De cyberbeveiligingsverordening van de EU

 

SAMENVATTING VAN:

Verordening (EU) 2019/881 inzake het Agentschap van de Europese Unie voor cyberbeveiliging, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie (de cyberbeveiligingsverordening)

WAT IS HET DOEL VAN DE VERORDENING?

Met de verordening wordt gestreefd naar een hoog niveau van cyberbeveiliging, cyberweerbaarheid en vertrouwen in de Europese Unie (EU) door het vaststellen van:

• de doelstellingen, taken en organisatorische aangelegenheden voor een versterkt en hernoemd Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), met een nieuw permanent mandaat;
• een kader voor vrijwillige Europese cyberbeveiligingscertificeringsregelingen voor producten, diensten en processen op het gebied van informatie- en communicatietechnologie (ICT).

KERNPUNTEN

Enisa heeft als mandaat:

• een hoog gemeenschappelijk cyberbeveiligingsniveau te bereiken in de hele EU;
• steun te verlenen aan de nationale autoriteiten en de instellingen, organen en instanties van de EU met het oog op betere cyberbeveiliging;
• voor de instellingen, organen en instanties van de EU, evenals voor andere betrokken belanghebbenden, te fungeren als referentiepunt voor wetenschappelijk en technisch advies en expertise op het gebied van cyberbeveiliging;
• bij te dragen tot het verminderen van de versnippering van de interne markt;
• zijn taken op onafhankelijke wijze uit te voeren, dubbel werk met de nationale activiteiten te vermijden en rekening te houden met de nationale expertise;
• zijn eigen middelen te ontwikkelen, met inbegrip van technische en menselijke capaciteiten en vaardigheden.

De taken van Enisa zijn:

• helpen bij de ontwikkeling en uitvoering van EU-beleid en -recht;
• bevorderen van capaciteitsopbouw, bijvoorbeeld door betere preventie, opsporing en analyse van, en reactie op, cyberdreigingen* en door steun te verlenen bij de ontwikkeling van nationale computer security incident response teams (CSIRT’s), of door het organiseren van cyberbeveiligingsoefeningen op EU-niveau;
• ondersteunen van operationele samenwerking in de EU tussen alle betrokken belanghebbenden, met inbegrip van de cyberbeveiligingsdienst voor de instellingen, organen en instanties van de Unie (CERT-EU), met name door het uitwisselen van kennis en beste praktijken, het verstrekken van relevante richtsnoeren en dienstverlening met betrekking tot het Europese en nationale CSIRT-netwerk;
• ondersteunen en bevorderen van de ontwikkeling en uitvoering van EU-cyberbeveiligingscertificering van ICT-producten, -diensten en -processen, als onderdeel van de rol bij de voorbereiding van regelingen krachtens het nieuwe Europese cyberbeveiligingscertificeringskader;
• verzamelen en analyseren van kennis en informatie over cyberbeveiliging, met name over opkomende technologieën, cyberdreigingen en -incidenten, met het oog op het verstrekken van informatie en advies aan nationale autoriteiten, relevante belanghebbenden en, door middel van een hiervoor bestemd portaal, het publiek (burgers, organisaties en bedrijven);
• bijdragen tot de maatschappelijke bewustmaking van cyberbeveiligingsrisico’s, verstrekken van richtsnoeren inzake goede praktijken voor individuele gebruikers en bevorderen van het cyberbeveiligingsbewustzijn en cyberbeveiligingsvoorlichting in het algemeen;
• advies verlenen over onderzoeksbehoeften en prioriteiten, en bijdragen aan de strategische onderzoeks- en innovatieagenda van de EU op het gebied van cyberbeveiliging;
• bijdragen aan de inspanningen van de EU om met haar internationale partners en organisaties samen te werken op het gebied van cyberbeveiliging.

Enisa heeft de volgende administratieve en beheersstructuur:

• een raad van bestuur met één vertegenwoordiger van elke EU-lidstaat en twee door de Europese Commissie benoemde leden; de raad van bestuur stelt de algemene opzet vast van de activiteiten van het agentschap en ziet erop toe dat het agentschap zijn taken onder dusdanige omstandigheden uitvoert dat het diensten kan verlenen overeenkomstig de oprichtingsverordening;
• een dagelijks bestuur met vijf leden, dat besluiten opstelt die ter goedkeuring aan de raad van bestuur worden voorgelegd;
• een onafhankelijke uitvoerend directeur, die verantwoording aflegt aan de raad van bestuur en desgevraagd verslag uitbrengt aan het Europees Parlement en de Raad van de Europese Unie, is verantwoordelijk voor het beheer van het agentschap;
• een Enisa-adviesgroep die is samengesteld uit erkende deskundigen van relevante belanghebbenden zoals de ICT-sector, aanbieders van elektronischecommunicatienetwerken of -diensten, kleine en middelgrote ondernemingen, consumenten, academici en aanbieders van essentiële diensten, evenals vertegenwoordigers van overeenkomstig het Europees wetboek voor elektronische communicatie aangemelde bevoegde autoriteiten, normalisatieorganisaties, rechtshandhavingsinstanties en toezichthoudende autoriteiten voor gegevensbescherming, richt zich op voor de belanghebbenden relevante vraagstukken en brengt deze onder de aandacht van Enisa;
• een netwerk van nationale verbindingsfunctionarissen bestaande uit vertegenwoordigers van alle lidstaten vergemakkelijkt de uitwisseling van informatie tussen Enisa en de lidstaten en verleent steun aan Enisa bij de verspreiding op ruime schaal van zijn activiteiten, bevindingen en aanbevelingen.

Bij de verordening worden opgericht:

• een Groep van belanghebbenden bij cyberbeveiligingscertificering bestaande uit erkende deskundigen om bijvoorbeeld de Commissie te adviseren over strategische aangelegenheden met betrekking tot het Europees cyberbeveiligingscertificeringskader en, op verzoek, Enisa advies te verlenen over algemene en strategische aangelegenheden wat betreft de relevante taken van het agentschap;
• een Europese Groep voor cyberbeveiligingscertificering (EGC) bestaande uit nationale vertegenwoordigers om advies en bijstand te verlenen aan de Commissie in haar werkzaamheden om te zorgen voor een consistente uitvoering en toepassing van de verordening, en aan Enisa bij de voorbereiding van potentiële cyberbeveiligingscertificeringsregelingen.

Enisa:

• is opgericht voor onbepaalde tijd met ingang van 27 juni 2019;
• voert zijn werkzaamheden uit overeenkomstig een enig programmeringsdocument, bestaande uit een jaarlijkse en meerjarige programmering;
• volgt de beveiligingsvoorschriften van de Commissie ter bescherming van gevoelige niet-gerubriceerde gegevens en gerubriceerde informatie van de EU;
• onthult aan derden geen verwerkte of ontvangen vertrouwelijke informatie;
• neemt volledig deel aan EU-maatregelen om fraude, corruptie en andere onwettige activiteiten te bestrijden;
• verwerkt persoonsgegevens overeenkomstig de respectieve EU-voorschriften.

Bij de verordening wordt een Europees kader voor cyberbeveiligingscertificering ingesteld om:

• de werking van de interne markt te verbeteren, en wel middels een verhoging van het cyberbeveiligingsniveau in de EU en het mogelijk maken van een geharmoniseerde aanpak op EU-niveau van Europese cyberbeveiligingscertificeringsregelingen, met als doel de totstandbrenging van een digitale eengemaakte markt voor ICT-producten, -diensten en -processen;
• een mechanisme op te zetten voor de totstandbrenging van certificeringsregelingen die waarborgen dat ICT-producten, -diensten en -processen die door middel van dergelijke regelingen zijn geëvalueerd, aan gespecificeerde beveiligingsvoorschriften voldoen met als doel de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die producten, diensten en processen worden aangeboden of toegankelijk zijn, te beschermen gedurende hun gehele levenscyclus.

Binnen het kader:

• de Commissie:
  • publiceert een voortschrijdend werkprogramma van de EU voor Europese cyberbeveiligingscertificering, met daarin strategische prioriteiten en ICT-producten, -diensten en -processen of categorieën daarvan die in het toepassingsgebied van een regeling kunnen worden opgenomen,
  • kan Enisa verzoeken een potentiële certificeringsregeling op te stellen of een bestaande te herzien;
• Enisa:
  • bereidt naar aanleiding van een verzoek van de Commissie of de Europese Groep voor cyberbeveiligingscertificering geschikte ontwerpregelingen voor,
  • evalueert om de vijf jaar elke vastgestelde certificeringsregeling en houdt daarbij rekening met de feedback die het ontvangt,
  • beheert een specifieke website met informatie over de regelingen, certificaten en conformiteitsverklaringen.

De vrijwillige Europese cyberbeveiligingscertificeringsregelingen:

• zijn gericht op het verwezenlijken van verschillende doelstellingen inzake cyberbeveiliging, zoals het beschermen van opgeslagen, doorgegeven en verwerkte gegevens;
• bevatten een aanduiding van het zekerheidsniveau voor ICT-producten, -diensten en -processen: basis, substantieel of hoog;
• bieden fabrikanten en aanbieders van ICT-producten, -diensten en -processen met een laag risico (d.w.z. basis) de mogelijkheid om deze zelf te beoordelen (conformiteitszelfbeoordeling);
• moeten bepaalde elementen omvatten, zoals een duidelijke beschrijving van het doel, onderwerp en toepassingsgebied en de gebruikte evaluatiecriteria en -methoden;
• komen in de plaats van soortgelijke nationale certificeringsregelingen, hoewel die certificaten geldig blijven tot hun vervaldatum.

Fabrikanten en aanbieders van gecertificeerde ICT-producten, -diensten of -processen moeten de volgende informatie openbaar maken:

• richtsnoeren en aanbevelingen om gebruikers te helpen met de installatie, de toepassing en het onderhoud van hun producten of diensten;
• informatie over de duur van de beveiligingsondersteuning;
• hun contactgegevens;
• verwijzingen naar onlineregisters met informatie over bekende cyberbeveiligingsaspecten die gevolgen hebben voor hun producten of diensten.

De lidstaten wijzen een of meer nationale cyberbeveiligingscertificeringsautoriteiten aan die over voldoende middelen en bevoegdheden beschikken voor de monitoring, controle en handhaving van de regels van de Europese cyberbeveiligingscertificeringsregelingen.

De Commissie:

• beoordeelt regelmatig de efficiëntie en het gebruik van de vastgestelde certificeringsregelingen en gaat na of een regeling verplicht moet worden gesteld;
• moest haar eerste gedetailleerde beoordeling uiterlijk op 31 december 2023 afronden, en de daaropvolgende iedere twee jaar daarna;
• moest uiterlijk op 28 juni 2024, en vervolgens om de vijf jaar, het effect, de doeltreffendheid en de efficiëntie van Enisa evalueren.

Natuurlijke en rechtspersonen hebben het recht een klacht in te dienen bij de afgever van een Europees cyberbeveiligingscertificaat en recht op een effectieve voorziening in rechte.

Uitvoeringshandeling

In januari 2024 vaardigde de Commissie Uitvoeringsverordening (EG) 2024/482 uit (zie samenvatting). In deze verordening worden de uitvoeringsbepalingen van Verordening (EU) 2019/881 vastgesteld voor wat betreft de vaststelling van de vrijwillige Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC). Dit is de eerste regeling op EU-niveau en betreft certificaten op “aanzienlijk” of “hoog” garantieniveau voor ICT-producten, zoals hardware en software, met inbegrip van onderdelen als chips en chipkaarten. De verordening bevat gedetailleerde regels voor aspecten zoals:

• normen en eisen voor de evaluatie en afgifte, vernieuwing en intrekking van EUCC-certificaten voor producten en beschermingsprofielen;
• conformiteitsbeoordelingsinstanties die zijn erkend voor het afgeven van certificaten of het uitvoeren van evaluatieactiviteiten;
• toezicht op naleving, non-conformiteit en niet-naleving;
• procedures voor beheer van kwetsbaarheid en openbaarmaking;
• het bewaren van gegevens, het openbaar maken en beschermen van informatie;
• overeenkomsten inzake wederzijdse erkenning met niet-EU-landen;
• peer review van certificerende instanties;
• het onderhoud van de regeling; en
• nationale cyberbeveiligingscertificeringsregelingen die vallen onder het EUCC.

De EUCC-uitvoeringsverordening is van toepassing vanaf 27 februari 2025.

Verordening (EU) 2019/881 en de desbetreffende uitvoeringsverordening doen geen afbreuk aan de verantwoordelijkheden van de lidstaten op het gebied van de openbare veiligheid, defensie, nationale veiligheid en het strafrecht.

De verordening strekt tot intrekking van Verordening (EU) nr. 526/2013 met ingang van 27 juni 2019.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De verordening is sinds 27 juni 2019 van toepassing.

De artikelen over de aanwijzing van nationale cyberbeveiligingscertificeringsautoriteiten, de accreditatie en aanmelding van conformiteitsbeoordelingsinstanties, over het recht een klacht in te dienen bij de afgever van een Europees cyberbeveiligingscertificaat, over het recht op een doeltreffende voorziening en over sancties zijn van toepassing met ingang van 28 juni 2021.

ACHTERGROND

Enisa, dat gevestigd is in Athene en een bijkantoor heeft in Heraklion, draagt sinds 2004 bij aan de netwerk- en informatiebeveiliging van de EU. Zie voor meer informatie:

• Over Enisa — Het agentschap van de Europese Unie voor cyberbeveiliging (Enisa)
• EU-cyberbeveiligingscertificering (Enisa)
• Maatregelen voor cyberbeveiliging — (Europese Commissie).

KERNBEGRIPPEN

BELANGRIJKSTE DOCUMENT

Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15-69).

GERELATEERDE DOCUMENTEN

Uitvoeringsverordening (EU) 2024/482 van de Commissie van 31 januari 2024 houdende uitvoeringsbepalingen van Verordening (EU) 2019/881 van het Europees Parlement en de Raad wat betreft de vaststelling van de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) (PB L, 2024/482, 7.2.2024).

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39-98).

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1-30).

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88).

Achtereenvolgende wijzigingen in Verordening (EU) 2016/679 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

Laatste bijwerking 18.06.2024