Digitale toekomst eu
Artikel

EU Cyber Solidarity Act: “Geen lidstaat mag de zwakste link zijn”

Er komt een pan-Europees Cyber Schild, een Europees netwerk van nationale cyberveiligheidcoördinatiecentra. | Beeld: Shutterstock/iBestuur

Brussel heeft de coördinatie opgepakt in de cyberverdediging op Europees niveau. Want het aantal aanvallen door hacktivists en staatsgesponsorde actoren stijgt. Met de EU-wet inzake cyber­solidariteit wordt de capaciteit in de EU om significante en grootschalige cyberdreigingen en -aanvallen op te sporen, voor te bereiden en erop te reageren, versterkt.

De Cyber Solidarity Act is een ontwerpwet waarvan het belangrijkste ingrediënt het pan-Europese Cyber Schild is. Dat is een Europees netwerk van nationale cyberveiligheidcoördinatiecentra waarvan veel lidstaten, waaronder Nederland, er al een hebben. Daarboven komt een Europese laag van drie grensoverschrijdende Security Operational Centers, die met state of the art-technologie als AI dreigingen detecteren en lidstaten waarschuwen. Dat stelt lidstaten en andere entiteiten in staat om eerder te reageren op dreigingen. En bij dreiging is reactie­snelheid heel belangrijk. De Security Operational Centers moeten begin 2024 al operationeel worden. Er zijn inmiddels drie consortia gevormd die dat organiseren vanuit 17 lidstaten en IJsland.

Cybernoodmechanisme

De ontwerpwet omvat nog twee onderdelen. Er komt een cybernoodmechanisme om de lidstaten te ondersteunen bij de voorbereiding en reactie op significante en grootschalige cyberincidenten. Via dit mechanisme worden kwetsbare sectoren als de zorg, transport en energie EU-breed getest op kwetsbaarheden. Het EU-cyberbeveiligingsschild en het noodmechanisme voor cyberbeveiliging van deze verordening zullen worden ondersteund door financiering vanuit het programma Digitaal Europa (DEP).

Het Europees Parlement en de Raad bespreken de voorgestelde verordening inzake de EU Cybersolidariteitswet de komende tijd.

Verder komt er een Europees mechanisme voor incidenten op het gebied van cyberbeveiliging om specifieke significante of grootschalige incidenten te beoordelen. Ook houdt de EU een aantal vertrouwde providers achter de hand om te interveniëren bij een grootschalige aanval: de EU-reserve voor cyberbeveiliging. Op verzoek van de lidstaten staat de EU-reserve voor cyberbeveiliging de bevoegde autoriteiten bij, bij het reageren op significante of grootschalige cyberbeveiligings­incidenten en bij het onmiddellijk herstellen van dergelijke incidenten. De steun van deze EU-Cyberbeveiligingsreserve vormt in het voorstel een aanvulling op nationale risico­beperkende maatregelen en ondersteunende acties.

Hoge eisen aan selectie van providers

De selectie van de providers vindt plaats via een aanbestedingsprocedure, met als eisen onder meer: de hoogste graad van professionele bekwaamheid om de diensten te verlenen en een kader om gevoelige informatie te beschermen. Ook moet er bewijs zijn van een transparante bestuursstructuur waaruit integriteit en afwezigheid van belangenconflicten blijkt. Het personeel moet gescreend zijn, er moeten veilige IT-systemen zijn en aantoonbare eerdere ervaring met het verlenen van diensten aan nationale autoriteiten en entiteiten die actief zijn in de kritieke en zeer kritieke sectoren in de Unie. ENISA stelt na raadpleging van de lidstaten en de Commissie een overzicht op van de diensten die nodig zijn voor de EU-reserve voor cyberbeveiliging.

Verder komt er volgens het wetsvoorstel een ondersteuningsmechanisme waarbij een aangevallen lidstaat hulp krijgt van andere lidstaten. De aanpak is grotendeels gebaseerd op de Oekraïense ervaringen waar dat al werkt. Nederland, als een van de voorlopers op IT-gebied, is positief over de aanpak.

Kennis delen via een Digital Skills Academy

Verder moet de cyberveiligheid ook bemenst worden en dat is een grote uitdaging. Vestager zei eerder dit jaar dat de Europese Unie nu al honderdduizenden veiligheidsexperts te kort komt. Dat tekort wil de Europese Commissie bestrijden met de Digital Skills Academy. Dat is geen opleidings­instituut maar een lijst van trainingen, vaardig­heden en certificeringen voor professionals. Om die reden vindt Nederland de naam Academy wat te veel van het goede. Via het platform moeten overheden en bedrijven samen werken aan het verspreiden van kennis. Het platform wordt voorlopig gehost op het digitale banenplatform van de EU. Om het platform eigenstandig van de grond te trekken, komt er een call op het Digital Europe programma. Het moet uitgroeien tot een digitale ontmoetingsplek voor trainers, academici en de industrie om skills, programma’s, fondsen, trainingen en algemene inzichten over de banenmarkt in de cybersecurity te delen.

Overleg in Europees verband

Het Europees Parlement en de Raad bespreken de voorgestelde verordening inzake de EU Cybersolidariteitswet de komende tijd. Het EU-Agentschap voor cyberbeveiliging (ENISA) en het Europees Competentiecentrum voor cyber­beveiliging (ECCC) zullen blijven werken aan vaardigheden op het gebied van cyberbeveiliging en bijdragen aan de uitvoering van de Academie voor vaardigheden op het gebied van cyberbeveiliging, overeenkomstig hun respectieve mandaten en in nauwe samenwerking met de Commissie en de lidstaten, laat de Europese Commissie weten. Nederland heeft enige angst dat er dubbelmandaten gaan ontstaan en daar is ons land tegen. Het pakket kost totaal 1,19 miljard euro. Volgens eurocommissaris Schinas is het dat meer dan waard. “Geen lidstaat mag de zwakste link zijn.”

Ook gepubliceerd in iBestuur Magazine #48 van 19 oktober 2023

 

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren