Volgens Commissievoorzitter Ursula von der Leyen kan de EU het zich niet permitteren afhankelijk te zijn van anderen voor de technologieën die ziekenhuizen draaiende houden, energienetten stabiel houden en publieke diensten beveiligen. Het gaat daarbij expliciet om het beschermen van burgers, het verdedigen van Europese belangen en het veilig kunnen maken van eigen keuzes in het digitale domein.
EU verplicht soevereiniteitstoets digitale diensten
De Europese Commissie heeft vandaag een nieuw wetgevingspakket gepresenteerd dat de digitale soevereiniteit van de EU moet versterken, maar nuanceert tegelijk de reikwijdte daarvan. Slechts één procent van de publieke diensten in Europa zou volgens de Commissie zó gevoelig zijn dat buitenlandse technologie volledig uitgesloten moet worden.
Soevereiniteitsrisicobeoordeling
Het zwaartepunt van het pakket, de EU-wet op cloud- en AI‑ontwikkeling, bevat een bepaling die de Commissie in staat stelt landen door te lichten op de vraag of zij voldoende betrouwbaar zijn om Europa’s gevoelige publieke sectoren te bedienen. Lidstaten worden verplicht voor elke digitale dienst waarvan zij afhankelijk zijn een soevereiniteitsrisicobeoordeling uit te voeren. Daarbij moeten zij onder meer kijken naar buitenlandse zeggenschap, toegang tot gevoelige gegevens en het risico op verstoring van de dienstverlening.
Binnen een jaar moeten EU-landen per publieke sector een passend beschermingsniveau vaststellen en hun digitale inkoop daarop afstemmen, tenzij zij kunnen aantonen dat dit tot onevenredig hoge kosten zou leiden. De Commissie behoudt zich het recht voor nationale beoordelingen later met wetgeving te corrigeren als zij vindt dat lidstaten risico’s hebben gebagatelliseerd. Voor het hoogste beschermingsniveau, waar buitenlandse technologie volledig wordt uitgesloten, komt volgens de Commissie dus slechts circa één procent van de publieke diensten in aanmerking.
Versterken Europese aanbieders
Het pakket is nadrukkelijk ook bedoeld om Europese aanbieders te versterken. Publiek geld moet nadrukkelijker naar producten gaan die bijdragen aan de Europese economie en de onafhankelijkheid van buitenlandse leveranciers. Daarnaast wil de Commissie administratieve lasten voor datacenters verminderen, onderzoek en innovatie stimuleren via ‘leiderschapsinitiatieven’ en lidstaten aansporen digitale capaciteit te bundelen in een nieuw ‘Eurocloud’-forum. EU-regeringen moeten bovendien nationale strategieën ontwikkelen om de adoptie van geavanceerde technologie, waaronder AI, te versnellen.
... zonder de VS voor het hoofd te stoten
De voorstellen komen op tafel terwijl sommige lidstaten waarschuwen dat een volledige ontkoppeling van Amerikaanse technologie noch realistisch, noch wenselijk is. De Commissie benadrukt dat de maatregelen niet specifiek tegen Amerikaanse bedrijven zijn gericht. De bestaande trans-Atlantische afspraken over gegevensbescherming en inspanningen van grote techbedrijven om extra waarborgen in te bouwen, houden de deur naar de Europese markt open. Tegelijk onderstreept het pakket dat in een beperkt, maar cruciaal deel van de publieke sector strengere eisen zullen gelden, waarbij buitenlandse technologie geen optie meer is.
De wetgevingsvoorstellen gaan nu door voor behandeling in het Europees Parlement en de Raad van de Europese Unie.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
En nu praktisch maken! Dus security audits verplichten, door o.a. strengere eisen te stellen aan open-source platforms, waaronder verplichte code-audits en aantoonbare naleving van Europese cybersecurity-richtlijnen. Prioriteer datacenters en hosting binnen Europese grenzen om buitenlandse beïnvloeding te beperken. Breidt de Cyber Resilience Act uit met de integratie van specifieke bepalingen voor kleinere platforms om hen te verplichten tot security monitoring en rapportage van incidenten (kan met de juiste tooling real-time). Stimuleer de ontwikkeling van veilige open-source ecosystemen en repositories binnen Europa. Geef financiële steun aan kleinere platforms voor het implementeren van geavanceerde beveiligingsmaatregelen. Werk samen met EU-partners om potentiële bedreigingen vanuit het buitenland vroegtijdig te detecteren en digitaal te delen (collaborative SOCs over Zero Trust Data Federation nodes).
Creëer pan-Europese teams voor snelle reactie op supply chain aanvallen en breng die collaboratieve supply chains en hun potentiële combinatorische effecten ook gericht in kaart. Wat upstream fout gaat, dreunt downstream door. Implementeer een ‘zero trust’-model in de software supply chain om toegang tot kwetsbare componenten te minimaliseren en check hierbij meteen de dual use lijst dus deel die data. Introduceer verplichte scanning en validatie van softwarecomponenten in repositories omwille van dependency management en root cause analysis verbetering. Gebruik AI-gedreven tools om verdachte activiteiten in repositories, zoals Codeberg, GitHub en NPM te detecteren. Implementeer SOC’s (Security Operations Centers) ook specifiek gericht op open-source platformen, want juist dat soort platforms moeten het hebben van hun eigen community om hun beveiliging en patch management up to date te houden dus infiltratie wordt hier minder snel gezien. Verplicht code-ondertekening voor alle software gepubliceerd op open-source platforms en eis dat alle software een SBOM (Software Bill of Materials) bevat om componenten volledig traceerbaar te maken.
Laten we vooral ook aandacht hebben voor de risico analyse van kleinere platforms, ipv alleen Big Tech bashing, want ook die moeten worden beoordeeld op hun capaciteit om supply chain risico’s te mitigeren. Prioriteer dus defensieve maatregelen tegen potentiële spionageactiviteiten gericht op Europese open-source ecosystemen, want die zijn nu kwetsbaarder dan ooit. Voer scenario-gebaseerde oefeningen uit om de respons op supply chain aanvallen te testen. Meer aandacht voor Business Continuity Management. Train ontwikkelaars om beveiliging vanaf de ontwerpfase te integreren en controleer daar ook op. Testen is een vak, dus heb oog voor dat versiebeheer.
Soevereiniteit moet je bevechten, dus dat is geen kwestie van idealisme, maar van toegepaste logica.