Nieuws

Publicatie: 9 december 2024

Door: en


Hoewel cyberveiligheid de afgelopen jaren een steeds belangrijker onderwerp is geworden en ervan uit in diverse overheidslagen en sectoren hard op ingezet wordt, blijft de implementatie in de praktijk een uitdaging. Het organiseren van en investeren in cyberveiligheid krijgt in de realiteit namelijk niet de nadruk die het in beleidsstukken wel krijgt.

Desondanks is het onderwerp niet minder relevant. De recente datalekken in gemeenten Tubbergen en Dinkelland laten zien dat cyber- en informatieveiligheid continue aandacht verdienen en vereisen. Ook in de Europese Unie (EU) blijft het spanningsveld tussen cyberveiligheid als beleidsprioriteit en complex implementatieproces duidelijk zichtbaar. Twee recente ontwikkelingen illustreren dit.

NIS2

In 2024 trad cyberveiligheid, mede dankzij de NIS2-Richtlijn, op de voorgrond. Deze Richtlijn voorziet lidstaten en de zogenaamde kritieke entiteiten van verplichtingen om cyberveiligheid te vergroten. Het gaat om maatregelen zoals risicobeheersing en rapportageverplichtingen met bijbehorende nationale strategieën en nieuw aangewezen toezichthouders.

De Richtlijn had op 17 oktober door de Europese lidstaten moeten zijn omgezet in nationale wetgeving. Deze verplichting werd echter maar beperkt – of eigenlijk simpelweg niet – nageleefd: 26 van de 27 lidstaten zijn namelijk nog niet klaar met de implementatie. 23 van deze landen hebben daarnaast ook geen toereikende communicatie aangeleverd over hoe zij alsnog de NIS2 gaan implementeren. Deze laatste groep heeft daarom op 28 november een aanmaningsbrief van de Commissie ontvangen.

In de brief worden de achterlopers opgeroepen om binnen twee maanden alsnog de wet te implementeren en de Commissie te informeren over getroffen maatregelen. Dit is de eerste stap in een zogenaamde inbreukprocedure. Indien lidstaten niet overgaan tot actie, kan de Commissie overgaan tot een zogenaamd ‘met reden omkleed advies’ of ‘reasoned opinion’ in het Engels. Dit houdt in dat de Commissie officieel uitlegt waarom een lidstaat het Europees recht overtreedt. Bij uitblijven van naleving kan de Commissie naar het Europese Hof van Justitie stappen.

Gevolgen

Naast landen als Frankrijk, Duitsland en Oostenrijk, staat ook Nederland in het rijtje met achterlopers, met alle gevolgen van dien. Met de aanmaningsbrief hangt de lidstaten mogelijk een rechtszaak boven het hoofd. Dit zou op de lange termijn, als de rechtszaak wordt doorgezet, kunnen leiden tot financiële sancties. Verder zorgt het niet implementeren van de NIS2 ook voor een aanhoudende zwakte op het gebied van cyberveiligheid.

De NIS2 dient het cyberveiligheidsniveau van de Europese lidstaten en daarmee van de EU als geheel, te verhogen als bescherming tegen cyberdreigingen vanuit vijandelijke actoren en criminelen. Doordat zoveel landen de Richtlijn niet hebben geïmplementeerd, blijven er kwetsbaarheden bestaan binnen de EU in het beschermen van gevoelige informatie. Het is daarom uiterst belangrijk dat alle landen zo spoedig mogelijk alsnog de NIS2 omzetten in nationale wetgeving.

Cybersecurity pakket

Ondanks de vertraagde NIS2 implementatie gaat de EU gestaag door met het inzetten op cyberveiligheid. Zo heeft de Raad van de Europese Unie op 2 december 2024 een nieuw pakket met twee wetswijzigingen goedgekeurd om de Europese cyberweerbaarheid verder te verhogen.

De wijzigingen hebben betrekking op de Cybersecurity Act (CSA) uit 2019. Deze wet versterkte de gezamenlijke aanpak van de EU om bestendiger te zijn tegen cyberaanvallen. Dit deed het hoofdzakelijk op twee manieren:

  • Door een certificeringskader voor ICT-producten en -diensten op te zetten.
  • Door het mandaat van cyberbeveiligingsagentschap ENISA te vergroten.

Het nieuwe cyberveiligheidspakket introduceert in toevoeging hierop drie nieuwe mechanismes om de samenwerking tegen cyberdreigingen verder te versterken.

Waarschuwingssysteem

Ten eerste zet het een waarschuwingssysteem op om cyberdreigingen te detecteren en hier gezamenlijk op te reageren. Het is een Europa-breed systeem opgedeeld in verschillende ‘hubs’ of knooppunten. Via dit systeem kunnen lidstaten informatie met elkaar delen en zo beter dreigingen detecteren en tegengaan. Dit heeft als doel om cyberbedreigingen effectief en efficiënt op te lossen. 

Noodmechanisme

Ten tweede zet het cyberveiligheidspakket een noodmechanisme op om paraatheid te verhogen. Hierbij wordt gebruik gemaakt van cybersecurity ‘reserves’ uit de private sector om de lidstaten en Europese instanties bij te staan in noodsituaties. Reserves wordt hier in de zin van ‘reservisten’ gebruikt, als in individuen die niet dagelijks bezig zijn met (cyber)veiligheid, maar bij kunnen springen in noodsituaties. Vanuit dit noodmechanisme worden kritische sectoren, zoals de zorg- en energiesector, getest op mogelijke kwetsbaarheden.

Incidentbeoordelingsmechanisme

Ten derde wordt ervoor gezorgd dat incidenten geanalyseerd worden om te onderzoeken hoe effectief de genomen maatregelen tegen cyberincidenten zijn en waren. Zowel het waarschuwingssysteem als het noodmechanisme zullen beoordeeld worden op hun effectiviteit en slagkracht.  

Conclusie

De implementatie van de NIS2 laat zien dat cyberveiligheid in de praktijk brengen uitdagend is, zelfs op nationaal niveau. De Commissie poogt de druk op te voeren met de aanmaningsbrief, zodat de Europese wetgeving wordt nageleefd, maar ook vooral om de EU veiliger te maken. Dat ook de Raad van de EU verdere wetgeving goedkeurt, laat zien dat verdere inzet op cyberveiligheid ook bij de ministers van lidstaten hoog op de agenda staat. Dat de wetswijzigingen van de CSA verdere samenwerking bevorderen, onderstreept de noodzakelijkheid voor een gezamenlijke Europese aanpak.

De wil om door de gehele EU gezamenlijk te werken aan (cyber)veiligheid reflecteert de algehele trend in Europese politiek en beleid om naar een weerbaardere samenleving te werken. Met de verwachting dat defensie en veiligheid ook voor de nieuwe Commissie een belangrijkere rol zullen spelen, is het noodzakelijk dat alle overheidslagen hun bewust zijn van hun rol. Ook decentrale overheden zijn actief zoekend naar hun bijdrage. Dankzij de NIS2 kristalliseert deze bijdrage al, maar door de vertraagde omzetting blijft er ook veel onduidelijkheid.

Toch hoeven decentrale overheden niet stil te zitten. Eerder publiceerden wij al artikelen over waarom niet gewacht moet worden met het nemen van cyberbeveiligingsmaatregelen en welke mogelijke stappen al gezet kunnen worden. Ook schreven wij een praktijkvraag over waarom decentrale overheden al risicobeheersmaatregelen kunnen en wellicht zelfs moeten treffen in het kader van de NIS2.

Meer lezen

Cybersecurity certificering, Rijkdienst Digitale Infrastructuur

Essay Gemeente, word cyberproof, Binnenlands Bestuur