Je hoort op het moment veel over cyberveiligheid en de gevaren van ICT-kwetsbaarheden. Dit speelt ook steeds meer in mijn organisatie. Doet de EU iets op dit gebied?
Antwoord in het kort
Ja, de EU heeft onder andere een cyberbeveiligingsverordening aangenomen waarmee het Europees Agentschap voor netwerk- en informatiebeveiliging werd uitgebreid. Binnenkort wordt hiermee ook een cyberbeveiligingscertificeringschema beschikbaar, dit maakt het mogelijk om EU-cyberveiligheidscertificaten aan te vragen voor ICT-producten, -diensten en -processen. Dit biedt decentrale overheden de zekerheid dat hun ICT-producten, -diensten en -processen voldoen aan EU-veiligheidsstandaarden.
Digitale interne markt
Het voltooien van de digitale interne markt is een van de pijlers van de Europese Commissie. ICT vormt namelijk de basis van alle moderne innovatieve economische systemen en faciliteert het aanbieden van diensten en producten over de grens. De Commissie heeft al veel voorstellen aangenomen om dit te bewerkstelligen. Het beschermen van netwerk- en informatiesystemen binnen de EU is essentieel om deze moderne economische systemen in stand te houden. De EU heeft hiervoor in 2017 het cybersecurity pakket aangenomen. Een van de onderdelen van dit pakket, de cyberbeveiligingsverordening, is sinds april 2019 in werking.
Wat is cybersecurity?
In 2013 ontwikkelde de Europese Commissie al de Europese strategie voor cybersecurity. Met deze strategie beoogt de Commissie cybercriminaliteit drastisch te verminderen en een cyberdefensiebeleid te ontwikkelen. Samen met de Europese Veiligheidsagenda, die in 2015 werd vastgesteld, is de strategie hét algemene strategische kader voor EU-initiatieven inzake cyberveiligheid en cybercriminaliteit. De Europese Veiligheidsagenda is vastgesteld voor de periode 2015-2020 en moet de samenwerking tussen de lidstaten ondersteunen bij het aanpakken van veiligheidsrisico’s en de gezamenlijke bestrijding van terrorisme, georganiseerde misdaad en cybercriminaliteit. Terrorisme, georganiseerde misdaad en cybercriminaliteit houden namelijk niet op bij de grens, aldus de strategie.
Doordat decentrale overheden steeds meer digitale diensten aanbieden, moeten zij hun beleid omtrent cybersecurity ook actualiseren. Het is van belang, mede voor de veiligheid van de burger, om cybercriminaliteit te bestrijden. Veel kritische processen, zoals de BRP, worden immers digitaal beheerd. Cybersecurity (of: cyberbeveiliging) wordt door de EU in de cyberbeveiligingsverordening gedefinieerd als ‘de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, (…) te beschermen’. Dit is heel breed en hier vallen dus ook de netwerk- en informatiesystemen van decentrale overheden onder.
De cyberbeveiligingsverordening
De cyberbeveiligingsverordening is in werking getreden op 27 juni 2019 en breidt onder meer het mandaat van Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) uit. Het agentschap krijgt ook de mogelijkheid om EU-cyberbeveiligingscertificaten uit te geven, waarmee decentrale overheden zeker kunnen weten dat hun ICT-producten, -diensten en -processen voldoen aan EU-veiligheidsstandaarden.
ENISA
ENISA is opgericht in 2004 om lidstaten en belanghebbenden te ondersteunen in cyberveiligheid, om te reageren op grensoverschrijdende cyberincidenten en om actief bij te dragen aan het Europese cyberveiligheidsbeleid. Op die manier draagt ENISA bij aan een goed functionerende digitale interne markt.
Cyberbeveiligingscertificaten
Een van de uitbreidingen aan het mandaat is het inroepen van het eerste EU-wijde cyberveiligheidscertificeringsschema. Door middel van deze verordening wordt het mogelijk om EU-cyberveiligheidscertificaten aan te vragen voor ICT-producten, -diensten en -processen. Deze certificaten garandeert dat de producten, diensten en processen zijn geëvalueerd en aan specifieke beveiligingsvoorschriften voldoen. Voor decentrale overheden is het nuttig om te weten dat er nu een EU-wijde standaard is waar zij op kunnen vertrouwen wanneer zij nieuwe ICT inkopen.
Richtlijn netwerk- en informatiesystemen in de EU
Een ander onderdeel waarmee de EU probeert de cyberveiligheid te bevorderen is de Europese richtlijn netwerk- en informatiesystemen (NIS-richtlijn). Deze is al in augustus 2016 in werking getreden. Deze richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen welke op 17 oktober 2018 is aangenomen. De richtlijn was de eerste concretere uitwerking van Europese wetgeving over cybersecurity en dient om de cybersecurity in het algemeen en de veerkracht van netwerk- en informatiesystemen in de lidstaten, dus ook die van decentrale overheden, te verbeteren. Wat dit betekent voor decentrale overheden kunt u vinden in deze praktijkvraag.
Bron
Cyberbeveiligingsverordening, Europese Unie
Meer informatie
NIS-richtlijn, Europese Unie
Praktijkvraag cybercriminaliteit 2016, Kenniscentrum Europa Decentraal
