Een strategie omvat de beveiliging van essentiële diensten, het omvat ook de beveiliging van het steeds toenemende aantal verbonden objecten in onze huizen, kantoren en fabrieken.
De strategie richt zich op het opbouwen van collectieve capaciteiten om te reageren op grote cyberaanvallen en op samenwerking met partners over de hele wereld om internationale veiligheid en stabiliteit in cyberspace te waarborgen.
Cybersecuritybedreigingen zijn bijna altijd grensoverschrijdend en een cyberaanval op de kritieke faciliteiten van één land kan de EU als geheel treffen. EU-landen moeten sterke overheidsinstanties hebben die toezicht houden op cybersecurity in hun land en die samenwerken met hun tegenhangers in andere lidstaten door informatie te delen. Dit is met name belangrijk voor sectoren die van cruciaal belang zijn voor onze samenlevingen.
De eerste richtlijn over de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) zorgt voor de oprichting en samenwerking van dergelijke overheidsinstanties. Deze richtlijn werd eind 2020 herzien, wat leidde tot het voorstel en de goedkeuring van de NIS2-richtlijn. Lidstaten hadden tot 18 oktober 2024 de tijd om NIS2 volledig om te zetten en te implementeren.
ENISA is het Agentschap van de Europese Unie voor cyberbeveiliging, dat in 2005 werd opgericht. Het mandaat werd in 2019 herzien en sindsdien heeft het Agentschap een permanent mandaat.
De belangrijkste doelstellingen en taken van ENISA zijn vastgelegd in de basiswet, namelijk de Cybersecurity Act (CSA). ENISA biedt ondersteuning aan lidstaten, EU-instellingen en bedrijven op belangrijke gebieden, waaronder de implementatie van de NIS-richtlijn, de Cyber Resilience Act en de Cyber Solidarity Act. Het Agentschap ondersteunt ook het cyberbeveiligingscertificeringsproces van ICT-producten, ICT-diensten en ICT-processen, zoals vastgelegd in Titel III van de CSA.
De Cybersecurity Act werd in 2019 aangenomen en versterkte de rol van het Europees Agentschap voor Cybersecurity (ENISA). Het gaf het agentschap een permanent mandaat en gaf het de bevoegdheid om bij te dragen aan het opvoeren van zowel operationele samenwerking als crisismanagement in de EU. Het heeft ook meer financiële en personele middelen dan voorheen.
De Cybersecurity Act stelde ook het European Cybersecurity Certification Framework (ECCF) in, dat gemeenschappelijke cybersecurityvereisten en evaluatiecriteria biedt voor de certificering van ICT-producten, ICT-diensten en ICT-processen. Meer informatie vindt u op de speciale website van ENISA.
Een gerichte wijziging van de Cybersecurity Act, aangenomen op 15 januari 2025, breidde de reikwijdte van de certificering uit naar beheerde beveiligingsdiensten.
De Cyber Resilience Act trad in werking op 10 december 2024. Het stelt gemeenschappelijke normen vast voor producten met digitale elementen, waaronder hardware en software. Dergelijke producten moeten voldoen aan specifieke cybersecurityvereisten gedurende hun hele levenscyclus, waaronder automatische beveiligingsupdates en incidentrapportage. De wet introduceert ook een zorgplicht voor fabrikanten, die ervoor zorgt dat producten zowel qua ontwerp als qua standaard veilig zijn. Deze verordening beschermt consumenten en bedrijven tegen cyberdreigingen door een veiligere digitale omgeving mogelijk te maken.
De Cyber Solidarity Act werd op 15 januari 2025 aangenomen, met als doel de paraatheid, detectie en reactie op cyberbeveiligingsincidenten in de hele EU te verbeteren.
Onderzoek naar digitale beveiliging is essentieel voor het bouwen van innovatieve oplossingen die ons kunnen beschermen tegen de nieuwste, meest geavanceerde cyberdreigingen. Daarom is cyberbeveiliging een belangrijk onderdeel van Horizon 2020 en zijn opvolger Horizon Europe.
In 2016 werd het Horizon 2020 contractuele publiek-private partnerschap (cPPP) op het gebied van cybersecurity opgericht tussen de Europese Commissie en de Europese Cy ber Security Organisation (ECSO), een vereniging bestaande uit leden uit de cyberindustrie, de academische wereld, overheidsdiensten en meer.
Onze fysieke en digitale infrastructuren zijn nauw met elkaar verweven. Daarom heeft de Commissie ook geïnvesteerd in cyberbeveiliging als onderdeel van haar infrastructuurinvesteringsprogramma, de Connecting Europe Facility (CEF), voor de periode 2014-2020.
CEF-ondersteuning is gegaan naar computer security incident response teams, operators of essential services (OES), digital service providers (DSP’s), single points of contact (SPOC) en nationale bevoegde autoriteiten (NCA’s). Dit verbetert de cyberbeveiligingscapaciteiten en de grensoverschrijdende samenwerking binnen de EU, ter ondersteuning van de implementatie van de EU Cybersecurity-strategie.
De Europese cybersecurity industriële, technologische en onderzoekscompetentiecentrum zullen hun expertise bundelen en de Europese ontwikkeling en inzet van cybersecuritytechnologie op elkaar afstemmen. Het zal samenwerken met de industrie, de academische gemeenschap en anderen om een gemeenschappelijke agenda voor investeringen in cybersecurity op te stellen en te beslissen over financieringsprioriteiten voor onderzoek, ontwikkeling en uitrol van cybersecurityoplossingen via de programma’s Horizon Europe en Digital Europe.
Op 24 februari 2025 werd een ontwerpaanbeveling van de Raad over de EU-blauwdruk voor cybersecuritycrisisbeheer (Cyber Blueprint) gepubliceerd. Het doel van deze aanbeveling is om op een duidelijke, eenvoudige en toegankelijke manier het EU-kader voor cybercrisisbeheer te presenteren. De voorgestelde blauwdruk actualiseert het uitgebreide EU-kader voor cybersecuritycrisisbeheer en brengt de relevante EU-actoren in kaart, waarbij hun rollen gedurende de hele crisiscyclus worden geschetst. Dit omvat paraatheid en gedeeld situationeel bewustzijn om cyberincidenten te anticiperen, en de nodige detectiemogelijkheden om ze te identificeren, inclusief de respons- en hersteltools die nodig zijn om die incidenten te beperken, af te schrikken en in te dammen.