Cybersecurity

De Europese Commissie is al jaren bezig om cybercriminaliteit te verminderen en een cyberdefensiebeleid te ontwikkelen. Hiermee worden de netwerk- en informatiesystemen beschermd tegen cybercriminaliteit. Dit is belangrijk, omdat steeds meer sectoren afhankelijk worden van de digitalisering. Ook voor decentrale overheden is het noodzakelijk om maatregelen te nemen ten behoeve van de cybersecurity. Hiermee wordt het vertrouwen van de burgers in de digitale overheid versterkt en hun persoonsgegevens beschermd.

Wat is cybersecurity?

Cybersecurity is een verzamelnaam voor de verschillende soorten activiteiten die bedoeld zijn om netwerk- en informatiesystemen en de gebruikers daarvan te beschermen tegen cybercriminaliteit. Cybercriminaliteit is criminaliteit met het internet en ICT als middel én als doelwit, zoals bijvoorbeeld malware, hacking of phishing mails.

Europees beleid voor cybersecurity

Strategie voor cybersecurity

De Europese Unie heeft diverse acties ondernomen ter bescherming tegen cybercriminaliteit. Al in 2013 ontwikkelde de Commissie de Europese strategie voor cybersecurity. Met deze strategie beoogde de Commissie cybercriminaliteit drastisch te verminderen en een cyberdefensiebeleid te ontwikkelen. Samen met de Europese Veiligheidsagenda, die in 2015 werd vastgesteld, was de strategie hét algemene strategische kader voor EU-initiatieven inzake cyberveiligheid en cybercriminaliteit.

NIS-richtlijn

Een ander onderdeel waarmee de EU de cyberveiligheid probeert te bevorderen is de Europese richtlijn netwerk- en informatiesystemen (NIS-richtlijn). Deze richtlijn is in augustus 2016 in werking getreden. In Nederland is de richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen. De richtlijn was de eerste concretere uitwerking van Europese wetgeving over cybersecurity en dient om de cybersecurity in het algemeen en de veerkracht van netwerk- en informatiesystemen in de lidstaten, dus ook die van decentrale overheden, te verbeteren.

Cyberbeveiligingsverordening

Vervolgens is op 27 juni 2019 ook de cyberbeveiligingsverordening in werking getreden. Hiermee kan de EU grensoverschrijdende cyberaanvallen beter bestrijden. Deze verordening breidt ook het mandaat uit van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA). ENISA is opgericht in 2004 om lidstaten en belanghebbenden te ondersteunen in cyberveiligheid, om te reageren op grensoverschrijdende cyberincidenten en om actief bij te dragen aan het Europese cyberveiligheidsbeleid. Het agentschap krijgt ook de mogelijkheid om EU-cyberbeveiligingscertificaten uit te geven, waarmee decentrale overheden zeker kunnen weten dat hun ICT-producten, -diensten en -processen voldoen aan EU-veiligheidsstandaarden.

nieuwe Cybersecuritystrategie

In december 2020 heeft de EU een nieuwe cybersecuritystrategie uitgebracht. Deze strategie heeft als doel om de collectieve weerbaarheid tegen cyberaanvallen te versterken. Het omvat 3 doelstellingen:

  1. Weerbaarheid, technologische soevereiniteit en leiderschap
  2. Operationele capaciteit opbouwen om te voorkomen, te ontmoedigen en te reageren
  3. Een mondiale en open cyberspace bevorderen via een intensievere samenwerking

De strategie moet ervoor zorgen dat bedrijven en burgers beroep kunnen doen op betrouwbare digitale diensten en tools. Met deze strategie zal de EU haar rol als globale leider opnemen om internationale normen en standaarden in de cyberspace te promoten. De strategie kondigt bovendien aan dat de NIS-richtlijn wordt herzien, om de veiligheidsvereisten te versterken. Daarnaast wordt er een nieuwe richtlijn in het leven geroepen: de Richtlijn inzake de weerbaarheid van kritieke entiteiten (CER). Deze richtlijn moet ervoor zorgen dat de lidstaten elk een nationale strategie vaststellen om de weerbaarheid van kritieke entiteiten te waarborgen, en regelmatig risicobeoordelingen uitvoeren.

De Raad van de Europese Unie publiceerde in maart 2021 haar conclusies over de cybersecuritystrategie. Hieruit bleek dat de Raad positief is, maar de Commissie wel aanmoedigt om een gedetailleerder uitvoeringsplan op te stellen. Zo kunnen de ontwikkeling, uitvoering en monitoring van de voorstellen in de cybersecuritystrategie gewaarborgd worden.

Decentrale overheden

Decentrale overheden verwerken veel persoonsgegevens. Hierdoor kunnen ook zij het doelwit worden van cybercriminaliteit. Het is daarom belangrijk voor decentrale overheden dat hun netwerk op een juiste manier beveiligd is. Een krachtige cybersecurity draagt bovendien bij aan het draaiende houden van de online economie en het waarborgen van de welvaart. Vertrouwen en beveiliging is essentieel, voor zowel de burger als de decentrale overheid. De regels die de EU opstelt ten behoeve van de cybersecurity zijn daarom ook nuttig voor decentrale overheden. Meer informatie over de impact van cybersecurity voor decentrale overheden kunt u in deze praktijkvraag lezen.

Meer weten over dit onderwerp?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

Stel direct uw vraag