Europese Commissie herziet cyberbeveiligingswet voor sterkere digitale weerbaarheid

De herziening van de CSA, die oorspronkelijk in 2019 werd aangenomen, is noodzakelijk gezien de snel evoluerende complexiteit van het cyberbeveiligingslandschap en het toenemende aantal cyberaanvallen in de afgelopen vijf jaar. ENISA kreeg destijds een breed mandaat om aan de cyberbeveiligingsbehoeften van de EU te voldoen, maar nieuwe wetgevingshandelingen hebben de taken van het agentschap verder uitgebreid.

Een belangrijk onderdeel van de herziening is het aanpassen van het mandaat van ENISA en het verbeteren van het ECCF. Het ECCF speelt een cruciale rol bij het beschermen van Europese industrieën, burgers en kritieke infrastructuur tegen interne en externe bedreigingen door de beveiliging van ICT-toeleveringsketens te verbeteren. Er is echter ruimte voor verbetering wat betreft de snelheid en effectiviteit van het goedkeuringsproces, de duidelijkheid en toewijzing van rollen en verantwoordelijkheden, en de onderhoudsfase van certificeringsregelingen. Ook is er behoefte aan meer duidelijkheid over de risico's die door het ECCF worden gedekt en hoe niet-technische risicofactoren kunnen worden aangepakt.

De Commissie overweegt verschillende beleidsopties, variërend van niet-wetgevende maatregelen tot een uitgebreide regulerende interventie. Een uitgebreide aanpak zou het mandaat van ENISA verder versterken, de efficiëntie van het ECCF verbeteren, de reikwijdte ervan uitbreiden en uitdagingen op het gebied van ICT-toeleveringsketenbeveiliging, inclusief niet-technische risicofactoren, aanpakken. Ook zou het de rapportageverplichtingen en mogelijk andere cyberbeveiligingsmaatregelen vereenvoudigen.

ECCF

De initiatieven zullen naar verwachting langetermijn positieve economische effecten hebben. Het stroomlijnen van taken en het vereenvoudigen van rapportageverplichtingen zullen de administratieve lasten voor bedrijven helpen verminderen. Een verbeterde efficiëntie en effectiviteit van het ECCF zal naar verwachting een positieve invloed hebben op de interne markt door meer harmonisatie te bieden en bij te dragen aan een hoger niveau van cyberbeveiliging en cyberweerbaarheid. Bovendien worden positieve sociale gevolgen verwacht, zoals een vermindering van de impact van cyberincidenten en cybercriminaliteit, en een verbeterde bescherming van fundamentele rechten, met name het recht op bescherming van persoonsgegevens.

Een effectbeoordeling, ondersteund door gegevensverzameling en stakeholderconsultatie, zal de beleidsinitiatieven voorbereiden. In 2024 is reeds een evaluatie van de CSA uitgevoerd, waarbij de prestaties van ENISA en het ECCF zijn onderzocht. Hieruit bleek dat hoewel ENISA de meeste taken uitvoerde, het mandaat beter moest worden afgestemd op recentere cyberbeveiligingswetgeving en dat verbeteringen nodig waren in de ondersteuning van beleidsimplementatie en stakeholderbetrokkenheid.

In lijn met de publicatie van deze "oproep tot het indienen van bewijsstukken", lanceert de Commissie een openbare raadpleging via EU Survey, die openstaat tot 20 juni 2025. De Commissie nodigt diverse belanghebbenden uit, waaronder nationale bevoegde autoriteiten, cyberbeveiligingsgroepen, brancheverenigingen, academici, cyberbeveiligingsprofessionals en consumentenorganisaties, om hun mening te geven over de herziening van het ENISA-mandaat, het ECCF en de behoefte aan vereenvoudiging van cyberbeveiligingsmaatregelen en rapportageverplichtingen.