De Europese Unie zet sterk in op digitale veiligheid om de lidstaten bestendiger te maken tegen cyberaanvallen en de digitale interne markt te versterken. In 2019 is de Cybersecurity Act, ook wel de Cyberbeveiligingsverordening (Verordening (EU) 2019/881), vastgesteld. Deze verordening geldt rechtstreeks in alle lidstaten en is in Nederland nader geïmplementeerd via de Uitvoeringswet Cyberbeveiligingsverordening, die op 9 april 2022 in werking trad.
Wat is de Cyberbeveiligingsverordening?
De Cyberbeveiligingsverordening heeft tot doel een hoog niveau van cyberbeveiliging binnen de Europese Unie te waarborgen en het vertrouwen in digitale producten, diensten en processen te versterken. In deze verordening wordt cyberbeveiliging omschreven als het geheel aan activiteiten dat gericht is op het beschermen van netwerk- en informatiesystemen, evenals de gebruikers daarvan en andere personen die door cyberdreigingen kunnen worden getroffen. De verordening rust op twee centrale pijlers: enerzijds het versterken van de rol en bevoegdheden van ENISA, het agentschap van de Europese Unie voor cyberbeveiliging, en anderzijds de invoering van een Europees kader voor de certificering van de cyberbeveiliging van ICT-producten, -diensten en -processen.
De rol van ENISA
Volgens artikel 68, lid 4, van de verordening heeft ENISA een permanent mandaat gekregen om te fungeren als het centrale informatie- en kenniscentrum voor alle EU-instellingen en lidstaten. De belangrijkste taken van het agentschap zijn:
- Beleidsadvies: Het adviseren van de Commissie en lidstaten bij de ontwikkeling en uitvoering van cybersecuritybeleid.
- Operationele samenwerking: Het ondersteunen van lidstaten en EU-organen bij het aanpakken van (grensoverschrijdende) cyberdreigingen.
- Certificering: Het voorbereiden van Europese certificeringsregelingen en het periodiek (elke vijf jaar) evalueren daarvan.
- Informatievoorziening: Het beheren van een centrale website met gegevens over certificeringsregelingen, certificaten en conformiteitsverklaringen.
- CSIRTs-netwerk: Het verzorgen van het secretariaat voor het netwerk van computercrisisteams.
- Marktanalyse: Het monitoren en analyseren van trends op de cybersecuritymarkt.
Europees certificeringskader
Een ander belangrijk onderdeel van de CSA is het European Cybersecurity Certification Framework (ECCF). Dit kader stelt geharmoniseerde normen vast voor de beveiliging van ICT-producten, -diensten en -processen. Certificering is in veel gevallen vrijwillig, maar zorgt ervoor dat een product of dienst in de gehele EU wordt erkend zonder dat er in elke lidstaat opnieuw een toetsing nodig is. Een concreet voorbeeld van een dergelijke regeling is het EUCC-schema, dat gebaseerd is op internationale standaarden voor de beveiliging van hardware en software. Daarnaast zijn er schema’s in ontwikkeling voor zaken als cloudservices en 5G-netwerken.
Relevantie voor decentrale overheden
Voor gemeenten, provincies en waterschappen biedt de verordening rechtszekerheid en veiligheid bij de inkoop van ICT-systemen en cloudoplossingen. Dit is van belang, aangezien cyberincidenten de kwetsbaarheid van de lokale publieke dienstverlening onderstrepen.
Europese cybersecuritycertificaten kunnen door decentrale overheden worden gebruikt als:
- Technische specificatie in aanbestedingsdocumenten.
- Selectie- of gunningscriterium om de veiligheid van aanbieders te beoordelen.
- Zekerheid over het beveiligingsniveau van de technologie die zij inkopen.
Stand van zaken
De Commissie heeft een herziening van de Cybersecurity Act (Cybersecurity Act 2.0) voorgesteld om het bestaande kader beter te laten aansluiten op snel veranderende digitale dreigingen en de groeiende afhankelijkheid van internationale toeleveringsketens.
De voorgestelde aanpassingen richten zich onder meer op het versnellen en vereenvoudigen van certificeringsprocedures, een bredere benadering van cyberbeveiliging (waarbij ook de beveiligingshouding van organisaties centraal staat), het versterken van toeleveringsketens en een verdere uitbreiding van de rol van ENISA.