante cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten bij tot de bescherming van de Unie, en met name haar interne markt en industrie, als geheel. Dergelijke activiteiten kunnen een extra bijdrage leveren aan de cyberdiplomatie van de Unie. Daarom moeten met het programma Digitaal Europa geassocieerde derde landen om steun kunnen verzoeken uit de EU-cyberbeveiligingsreserve, op hun gehele grondgebied of delen daarvan, indien dit is bepaald in de overeenkomst op grond waarvan het derde land met het programma Digitaal Europa geassocieerd is. De financiering voor met het programma Digitaal Europa geassocieerde derde landen moet door de Unie worden ondersteund in het kader van relevante partnerschappen en financieringsinstrumenten voor die landen. De steun moet betrekking hebben op diensten op het gebied van respons op en initieel herstel van significante cyberbeveiligingsincidenten of aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten.

De in deze verordening vastgestelde voorwaarden voor de EU-cyberbeveiligingsreserve en betrouwbare aanbieders van beheerde beveiligingsdiensten moeten gelden wanneer steun wordt verleend aan de met het programma Digitaal Europa geassocieerde derde landen. Met het programma Digitaal Europa geassocieerde derde landen moeten om steun van de EU-cyberbeveiligingsreserve kunnen verzoeken wanneer de entiteiten die het doelwit zijn en waarvoor zij om steun van de EU-cyberbeveiligingsreserve verzoeken, in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten zijn en wanneer de gedetecteerde incidenten leiden tot aanzienlijke operationele verstoringen of overloopeffecten in de Unie zouden kunnen hebben. Met het programma Digitaal Europa geassocieerde derde landen mogen alleen in aanmerking komen voor steun indien de overeenkomst op grond waarvan zij met het programma Digitaal Europa geassocieerd zijn specifiek in dergelijke steun voorziet. Bovendien mogen dergelijke derde landen alleen in aanmerking blijven komen als aan drie criteria is voldaan. Ten eerste moet het derde land volledig voldoen aan de relevante bepalingen van die overeenkomst. Ten tweede moet het derde land, gezien de complementaire aard van de EU-cyberbeveiligingsreserve, passende maatregelen hebben genomen om zich voor te bereiden op significante cyberbeveiligingsincidenten of aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten. Ten derde moet de steunverlening uit de EU-cyberbeveiligingsreserve stroken met het beleid van de Unie ten aanzien van en met de algemene betrekkingen met dat land en verenigbaar zijn met ander beleid van de Unie op het gebied van veiligheid. In het kader van haar beoordeling van de naleving van dit derde criterium moet de Commissie de hoge vertegenwoordiger raadplegen om de toekenning van dergelijke steun af te stemmen op het gemeenschappelijk buitenlands en veiligheidsbeleid.

Steunverlening aan met het programma Digitaal Europa geassocieerde derde landen kan gevolgen hebben voor de betrekkingen met derde landen en het veiligheidsbeleid van de Unie, onder meer in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid en het gemeenschappelijk veiligheids- en defensiebeleid. Het is derhalve passend dat aan de Raad uitvoeringsbevoegdheden worden toegekend om toestemming te verlenen voor de toekenning van dergelijke steun en om de periode vast te stellen waarin deze steun mag worden verleend. De Raad moet een besluit nemen op basis van een voorstel van de Commissie en daarbij terdege rekening houden met de beoordeling van de drie criteria door de Commissie. Hetzelfde moet gelden voor verlengingen en voorstellen om die uitvoeringshandelingen te wijzigen of in te trekken. Wanneer de Raad, in uitzonderlijke omstandigheden, van oordeel is dat de omstandigheden ten aanzien van het derde criterium aanzienlijk zijn gewijzigd, moet de Raad op eigen initiatief kunnen optreden om uitvoeringshandelingen te wijzigen of in te trekken zonder een voorstel van de Commissie af te wachten. Dergelijke ingrijpende wijzigingen vereisen waarschijnlijk dringende maatregelen, hebben wellicht bijzonder belangrijke gevolgen voor de betrekkingen met derde landen en vereisen waarschijnlijk geen voorafgaande gedetailleerde beoordeling door de Commissie. Bovendien moet de Commissie samenwerken met de hoge vertegenwoordiger in verband met dergelijke verzoeken voor steun van met het programma Digitaal Europa geassocieerde derde landen en de uitvoering van steun die is verleend aan dergelijke derde landen. De Commissie moet ook rekening houden met de standpunten van Enisa met betrekking tot dergelijke verzoeken en steun. De Commissie moet de Raad in kennis stellen van het resultaat van de beoordeling van de verzoeken, met inbegrip van de daarbij gemaakte relevante overwegingen, en de diensten die worden ingezet.

In de mededeling van de Commissie van 18 april 2023 over de academie voor cybervaardigheden wordt het tekort aan geschoolde professionals erkend. Dergelijke vaardigheden zijn nodig om de doelstellingen van deze verordening na te streven. De Unie heeft dringend behoefte aan professionals met de vaardigheden en competenties die nodig zijn om cyberaanvallen te voorkomen, op te sporen, af te schrikken en de Unie, met inbegrip van haar meest kritieke infrastructuur, te verdedigen tegen dergelijke aanvallen en haar weerbaarheid te waarborgen. Daarom is het belangrijk de samenwerking tussen belanghebbenden, ook van de private sector, de academische wereld en de publieke sector, aan te moedigen. Het is even belangrijk om in alle regio’s van de Unie synergieën tot stand te brengen voor investeringen in onderwijs en opleiding, om de invoering van voorzorgsmaatregelen ter voorkoming van braindrain aan te moedigen en ervoor te zorgen dat het tekort aan vaardigheden in sommige regio’s niet verder toeneemt dan in andere. Het is dringend noodzakelijk om de lacunes op het gebied van cyberbeveiligingsvaardigheden op te vullen, met bijzondere aandacht voor het verkleinen van de genderkloof bij de arbeidskrachten op het gebied van cyberbeveiliging om de betrokkenheid en deelname van vrouwen aan het ontwerp van digitale governance te bevorderen.

Om de innovatie in de digitale eengemaakte markt te stimuleren, is het belangrijk onderzoek en innovatie op het gebied van cyberbeveiliging te versterken, teneinde bij te dragen tot het vergroten van de weerbaarheid van de lidstaten en de open strategische autonomie van de Unie, die beide doelstellingen van deze verordening zijn. Synergieën zijn essentieel om de samenwerking en coördinatie tussen de verschillende belanghebbenden, ook van de private sector, het maatschappelijk middenveld en de academische wereld, te versterken.

Deze verordening moet rekening houden met de toezegging uiteengezet in de gezamenlijke verklaring van 26 januari 2022 van het Europees Parlement, de Raad en de Commissie getiteld “Europese verklaring over digitale rechten en beginselen voor het digitale decennium” om de belangen van de democratieën, bevolkingen, bedrijven en openbare instellingen van de Unie te beschermen tegen cyberbeveiligingsrisico’s en cybercriminaliteit, waaronder gegevenslekken en identiteitsdiefstal of -manipulatie.

Om bepaalde niet-essentiële onderdelen van deze verordening aan te vullen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen om de soorten en het aantal responsdiensten te specificeren die voor de EU-cyberbeveiligingsreserve vereist zijn. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (20). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

Om eenvormige voorwaarden voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de nadere procedurele regelingen voor de toewijzing van de diensten van de EU-cyberbeveiligingsreserve te specificeren. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (21).

Onverminderd de regels inzake de jaarlijkse begroting van de Unie zoals vastgelegd in de Verdragen, moet de Commissie bij de beoordeling van de budgettaire en personeelsbehoeften van Enisa rekening houden met de verplichtingen die uit deze verordening voortvloeien.

De Commissie moet de in deze verordening vastgestelde maatregelen regelmatig evalueren. De eerste dergelijke evaluatie moet plaatsvinden in de eerste twee jaar na de datum van inwerkingtreding van deze verordening en vervolgens ten minste om de vier jaar, rekening houdend met het tijdschema voor de herziening van het meerjarig financieel kader dat is ingesteld op grond van artikel 312 VWEU. De Commissie moet bij het Europees Parlement en de Raad een verslag indienen over de geboekte vooruitgang. Om de verschillende vereiste elementen te beoordelen, waaronder de omvang van de informatie die binnen het Europees waarschuwingssysteem voor cyberbeveiliging wordt gedeeld, dient de Commissie zich uitsluitend te baseren op informatie die reeds beschikbaar is of vrijwillig wordt verstrekt. Gelet op de geopolitieke ontwikkelingen en om de continuïteit en de verdere ontwikkeling van de maatregelen waarin deze verordening voorziet na 2027 te waarborgen, is het belangrijk dat de Commissie beoordeelt of het nodig is een passend budget toe te wijzen in het kader van het meerjarig financieel kader 2028-2034.

Daar de doelstellingen van deze verordening, namelijk het versterken van de concurrentiepositie van de industrie en diensten in de Unie in de digitale economie en het bijdragen aan de technologische soevereiniteit en open strategische autonomie van de Unie op het gebied van cyberbeveiliging, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het optreden beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken,

de oprichting van een pan-Europees netwerk van cyberhubs (Europees waarschuwingssysteem voor cyberbeveiliging) om gecoördineerde capaciteiten op het gebied van opsporing en gemeenschappelijk situationeel bewustzijn op te bouwen en te versterken;

de instelling van een noodmechanisme voor cyberbeveiliging om de lidstaten te ondersteunen bij de voorbereiding op, de respons op, de beperking van de gevolgen van, en het initiëren van, het herstel na significante cyberbeveiligingsincidenten en grootschalige cyberbeveiligingsincidenten, en om andere gebruikers te ondersteunen bij de respons op significante cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten;

de instelling van een Europees evaluatiemechanisme voor cyberbeveiligingsincidenten om significante cyberbeveiligingsincidenten of grootschalige cyberbeveiligingsincidenten te evalueren en te beoordelen.

het versterken van de gemeenschappelijke gecoördineerde opsporingscapaciteiten van de Unie en het gemeenschappelijk situationeel bewustzijn van cyberdreigingen en -incidenten;

het vergroten van de paraatheid van in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten in de hele Unie en het versterken van de solidariteit door gecoördineerde paraatheidstests en versterkte respons- en herstelcapaciteiten te ontwikkelen, voor de behandeling van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten of aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten, met inbegrip van de mogelijkheid om steun van de Unie voor respons op cyberbeveiligingsincidenten beschikbaar te stellen aan derde landen die geassocieerd zijn met het programma Digitaal Europa;

het vergroten van de weerbaarheid van de Unie en bijdragen tot een doeltreffende respons door significante cyberbeveiligingsincidenten of grootschalige cyberbeveiligingsincidenten te evalueren en te beoordelen, en daaruit lering te trekken en, in voorkomend geval, aanbevelingen te doen.

“landsgrensoverschrijdende cyberhub”: een meerlandenplatform, opgericht bij een schriftelijke consortiumovereenkomst, dat nationale cyberhubs uit ten minste drie lidstaten samenbrengt in een gecoördineerde netwerkstructuur, en dat bedoeld is om de monitoring, opsporing en analyse van cyberdreigingen te versterken, incidenten te voorkomen en de productie van inlichtingen over cyberdreigingen te ondersteunen, met name door het uitwisselen van relevante en in voorkomend geval, geanonimiseerde gegevens en informatie, het delen van geavanceerde instrumenten en het gezamenlijk ontwikkelen van capaciteit op het gebied van de opsporing, analyse en preventie van, alsook de bescherming tegen cyberdreigingen en -incidenten in een betrouwbare omgeving;

“onderbrengend consortium”: een consortium bestaande uit deelnemende lidstaten, die zijn overeengekomen om een landsgrensoverschrijdende cyberhub op te richten en bij te dragen aan de verwerving van instrumenten, infrastructuur of diensten voor, en de exploitatie van, die hub;

“CSIRT”: een CSIRT dat is aangewezen of ingesteld op grond van artikel 10 van Richtlijn (EU) 2022/2555;

“entiteit”: een entiteit zoals gedefinieerd in artikel 6, punt 38), van Richtlijn (EU) 2022/2555;

“in zeer kritieke sectoren actieve entiteiten”: de soorten entiteiten die zijn opgenomen in bijlage I bij Richtlijn (EU) 2022/2555;

“in andere kritieke sectoren actieve entiteiten”: de soorten entiteiten die zijn opgenomen in bijlage II bij Richtlijn (EU) 2022/2555;

“risico”: een risico zoals gedefinieerd in artikel 6, punt 9), van Richtlijn (EU) 2022/2555;

“cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881;

“incident”: een incident zoals gedefinieerd in artikel 6, punt 6), van Richtlijn (EU) 2022/2555;

“significant cyberbeveiligingsincident”: een cyberbeveiligingsincident dat voldoet aan de criteria van artikel 23, lid 3, van Richtlijn (EU) 2022/2555;

“ernstig incident”: een ernstig incident zoals gedefinieerd in artikel 3, punt 8), van Verordening (EU, Euratom) 2023/2841 van het Europees Parlement en de Raad (22),

“grootschalig cyberbeveiligingsincident”: een grootschalig cyberbeveiligingsincident zoals gedefinieerd in artikel 6, punt 7), van Richtlijn (EU) 2022/2555;

“een aan grootschalige cyberbeveiligingsincidenten gelijkwaardig incident”: in het geval van instellingen, organen en instanties van de Unie, een ernstig incident en, in het geval van met het programma Digitaal Europa geassocieerde derde landen, een incident dat een mate van verstoring veroorzaakt die het responsvermogen van het betrokken met het programma Digitaal Europa geassocieerd derde land overstijgt;

“met het programma Digitaal Europa geassocieerd derde land”: een derde land dat partij is bij een overeenkomst met de Unie waardoor het kan deelnemen aan het programma Digitaal Europa op grond van artikel 10 van Verordening (EU) 2021/694;

“aanbestedende dienst”: de Commissie of, voor zover de exploitatie en het beheer van de EU-cyberbeveiligingsreserve op grond van artikel 14, lid 5, aan Enisa zijn toevertrouwd, Enisa;

“aanbieder van beheerde beveiligingsdiensten”: een aanbieder van beheerde beveiligingsdiensten zoals gedefinieerd in artikel 6, punt 40), van Richtlijn (EU) 2022/2555;

“betrouwbare aanbieders van beheerde beveiligingsdiensten”: aanbieders van beheerde beveiligingsdiensten geselecteerd overeenkomstig artikel 17 om te worden opgenomen in de EU-cyberbeveiligingsreserve.

draagt bij tot een betere bescherming tegen en respons op cyberdreigingen door ondersteuning van relevante entiteiten, met name CSIRT’s, het CSIRT-netwerk, EU-CyCLONe en de op grond van artikel 8, lid 1, van Richtlijn (EU) 2022/2555 aangewezen of ingestelde bevoegde autoriteiten, door met hen samen te werken en hun capaciteiten te versterken;

bundelt relevante gegevens en informatie over cyberdreigingen en -incidenten uit verschillende bronnen binnen de landsgrensoverschrijdende cyberhubs en deelt geanalyseerde of geaggregeerde informatie via landsgrensoverschrijdende cyberhubs, in voorkomend geval met het CSIRT-netwerk;

verzamelt en ondersteunt de productie van hoogwaardige, bruikbare informatie en inlichtingen over cyberdreigingen door gebruik te maken van geavanceerde instrumenten en technologieën, en deelt die informatie en inlichtingen over cyberdreigingen;

draagt bij tot de versterking van gecoördineerde opsporing van cyberdreigingen en gemeenschappelijk situationeel bewustzijn in de hele Unie, en tot het versturen van waarschuwingen, onder meer, in voorkomend geval, door het verstrekken van concrete aanbevelingen aan entiteiten;

levert diensten en activiteiten voor de cyberbeveiligingsgemeenschap in de Unie, waaronder het bijdragen aan de ontwikkeling van geavanceerde instrumenten en technologieën zoals artificiële intelligentie en instrumenten voor gegevensanalyse.

heeft de capaciteit te fungeren als referentiepunt voor en toegangspoort tot andere publieke en private organisaties op nationaal niveau voor het verzamelen en analyseren van informatie over cyberdreigingen en -incidenten en voor het bijdragen tot een in artikel 5 van deze verordening bedoelde landsgrensoverschrijdende cyberhub, en

is in staat gegevens en informatie met betrekking op cyberdreigingen en -incidenten, zoals inlichtingen over cyberdreigingen, op te sporen, samen te voegen en te analyseren, met name door gebruik te maken van geavanceerde technologieën, met als doel incidenten te voorkomen.

waarin de interne regelingen voor de uitvoering van de in artikel 9, lid 3, bedoelde onderbrengings- en gebruiksovereenkomst worden vastgelegd;

waarbij de landsgrensoverschrijdende cyberhub van het onderbrengend consortium wordt opgericht, en

die de specifieke bepalingen bevat die op grond van artikel 6, leden 1 en 2, vereist zijn.

de opsporing van cyberdreigingen bevordert en verbetert en de capaciteiten van het CSIRT-netwerk versterkt om incidenten te voorkomen en erop te reageren of de gevolgen ervan te beperken;

het niveau van de cyberbeveiliging verhoogt, bijvoorbeeld door de bewustwording met betrekking tot cyberdreigingen te vergroten, het vermogen van dergelijke dreigingen om zich te verspreiden te beperken of te belemmeren, een reeks verdedigingscapaciteiten, het herstel en de openbaarmaking van kwetsbaarheden, het opsporen van dreigingen, beheersings- en preventietechnieken, beperkingsstrategieën of respons- en herstelfasen te ondersteunen of gezamenlijk onderzoek naar dreigingen door publieke en private entiteiten te bevorderen.

een verbintenis om tussen de leden van het onderbrengend consortium informatie als bedoeld in lid 1 uit te wisselen en de voorwaarden waaronder die informatie moet worden gedeeld;

een governancekader dat het delen door alle deelnemers van in lid 1 bedoelde relevante informatie, waar nodig geanonimiseerd, verduidelijkt en stimuleert;

doelstellingen voor de bijdrage aan de ontwikkeling van geavanceerde instrumenten en technologieën, zoals artificiële intelligentie en instrumenten voor gegevensanalyse.

paraatheidsacties, namelijk:

acties ter ondersteuning van de respons op en het initiëren van herstel van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten, die moeten worden uitgevoerd door betrouwbare aanbieders van beheerde beveiligingsdiensten die deelnemen aan de bij artikel 14 ingestelde EU-cyberbeveiligingsreserve;

in artikel 18 bedoelde acties ter ondersteuning van wederzijdse bijstand.

de cybercrisisbeheerautoriteiten en CSIRT’s van de lidstaten als bedoeld in respectievelijk artikel 9, leden 1 en 2, en artikel 10 van Richtlijn (EU) 2022/2555;

CERT-EU overeenkomstig artikel 13 van Verordening (EU, Euratom) 2023/2841;

bevoegde autoriteiten zoals computer security incident response teams en cybercrisisbeheerautoriteiten van met het programma Digitaal Europa geassocieerde derde landen overeenkomstig artikel 19, lid 8.

in het geval van in artikel 14, lid 3, punt a), van deze verordening bedoelde gebruikers via het op grond van artikel 8, lid 3, van Richtlijn (EU) 2022/2555 aangewezen of ingestelde centrale contactpunt;

in het geval van de in artikel 1142, lid 3, punt b), bedoelde gebruiker door die gebruiker;

in het geval van de in artikel 14, lid 3, punt c), bedoelde gebruikers via het in artikel 19, lid 9, bedoelde centrale contactpunt.

de nodige informatie over de getroffen entiteit en de potentiële gevolgen van het incident voor:

informatie over de gevraagde dienst, samen met het geplande gebruik van de gevraagde steun, waaronder een indicatie van de geraamde behoeften;

de nodige informatie over de maatregelen die zijn genomen om het incident waarvoor om steun wordt verzocht, te beperken, als bedoeld in lid 2;

in voorkomend geval, beschikbare informatie over andere vormen van steun die beschikbaar zijn voor de getroffen entiteit.

het gebruik en het delen van die informatie beperken tot wat nodig is om hun verplichtingen of functies uit hoofde van deze verordening na te komen of te vervullen;

alle informatie die vertrouwelijk of gerubriceerd is volgens het Unie- en nationale recht uitsluitend gebruiken en delen in overeenstemming met dat recht, en

zorgen voor doeltreffende, efficiënte en veilige informatie-uitwisseling, in voorkomend geval door gebruik te maken en het naleven van relevante protocollen voor informatie-uitwisseling, met inbegrip van het verkeerslichtprotocol.

de omvang en ernst van het incident;

het soort getroffen entiteit, met een hogere prioriteit voor incidenten die in artikel 3, lid 1, van Richtlijn (EU) 2022/2555 bedoelde essentiële entiteiten treffen;

de mogelijke gevolgen van het incident voor de getroffen lidstaten, instellingen, organen of instanties van de Unie, dan wel met het programma Digitaal Europa geassocieerde derde landen;

de mogelijke landgrensoverschrijdende aard van het incident en het risico op overloopeffecten naar andere lidstaten, instellingen, organen of instanties van de Unie, dan wel met het programma Digitaal Europa geassocieerde derde landen;

de door de gebruiker genomen maatregelen ter ondersteuning van de respons en inspanningen voor initieel herstel, als bedoeld in artikel 15, lid 2.

in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten, in het geval van gebruikers als bedoeld in artikel 14, lid 3, punt a), en gelijkwaardige entiteiten in het geval van gebruikers als bedoeld in artikel 14, lid 3, punt c), en

instellingen, organen en instanties van de Unie, in het geval van de in artikel 14, lid 3, punt b), bedoelde gebruiker.

de Commissie, Enisa, het CSIRT-netwerk en EU-CyCLONe in het geval van in artikel 14, lid 3, punt a), bedoelde gebruikers;

de Commissie, Enisa en de IIBC in het geval van in artikel 14, lid 3, punt b), bedoelde gebruiker;

de Commissie in het geval van in artikel 14, lid 3, punt c), bedoelde gebruikers.

ervoor zorgen dat de diensten die in de EU-cyberbeveiligingsreserve zijn opgenomen, over het geheel genomen zodanig zijn dat de EU-cyberbeveiligingsreserve diensten omvat die in alle lidstaten kunnen worden verleend, waarbij met name rekening gehouden wordt met nationale vereisten voor het verlenen van dergelijke diensten, met inbegrip van talen, certificering of accreditatie;

de bescherming van de wezenlijke veiligheidsbelangen van de Unie en haar lidstaten waarborgen;

ervoor zorgen dat de EU-cyberbeveiligingsreserve meerwaarde voor de Unie oplevert door bij te dragen tot de verwezenlijking van de doelstellingen van artikel 3 van Verordening (EU) 2021/694, met inbegrip van het bevorderen van de ontwikkeling van cyberbeveiligingsvaardigheden in de Unie.

de aanbieder toont aan dat zijn personeel de hoogste mate van professionele integriteit, onafhankelijkheid en verantwoordelijkheid bezit en de vereiste technische bekwaamheid heeft om de activiteiten op hun specifieke gebied uit te voeren, en zorgt voor de permanentie en continuïteit van de deskundigheid en de vereiste technische middelen;

de aanbieder en alle relevante dochterondernemingen en onderaannemers voldoen aan de toepasselijke regels inzake de bescherming van gerubriceerde informatie en beschikken over passende maatregelen, waaronder, in voorkomend geval, onderlinge overeenkomsten, om vertrouwelijke informatie met betrekking tot de dienst, en met name bewijsmateriaal, bevindingen en verslagen, te beschermen;

de aanbieder levert voldoende bewijs dat zijn bestuursstructuur transparant is, zijn onpartijdigheid en de kwaliteit van zijn diensten niet in het gedrang brengt en geen belangenconflicten veroorzaakt;

de aanbieder beschikt over een passende veiligheidsmachtiging, ten minste voor het personeel dat de dienst gaat verlenen, indien een lidstaat dat vereist;

de aanbieder beschikt over het relevante beveiligingsniveau voor zijn IT-systemen;

de aanbieder beschikt over de hardware en software die nodig zijn om de gevraagde dienst te ondersteunen, die geen bekende kwetsbaarheden bevatten die kunnen worden uitgebuit, de meest recente beveiligingsupdates bevatten en in elk geval voldoen aan alle toepasselijke bepalingen van Verordening (EU) 2024/2847 van het Europees Parlement en de Raad (23);

de aanbieder kan aantonen dat hij ervaring heeft met het verlenen van soortgelijke diensten aan relevante nationale autoriteiten, in zeer kritieke sectoren actieve entiteiten of in andere kritieke sectoren actieve entiteiten;

de aanbieder is in staat de dienst binnen een korte termijn te verlenen in de lidstaat of lidstaten waar hij de dienst kan verlenen;

de aanbieder is in staat de dienst te verlenen in een of meer officiële talen van de instellingen van de Unie of van een lidstaat, zoals eventueel vereist door de lidstaat of lidstaten of in artikel 14, lid 3, punten b) en c), bedoelde gebruikers, waar de aanbieder de dienst kan verlenen;

zodra een Europese regeling voor cyberbeveiligingscertificering voor beheerde beveiligingsdiensten op grond van Verordening (EU) 2019/881 van kracht is, wordt de aanbieder binnen twee jaar na de toepassingsdatum van de regeling overeenkomstig die regeling gecertificeerd;

de aanbieder neemt in de inschrijving de conversievoorwaarden op voor elke ongebruikte incidentresponsdienst die kan worden omgezet in paraatheidsdiensten die nauw verband houden met de respons op incidenten, zoals tests of opleidingen.

of dat land de voorwaarden van de in lid 1 bedoelde overeenkomst naleeft, voor zover die voorwaarden betrekking hebben op deelname aan de EU-cyberbeveiligingsreserve;

of dat land passende maatregelen heeft genomen om zich voor te bereiden op significante cyberbeveiligingsincidenten of aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten, op basis van de in lid 2 bedoelde informatie, en

of de steunverlening in overeenstemming is met het beleid van de Unie ten aanzien van en met de algemene betrekkingen met dat land en of deze steun verenigbaar is met ander beleid van de Unie op het gebied van veiligheid.

Artikel 6 wordt als volgt gewijzigd:

Artikel 9 wordt als volgt gewijzigd:

Artikel 12 wordt als volgt gewijzigd:

In artikel 14 wordt lid 2 vervangen door:

“2.   In het kader van het programma kan financiering worden verstrekt in een van de in het Financieel Reglement opgenomen vormen, inclusief door met name aanbestedingen als primaire vorm, of subsidies en prijzen.

Als voor het verwezenlijken van de doelstelling van een actie de aanbesteding van innovatieve goederen en diensten vereist is, kunnen subsidies uitsluitend worden toegekend aan begunstigden die aanbestedende diensten of aanbestedende instanties zijn als gedefinieerd in de Richtlijnen 2014/24/EU (*3) en 2014/25/EU (*4) van het Europees Parlement en de Raad.

Als de levering van nog niet op grote commerciële basis beschikbare innovatieve goederen of diensten noodzakelijk is voor het bereiken van de doelstellingen van een actie, kan de aanbestedende dienst of de aanbestedende instantie de gunning van meerdere contracten binnen dezelfde aanbestedingsprocedure toestaan.

Om naar behoren gemotiveerde redenen van openbare veiligheid kan de aanbestedende dienst of de aanbestedende instantie eisen dat de plaats van uitvoering van het contract op het grondgebied van de Unie gelegen is.

Bij de uitvoering van aanbestedingsprocedures voor de EU-cyberbeveiligingsreserve kunnen de Commissie en Enisa optreden als aankoopcentrale voor aanbestedingen namens of in naam van met het programma geassocieerde derde landen overeenkomstig artikel 10 van deze verordening. De Commissie en Enisa kunnen ook als groothandelaar optreden door goederen en diensten, met inbegrip van verhuurde zaken, aan te kopen, in voorraad te houden en aan die derde landen door te verkopen of te schenken. In afwijking van artikel 168, lid 3, van Verordening (EU, Euratom) 2024/2509 van het Europees Parlement en de Raad (*5) volstaat het verzoek van één derde land om de Commissie of Enisa te machtigen om op te treden.

Bij de uitvoering van aanbestedingsprocedures voor de EU-cyberbeveiligingsreserve kunnen de Commissie en Enisa optreden als aankoopcentrale voor aanbestedingen namens of in naam van instellingen, organen of instanties van de Unie. De Commissie en Enisa kunnen ook als groothandelaar optreden door goederen en diensten, met inbegrip van verhuurde zaken, aan te kopen, in voorraad te houden en aan instellingen, organen of instanties van de Unie door te verkopen of te schenken. In afwijking van artikel 168, lid 3, van Verordening (EU, Euratom) 2024/2509 volstaat het verzoek van één instelling, orgaan of instantie van de Unie om de Commissie of Enisa te machtigen om op te treden.

Het programma kan eveneens financiering verstrekken in de vorm van financieringsinstrumenten in het kader van blendingverrichtingen.

(*3)  Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65)."

(*4)  Richtlijn 2014/25/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van opdrachten in de sectoren water- en energievoorziening, vervoer en postdiensten en houdende intrekking van Richtlijn 2004/17/EG (PB L 94 van 28.3.2014, blz. 243)."

(*5)  Verordening (EU, Euratom) 2024/2509 van het Europees Parlement en de Raad van 23 september 2024 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie (PB L, 2024/2509, 26.9.2024, ELI: http://data.europa.eu/eli/reg/2024/2509/oj).”."

Het volgende artikel wordt toegevoegd:

“Artikel 16 bis

Strijdigheid van bepalingen

In het geval van acties ter uitvoering van het Europees waarschuwingssysteem voor cyberbeveiliging zijn de toepasselijke regels die van de artikelen 4, 5 en 9 van Verordening (EU) 2025/38. In geval van strijdigheid tussen de bepalingen van deze verordening en de artikelen 4, 5 en 9 van Verordening (EU) 2025/38 hebben laatstgenoemde bepalingen voorrang en zijn zij op die specifieke acties van toepassing.

In het geval van acties ter uitvoering van de EU-cyberbeveiligingsreserve zijn specifieke regels voor de deelname van met het programma geassocieerde derde landen vastgesteld in artikel 19 van Verordening (EU) 2025/38. In geval van strijdigheid tussen de bepalingen van deze verordening en artikel 19 van Verordening (EU) 2025/38 hebben laatstgenoemde bepalingen voorrang en zijn zij op die specifieke acties van toepassing.”.

Artikel 19 wordt vervangen door:

“Artikel 19

Subsidies

Subsidies krachtens het programma worden toegekend en beheerd in overeenstemming met titel VIII van het Financieel Reglement en mogen tot 100 % van de subsidiabele kosten dekken, onverminderd het medefinancieringsbeginsel dat is vastgelegd in artikel 190 van het Financieel Reglement. Dergelijke subsidies worden toegekend en beheerd zoals gespecificeerd voor elke specifieke doelstelling.

Zonder oproep tot het indienen van voorstellen kan het ECCC steun in de vorm van subsidies rechtstreeks toekennen aan de op grond van artikel 9 van Verordening (EU) 2025/38 geselecteerde lidstaten en het in artikel 5 van Verordening (EU) 2025/38 bedoelde onderbrengend consortium, overeenkomstig artikel 195, lid 1, punt d), van het Financieel Reglement.

Steun in de vorm van subsidies voor het noodmechanisme voor cyberbeveiliging kan door het ECCC rechtstreeks aan de lidstaten worden toegekend zonder een oproep tot het indienen van voorstellen, overeenkomstig artikel 195, lid 1, punt d), van het Financieel Reglement.

Ten aanzien van in artikel 18 van Verordening (EU) 2025/38 gespecificeerde acties stelt het ECCC de Commissie en Enisa in kennis van verzoeken van lidstaten om rechtstreekse subsidies zonder een oproep tot het indienen van voorstellen.

Ten aanzien van acties ter ondersteuning van wederzijdse bijstand zoals bepaald in artikel 18 van Verordening (EU) 2025/38, en overeenkomstig artikel 193, lid 2, tweede alinea, punt a), van het Financieel Reglement, kunnen in naar behoren gemotiveerde gevallen de kosten als subsidiabel worden beschouwd, zelfs als zij vóór de indiening van de subsidieaanvraag zijn gemaakt.”.

De bijlagen I en II worden gewijzigd overeenkomstig de bijlage bij deze verordening.

het aantal opgerichte nationale cyberhubs en landsgrensoverschrijdende cyberhubs, de omvang van de gedeelde informatie, met inbegrip van, indien mogelijk, de impact op de werkzaamheden van het CSIRT-netwerk, en de mate waarin deze hebben bijgedragen tot de versterking van de gemeenschappelijke opsporing en het gemeenschappelijke situationeel bewustzijn van cyberdreigingen en -incidenten in de Unie en tot de ontwikkeling van geavanceerde technologieën; het gebruik van financiering uit het programma Digitaal Europa voor gezamenlijk verworven instrumenten, infrastructuur, of diensten op het gebied van cyberbeveiliging, en indien de informatie beschikbaar is, de mate van samenwerking tussen nationale cyberhubs en sectorale en sectoroverschrijdende gemeenschappen van in artikel 3 van Richtlijn (EU) 2022/2555 bedoelde essentiële en belangrijke entiteiten;

het gebruik en de doeltreffendheid van acties in het kader van het noodmechanisme voor cyberbeveiliging ter ondersteuning van de paraatheid, met inbegrip van opleidingen, respons op en initieel herstel van significante cyberbeveiligingsincidenten, grootschalige cyberbeveiligingsincidenten en aan grootschalige cyberbeveiligingsincidenten gelijkwaardige incidenten, met inbegrip van het gebruik van financiering uit het programma Digitaal Europa en de geleerde lessen van en aanbevelingen naar aanleiding van de uitvoering van het noodmechanisme voor cyberbeveiliging;

het gebruik en de doeltreffendheid van de EU-cyberbeveiligingsreserve met betrekking tot de soorten gebruiker, met inbegrip van het gebruik van financiering uit het programma Digitaal Europa, het gebruik van diensten, met inbegrip van het soort diensten, de gemiddelde tijd om op de verzoeken te reageren en de EU-cyberbeveiligingsreserve in te zetten, het percentage diensten dat is omgezet in paraatheidsdiensten in verband met de preventie en respons op incidenten en de geleerde lessen van en aanbevelingen naar aanleiding van de uitvoering van de EU-cyberbeveiligingsreserve;

de bijdrage van deze verordening aan het versterken van de concurrentiepositie van de industrie en diensten van de digitale economie in de Unie, met inbegrip van micro-ondernemingen en kleine en middelgrote ondernemingen en start-ups, en de bijdrage aan de verwezenlijking van de algemene doelstelling om de vaardigheden en capaciteiten van de arbeidskrachten te versterken.

In bijlage I wordt de afdeling “Specifieke doelstelling 3 — Cyberbeveiliging en vertrouwen” vervangen door:

“Specifieke doelstelling 3 — Cyberbeveiliging en vertrouwen

Met het programma wordt de versterking, opbouw en verwerving van essentiële capaciteiten ter beveiliging van de digitale economie, de samenleving en de democratie van de Unie gestimuleerd door versterking van het potentieel en de concurrentiekracht van de cyberbeveiligingssector van de Unie, en door verbetering van de capaciteiten van de private en de publieke sector met betrekking tot de bescherming van burgers en bedrijven tegen cyberdreigingen, onder meer door ondersteuning van de uitvoering van Richtlijn (EU) 2016/1148.

Tot de initiële en, in voorkomend geval, de vervolgacties uit hoofde van deze doelstelling behoren:

In bijlage II wordt de afdeling “Specifieke doelstelling 3 — Cyberbeveiliging en vertrouwen” vervangen door:

“Specifieke doelstelling 3 — Cyberbeveiliging en vertrouwen