Europese Commissie biedt pakket tegen cyberdreigingen en spionage
In de strijd tegen toenemende hybride aanvallen en digitale sabotage door statelijke actoren en criminelen, heeft de Europese Commissie vandaag een ingrijpend cyberbeveiligingspakket gepresenteerd. Met een herziene verordening wil Brussel de grip op ICT-toeleveringsketens vergroten en de veiligheid van digitale producten voor consumenten garanderen via een vereenvoudigd certificeringsproces.
De noodzaak voor de nieuwe regels is volgens de Commissie hoog. Europa wordt dagelijks bestookt met aanvallen op essentiële diensten en democratische instellingen. In het huidige geopolitieke klimaat is beveiliging niet langer slechts een technische kwestie, maar een strategische prioriteit waarbij de afhankelijkheid van leveranciers uit derde landen kritisch onder de loep wordt genomen.
Aanpak van hoog-risicoleveranciers
Een kernpunt in het voorstel is het verminderen van risico's in de toeleveringsketen. De nieuwe verordening biedt een kader om gezamenlijk risico's vast te stellen in achttien kritieke sectoren.
Opvallend is de verplichte beperking van leveranciers met een hoog risico voor mobiele netwerken, een voortzetting van de eerdere '5G-toolbox'. Hiermee kan de EU directer ingrijpen wanneer de veiligheid van vitale infrastructuur in het geding komt door buitenlandse inmenging of onbetrouwbare partners.
Certificering en lastenverlichting
Om de veiligheid van ICT-producten en -diensten transparanter te maken, wordt het Europees kader voor cyberbeveiligingscertificering (ECCF) vernieuwd:
Snelheid: Nieuwe certificeringsregelingen moeten voortaan binnen twaalf maanden ontwikkeld kunnen worden.
Minder bureaucratie: Voor bijna 29.000 bedrijven, waaronder veel mkb-bedrijven, worden de regels rondom de NIS2-richtlijn verduidelijkt om de nalevingskosten te drukken.
Ransomware: Er komt een gecentraliseerd punt voor het melden van incidenten, wat het makkelijker maakt om data over gijzelsoftware te verzamelen en te bestrijden.
Cruciale rol voor Enisa
Het EU-agentschap voor cyberbeveiliging (Enisa) krijgt een fors uitgebreid mandaat. Het agentschap gaat bedrijven actiever ondersteunen met vroegtijdige waarschuwingen en helpt bij het herstel na ransomware-aanvallen in samenwerking met Europol. Daarnaast krijgt Enisa de taak om het tekort aan geschoold personeel aan te pakken via een nieuwe academie voor cyberbeveiligingsvaardigheden en EU-brede certificaten voor professionals.
Volgende stappen
De voorstellen worden nu ter goedkeuring voorgelegd aan het Europees Parlement en de Raad van de EU. Zodra de regels zijn aangenomen, is de verordening direct van kracht. Voor de wijzigingen in de NIS2-richtlijn krijgen de lidstaten na goedkeuring één jaar de tijd om deze in nationale wetgeving te verankeren.
Meer over cybersecurity
Over Witold Kepinski
