This document is an excerpt from the EUR-Lex website
Document 52017AE4390
Opinion of the European Economic and Social Committee on the ‘Proposal for a Regulation of the European Parliament and of the Council on ENISA, the “EU Cybersecurity Agency”, and repealing Regulation (EU) No 526/2013, and on Information and Communication Technology cybersecurity certification (“Cybersecurity Act”)’ (COM(2017) 477 final/2 2017/0225 (COD))
Advies van het Europees Economisch en Sociaal Comité over een voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie („de cyberbeveiligingsverordening”) (COM(2017) 477 final/2 2017/0225 (COD))
Advies van het Europees Economisch en Sociaal Comité over een voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie („de cyberbeveiligingsverordening”) (COM(2017) 477 final/2 2017/0225 (COD))
EESC 2017/04390
PB C 227 van 28.6.2018, p. 86–94
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
28.6.2018 |
NL |
Publicatieblad van de Europese Unie |
C 227/86 |
Advies van het Europees Economisch en Sociaal Comité over een voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie („de cyberbeveiligingsverordening”)
(COM(2017) 477 final/2 2017/0225 (COD))
(2018/C 227/13)
Rapporteur: |
Alberto MAZZOLA |
Corapporteur: |
Antonio LONGO |
Raadpleging |
Europees Parlement, 23.10.2017 Raad van de Europese Unie, 25.10.2017 |
Rechtsgrondslag |
Artikel 114 VWEU |
Bevoegde afdeling |
Vervoer, Energie, Infrastructuur en Informatiemaatschappij |
Goedkeuring door de afdeling |
5.2.2018 |
Goedkeuring door de voltallige vergadering |
14.2.2018 |
Zitting nr. |
532 |
Stemuitslag (voor/tegen/onthoudingen) |
206/1/2 |
1. Conclusies en aanbevelingen
1.1. |
Volgens het EESC zal het nieuwe permanente mandaat van Enisa, zoals voorgesteld door de Commissie, aanzienlijk bijdragen tot een betere veerkracht van de Europese systemen. De bijgevoegde voorlopige begroting en de aan Enisa toegewezen middelen zullen echter onvoldoende zijn om het agentschap in staat te stellen zijn mandaat te vervullen. |
1.2. |
Het EESC raadt alle lidstaten aan om een duidelijke en gelijkwaardige tegenhanger van Enisa op te richten aangezien de meeste dit nog niet hebben gedaan. |
1.3. |
Wat capaciteitsopbouw betreft, moet Enisa volgens het EESC prioriteit geven aan acties ter ondersteuning van e-overheid (1). De digitale identiteit in de EU of wereldwijd voor personen, organisaties en dingen is van cruciaal belang, en het voorkomen en bestrijden van identiteitsdiefstal en online fraude moeten een prioriteit zijn. |
1.4. |
Het EESC beveelt aan dat Enisa regelmatig verslag uitbrengt over de cyberparaatheid van de lidstaten, waarbij de aandacht in de eerste plaats uit moet gaan naar de in bijlage II bij de NIS-richtlijn genoemde sectoren. Een jaarlijkse Europese cyberoefening zou moeten nagaan hoe paraat de lidstaten zijn en hoe doeltreffend het Europese cybercrisisbestrijdingsmechanisme is; ook zouden er aanbevelingen moeten worden geformuleerd. |
1.5. |
Het EESC steunt het voorstel om een kennisnetwerk op het gebied van cyberbeveiliging op te richten. Dit netwerk zou worden ondersteund door een onderzoeks- en kenniscentrum voor cyberbeveiliging (CRCC). Dit netwerk zou de Europese digitale soevereiniteit kunnen ondersteunen door de ontwikkeling van een concurrerende Europese industriële basis voor cruciale technologische vaardigheden op basis van de werkzaamheden van het contractuele publiek-private partnerschap (cPPP), dat zou moeten evolueren tot een tripartiete gemeenschappelijke onderneming. |
1.6. |
De menselijke factor is een van de belangrijkste oorzaken van cyberongevallen. Het EESC vindt dat er een sterke cybervaardighedenbasis moet komen en dat de cyberhygiëne moet worden verbeterd, ook via bewustmakingscampagnes onder burgers en bedrijven. Het EESC onderschrijft de invoering van een door de EU erkend curriculum voor middelbare scholen en professionals. |
1.7. |
Een Europese digitale interne markt heeft ook behoefte aan een uniforme interpretatie van de regels voor cyberbeveiliging, met inbegrip van wederzijdse erkenning tussen de lidstaten, en aan een certificeringskader en -regelingen voor de diverse sectoren die een gemeenschappelijke basis kunnen bieden. De verschillende sectoren vergen echter ieder een andere aanpak vanwege de manier waarop zij functioneren. Daarom zouden sectorale EU-agentschappen (EASA, ERA, EMA enz.) bij het proces betrokken moeten worden en in sommige gevallen, met instemming van Enisa ter wille van de samenhang, de mogelijkheid moeten krijgen om cyberbeveiligingsregelingen op te stellen. In samenwerking met CEN/Cenelec/ETSI moeten Europese minimumnormen voor IT-beveiliging worden vastgesteld. |
1.8. |
De beoogde door Enisa ondersteunde Europese groep voor certificering van cyberbeveiliging moet bestaan uit nationale toezichthoudende instanties voor certificering, belanghebbenden uit de particuliere sector, inclusief exploitanten uit verschillende toepassingsgebieden, en wetenschappelijke en maatschappelijke actoren. |
1.9. |
Het EESC meent dat het agentschap op de prestaties en de besluitvorming van de nationale certificeringsautoriteiten moet toezien door middel van audits en inspecties namens de Commissie, en dat in de verordening verantwoordelijkheden en sancties moeten worden opgenomen voor de niet-naleving van de normen. |
1.10. |
Certificeringsactiviteiten kunnen niet zonder een goed etiketteringssysteem, dat ook moet worden toegepast op ingevoerde producten om het vertrouwen van de consument te vergroten. |
1.11. |
Europa moet meer investeren door de combinatie van verschillende EU- en nationale fondsen en particuliere investeringen via sterke publiek-private samenwerking en deze afstemmen op strategische doelstellingen, ook door de oprichting van een EU-fonds voor innovatie en O&O in cyberbeveiliging in het kader van het huidige en toekomstige kaderprogramma voor onderzoek. Voorts moet Europa een fonds in het leven roepen voor de uitrol van de cyberbeveiliging, door nieuwe mogelijkheden te scheppen in de huidige en toekomstige Connecting Europe Facility en in de volgende EFSI 3.0. |
1.12. |
Het EESC meent dat er een minimumbeveiligingsniveau nodig is voor „gewone” apparatuur voor het internet van mensen („Internet of People”). Certificering is in dit geval belangrijk om een hoger veiligheidsniveau te waarborgen. De beveiliging van het internet der dingen (IoT) moet een prioriteit zijn. |
2. Huidig kader voor cyberbeveiliging
2.1. |
Cyberbeveiliging is van cruciaal belang voor zowel welvaart en nationale veiligheid als voor het functioneren van onze democratieën, vrijheden en waarden. Cyberbeveiliging is een ecosysteem waarin wetten, organisaties, vaardigheden, samenwerking en technische uitvoering in harmonie moeten zijn om doeltreffend te zijn, aldus de Global Cybersecurity Index van de VN, die toevoegt dat cyberbeveiliging „steeds belangrijker wordt in de denkwijze van beleidsmakers”. |
2.2. |
De behoefte aan een veilig ecosysteem wordt ten gevolge van de internetrevolutie cruciaal. Deze revolutie heeft niet alleen de business-to-consumer (B2C)-industrieën, zoals media, retail en financiële diensten geherdefinieerd; het geeft ook een nieuwe vorm aan de productie-industrie, energie, landbouw, vervoer en andere industriële sectoren van de economie die samen goed zijn voor bijna twee derde van het mondiale bruto binnenlands product, evenals aan de infrastructuur van nutsbedrijven en de interactie van burgers met de overheid. |
2.3. |
De strategie voor de digitale interne markt streeft naar verbeterde toegang tot goederen, diensten en inhoud, het creëren van een passend rechtskader voor digitale netwerken en diensten en het benutten van de voordelen van een op gegevens gebaseerde economie. Geschat wordt dat de strategie jaarlijks 415 miljard EUR aan de economie in de EU kan bijdragen. Voorspeld wordt dat er in Europa in 2022 (2) een tekort van 350 000 professionals in de cyberbeveiligingssector zal zijn. |
2.4. |
Volgens een studie uit 2014 bedroeg de economische impact van cybercriminaliteit in 2013 in de Unie 0,41 % van het bbp van de EU (d.w.z. circa 55 miljard EUR) (3). |
2.5. |
Volgens de speciale Eurobarometer 464a over de houding van Europeanen tegenover cyberbeveiliging vreest 73 % van de internetgebruikers dat hun online persoonlijke informatie door websites niet veilig wordt bewaard en 65 % dat dat misschien ook geldt voor de bewaring door de overheid. De meeste respondenten zijn bang slachtoffer te worden van verschillende vormen van cybercriminaliteit, en met name van kwaadaardige software op hun apparaten (69 %), identiteitsdiefstal (69 %) en fraude met bankkaarten en bij internetbankieren (66 %) (4). |
2.6. |
Tot dusver ontbreekt een wettelijk kader dat gelijke tred kan houden met de digitale innovatie; een aantal wetteksten dragen stuk voor stuk bij aan de totstandbrenging van een passend kader: de herziening van het wetboek voor telecommunicatie, de algemene verordening inzake gegevensbescherming (GDPR), de richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), de verordening inzake elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (e-IDAS-verordening), het privacyschild EU-VS, de richtlijn inzake fraude met niet-contante betalingen enz. |
2.7. |
Naast Enisa, het „Europees agentschap voor cyberbeveiliging”, zijn er tal van organisaties die zich bezighouden met aspecten van cyberbeveiliging: Europol; Cert-EU (Computer Emergency Response Team of the European Union); het inlichtingen- en situatiecentrum van de EU (EU-Intcen); het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA); informatie-uitwisselings- en analysecentra (ISAC’s), de Europese cybersecurityorganisatie (ECSO), het Europees Defensieagentschap (EDA), het Cooperative Cyber Defence Centre of Excellence van de NAVO, en de GGE van de VN (groep van regeringsdeskundigen van de Verenigde Naties inzake ontwikkelingen op het gebied van informatie en telecommunicatie in de context van internationale veiligheid). |
2.8. |
Beveiliging door ontwerp is cruciaal voor het leveren van hoogwaardige goederen en diensten: slimme apparaten zijn niet zo slim als ze niet beveiligd zijn, en hetzelfde geldt voor slimme auto’s, slimme steden en slimme ziekenhuizen — ze vereisen alle ingebouwde beveiliging voor apparaten, systemen, gebouwen en diensten. |
2.9. |
Op 19-20 oktober 2017 verzocht de Europese Raad om instemming met een gemeenschappelijke aanpak van cyberbeveiliging in de EU volgens het voorgestelde hervormingspakket, dat pleitte voor „een gemeenschappelijke aanpak van cyberbeveiliging: voor de digitale wereld is vertrouwen een vereiste, en dit vertrouwen kan alleen tot stand worden gebracht door het vergroten van de proactieve beveiliging door ontwerp in alle digitale beleidsonderdelen, door te voorzien in passende veiligheidscertificering van producten en diensten, en door het versterken van ons vermogen om cyberaanvallen te voorkomen, te ontmoedigen, op te sporen en erop te reageren” (5). |
2.10. |
In zijn resolutie van 17 mei 2017 benadrukt het Europees Parlement „de noodzaak van „end-to-end”-beveiliging in de hele waardeketen van financiële diensten; wijst op de grote en diverse risico’s van cyberaanvallen, die gericht zijn op de infrastructuur van onze financiële markten, het internet der dingen, valuta en gegevens; […] vraagt de Europese toezichthoudende autoriteiten om […] de bestaande operationele normen inzake de ICT-risico’s van financiële instellingen te herzien; vraagt […] ook dat de Europese toezichthoudende autoriteiten richtsnoeren opstellen voor het toezicht op deze risico’s; benadrukt hoe belangrijk het is dat de Europese toezichthoudende autoriteiten over de nodige technologische knowhow beschikken […]” (6). |
2.11. |
Het EESC heeft bij diverse gelegenheden de kwestie (7) behandeld, onder andere tijdens de top in Tallinn en de conferentie over de toekomstige ontwikkeling van de e-overheid, en heeft een vaste studiegroep voor de digitale agenda opgericht (8). |
3. De voorstellen van de Commissie
3.1. |
Het cyberbeveiligingspakket omvat een gezamenlijke mededeling waarin de vorige Europese cyberbeveiligingsstrategie (2013) wordt geëvalueerd, alsmede een wet inzake cyberbeveiliging waarin de nadruk ligt op het nieuwe mandaat van Enisa en een voorstel voor een certificeringskader. |
3.2. |
De strategie is opgebouwd rond drie kernonderdelen: veerkracht, afschrikking en internationale samenwerking. Het onderdeel afschrikking richt zich voornamelijk op cybercriminaliteitskwesties, waaronder het Verdrag van Boedapest, terwijl het deel over internationale samenwerking over cyberdefensie, cyberdiplomatie en samenwerking met de NAVO gaat. |
3.3. |
Het voorstel bevat nieuwe initiatieven, zoals:
|
3.4. |
Het onderdeel veerkracht bevat maatregelen op het gebied van cybercriminaliteit die met name betrekking hebben op marktvraagstukken, de NIS-richtlijn, snelle noodmaatregelen, de ontwikkeling van EU-bevoegdheid, onderwijs, opleiding — op het gebied van cybervaardigheden en cyberhygiëne — en bewustmaking. |
3.5. |
Tegelijkertijd wordt in de cyberbeveiligingsverordening voorgesteld een EU-certificeringskader voor ICT-producten en -diensten uit te werken. |
3.6. |
De cyberbeveiligingsverordening bepleit ook Enisa een grotere rol toe te kennen als EU-agentschap voor cyberbeveiliging, waarbij het een permanent mandaat krijgt. Naast zijn huidige werkzaamheden zal Enisa naar verwachting ook nieuwe ondersteunende en coördinerende taken krijgen in verband met de verdere uitvoering van de NIS-richtlijn, de EU-cyberbeveiligingsstrategie, Blueprint, capaciteitsopbouw, kennis en informatie, bewustmaking, marktgerelateerde taken zoals steun voor normalisatie en certificering, onderzoek en innovatie, pan-Europese cyberbeveiligingsoefeningen en het secretariaat van het netwerk van het Computer Security Incident Response Team (CSIRT). |
4. Algemene opmerkingen — Overzicht
4.1. Context: veerkracht
4.1.1. Eengemaakte markt voor cyberbeveiliging
Zorgplicht: De ontwikkeling van het in de gezamenlijke mededeling voorgestelde beginsel van „zorgplicht” voor het gebruik van veilige ontwikkelingscycli, is een interessant concept dat samen met het bedrijfsleven in de EU moet worden ontwikkeld en dat zou kunnen leiden tot een alomvattende aanpak voor naleving van de EU-wetgeving. Voor toekomstige ontwikkelingen moet standaard gekeken worden naar veiligheid.
Aansprakelijkheid: Certificering zal het gemakkelijker maken om aansprakelijkheid toe te kennen in geval van een geschil.
4.1.2. |
NIS-richtlijn: energie, vervoer, banken/financiën, gezondheid, water, digitale infrastructuur, e-handel |
Voor het EESC is een volledige en efficiënte uitvoering van de NIS-richtlijn essentieel om de veerkracht van de nationale kritieke sectoren te waarborgen.
Volgens het EESC moet de uitwisseling van informatie tussen overheids- en particuliere actoren worden versterkt door middel van sectorale centra voor informatie-uitwisseling en analyse (ISAC’s). Er moet een passend mechanisme worden uitgewerkt om vertrouwelijke informatie veilig te delen binnen een ISAC en tussen CSIRT’s en ISAC’s onderling, op basis van een evaluatie/analyse van het mechanisme dat momenteel in gebruik is.
4.1.3. Snelle respons in noodsituaties
De „blauwdruk”-aanpak zou doeltreffend zijn voor de operationele reactie op EU- en lidstaatniveau op een grootschalig incident. Benadrukt zij dat de particuliere sector hierbij moet worden betrokken; ook de exploitanten van essentiële diensten moeten bij het operationele reactiemechanisme worden betrokken, aangezien zij waardevolle informatie kunnen verstrekken over dreigingen en/of ondersteuning bij de opsporing van en de reactie op dreigingen en grootschalige crises.
In de gezamenlijke mededeling wordt voorgesteld cyberincidenten te integreren in de crisisbeheersingsmechanismen van de EU. Hoewel het EESC beseft dat in geval van een aanval een collectieve reactie en solidariteit geboden zijn, is meer inzicht nodig in de wijze waarop deze aanpak kan worden toegepast, aangezien cybercriminaliteit zich doorgaans over diverse landen verspreidt. Instrumenten die in nationale noodsituaties worden gebruikt, kunnen slechts tot op zekere hoogte worden gedeeld als daar lokaal behoefte aan is.
4.1.4. Ontwikkeling van EU-bevoegdheid
Wil de EU mondiaal daadwerkelijk concurrerend zijn en een solide technologische basis opbouwen, dan is het essentieel om op lange termijn een coherent kader te creëren dat alle stadia van de waardeketen voor cyberbeveiliging omvat. In dit verband is bevordering van de samenwerking tussen Europese regionale ecosystemen cruciaal voor de ontwikkeling van een Europese waardeketen voor cyberbeveiliging. Het EESC is ingenomen met het voorstel om een kennisnetwerk op het gebied van cyberbeveiliging op te richten.
Dit netwerk zou de Europese digitale soevereiniteit kunnen ondersteunen door een concurrerende Europese industriële basis te ontwikkelen en de afhankelijkheid van buiten de EU ontwikkelde knowhow voor belangrijke technologische vermogens te beperken; het netwerk kan ook zorgen voor technische oefeningen, workshops en zelfs essentiële cyberhygiëne voor professionals en leken, en, op basis van het werk van de cPPP, de ontwikkeling bevorderen van een netwerk van nationale publiek-private organisaties ter ondersteuning van een Europese markt. „De bevordering van cPPP moet leiden tot de optimalisering, aanpassing of uitbreiding hiervan” (Werkprogramma cyberbeveiliging van het EE-BG-AT voorzitterschapstrio) door de oprichting van een tripartiete gemeenschappelijke onderneming (Commissie, lidstaten en ondernemingen).
Om doeltreffend te zijn en de voorgestelde doelstellingen op Europees niveau vorm te geven, moet het netwerk kunnen bogen op een goed afgebakend governancesysteem.
Dit netwerk zou worden ondersteund door een onderzoeks- en kenniscentrum voor cyberbeveiliging (CRCC) op Europees niveau, dat bestaande nationale expertisecentra in de EU met elkaar verbindt. Het CRCC zou niet alleen het onderzoek coördineren en beheren, zoals in andere gemeenschappelijke ondernemingen, maar ook de effectieve ontwikkeling van een Europees ecosysteem voor cyberbeveiliging mogelijk maken, dat de implementatie en toepassing van EU-innovatie zou ondersteunen.
4.2. Context: afschrikking
4.2.1. |
De bestrijding van cybercriminaliteit is een topprioriteit op nationaal en Europees niveau en vereist overtuigde politieke inzet. De afschrikking moet plaatsvinden op basis van een sterk partnerschap tussen de openbare en de particuliere sector, waarbij zowel op nationaal als op Europees niveau informatie en expertise doeltreffend worden uitgewisseld. Ook valt te denken aan uitbreiding van de activiteiten van Europol op het gebied van forensisch computeronderzoek en toezicht. |
4.3. Context: internationale samenwerking
4.3.1. |
De opbouw en handhaving van op vertrouwen gebaseerde samenwerking met derde landen door middel van cyberdiplomatie en partnerschappen tussen bedrijven is essentieel voor de versterking van Europa’s capaciteit om grootschalige cyberaanvallen te voorkomen, te ontmoedigen en te bestrijden. Europa moet zijn samenwerking met de VS, China, Israël, India en Japan bevorderen. Modernisering van de EU-uitvoercontroles moet schendingen van mensenrechten of misbruik van technologieën tegen de eigen veiligheid van de EU voorkomen, maar moet er ook voor zorgen dat de EU-industrie niet wordt benadeeld ten opzichte van aanbiedingen uit derde landen. Er moet een ad-hocstrategie voor de toetredingslanden worden overwogen ter voorbereiding op de grensoverschrijdende uitwisseling van gevoelige gegevens, met onder meer de mogelijkheid om als waarnemers deel te nemen aan bepaalde activiteiten van Enisa-landen. Deze moeten worden gerangschikt op basis van hun bereidheid om cybercriminaliteit te bestrijden; de opstelling van een zwarte lijst is een optie. |
4.3.2. |
Het EESC is ingenomen met de invoering van cyberdefensie in de beoogde tweede fase van een mogelijk toekomstig EU-kenniscentrum voor cyberbeveiliging. Daarom zou Europa in de tussentijd kunnen kijken naar de ontwikkeling van competenties voor tweeërlei gebruik, ook door het Europees Defensiefonds als hefboom te gebruiken en via de geplande oprichting, tegen 2018, van een opleidings- en onderwijsplatform op het gebied van cyberdefensie. Gezien de wederzijds erkende mogelijkheden en bedreigingen acht het EESC het noodzakelijk dat de EU en de NAVO gaan samenwerken. Ook zou de Europese industrie de ontwikkelingen in de EU-NAVO-samenwerking op de voet moeten volgen wat betreft betere interoperabiliteit van normen inzake cyberbeveiliging en andere vormen van samenwerking in het kader van de EU-benadering van cyberdefensie. |
4.4. EU-kader voor certificering
4.4.1. |
Het EESC meent dat Europa de versnipperde cyberbeveiliging moet aanpakken aan de hand van een uniforme interpretatie van de regels, met inbegrip van wederzijdse erkenning tussen de lidstaten, onder één paraplu die de digitale interne markt kan beschermen. Een certificeringskader zou een gemeenschappelijke basis kunnen bieden (met specifieke regelgeving op hogere niveaus, indien nodig), voor synergie tussen verticale sectoren zorgen en de huidige versnippering verminderen. |
4.4.2. |
Positief is de invoering van een EU-certificeringskader voor cyberbeveiliging en certificeringsregelingen voor de verschillende sectoren, op basis van adequate vereisten en in samenwerking met de belangrijkste stakeholders. De marktintroductie en certificeringskosten, alsook kwaliteit en veiligheid zijn echter essentiële elementen die in aanmerking moeten worden genomen. Er zullen certificeringsregelingen worden opgezet om de veiligheid te verhogen conform de huidige behoeften en kennis van bedreigingen: er moet gekeken worden naar de flexibiliteit en het evolutief vermogen van deze regelingen om de nodige aanpassingen mogelijk te maken. De verschillende sectoren vergen ieder een andere aanpak vanwege de manier waarop zij functioneren. Daarom zouden sectorale EU-agentschappen (EASA, EBA, ERA, EMA enz.) bij het proces betrokken moeten worden en in sommige gevallen, met instemming van ENISA, de kans moeten krijgen om cyberbeveiligingsregelingen uit te werken teneinde dubbel werk en gebrek aan samenhang te vermijden. |
4.4.3. |
Voor het Comité is het belangrijk dat het certificeringskader wordt gebaseerd op gemeenschappelijk gedefinieerde Europese cyberbeveiligings- en ICT-normen die, voor zover mogelijk, internationaal erkend zijn. Gezien het tijdsbestek en de nationale prerogatieven moeten Europese minimumnormen voor IT-beveiliging worden vastgesteld in samenwerking met CEN/Cenelec/ETSI. Professionele normen moeten als positief worden beschouwd, maar mogen niet juridisch bindend zijn of de mededinging in de weg staan. |
4.4.4. |
Er is een duidelijke behoefte om verantwoordelijkheden te koppelen aan de verschillende niveaus van zekerheid op basis van de impact van bedreigingen. Het gesprek aangaan met verzekeringsmaatschappijen kan bijdragen tot de vaststelling van doeltreffende eisen inzake cyberbeveiliging, afhankelijk van het toepassingsgebied. Volgens het EESC moeten ondernemingen die streven naar een hoog verzekeringsniveau, met name voor cruciale apparaten en systemen, worden ondersteund en gestimuleerd. |
4.4.5. |
Gezien de tijd die sinds de goedkeuring van Richtlijn 85/374/EEG van de Raad (9) is verstreken en de huidige technologische ontwikkelingen dringt het EESC er bij de Commissie op aan om na te gaan of het zinvol is om enkele van de in dit voorstel voor een verordening voorgestelde scenario’s in de werkingssfeer van de richtlijn op te nemen, teneinde veiligere producten met een hoge mate van bescherming mogelijk te maken. |
4.4.6. |
Het EESC meent dat de beoogde door Enisa ondersteunde Europese groep voor certificering van cyberbeveiliging moet bestaan uit nationale toezichthoudende instanties voor certificering, belanghebbenden uit de particuliere sector en exploitanten uit verschillende toepassingsgebieden om te zorgen voor de ontwikkeling van alomvattende certificeringsregelingen. Bovendien moet samenwerking worden overwogen tussen deze groep en brancheorganisaties uit de EU/EER (bijv. cPPP’s, banken, vervoer, energie, federaties enz.) door de benoeming van deskundigen. Deze groep zou de Europese prestaties op het gebied van certificering (voornamelijk gebaseerd op de overeenkomst inzake wederzijdse erkenning van de SOG-IS, nationale en bedrijfseigen regelingen) moeten kunnen overwegen en ernaar moeten streven de Europese concurrentievoordelen te behouden. |
4.4.7. |
Het EESC stelt voor dat deze groep belanghebbenden de taak krijgt om samen met de Europese Commissie gezamenlijk certificeringsregelingen voor te bereiden. Door middel van consensus tussen publieke en private belanghebbenden (gebruikers en leveranciers) moeten ook sectorale vereisten worden omschreven. |
4.4.8. |
Bovendien moet de groep de certificeringsregelingen regelmatig evalueren, rekening houdend met de eisen van elke sector, en de regelingen zo nodig aanpassen. |
4.4.9. |
Het EESC steunt de geleidelijke afschaffing van nationale certificeringsregelingen indien een Europese regeling wordt ingevoerd, zoals voorgesteld in artikel 49 van de verordening. Een interne markt kan niet werken met uiteenlopende en concurrerende nationale regels. Daarom stelt het EESC voor om alle nationale regelingen in kaart te brengen. |
4.4.10. |
Het EESC stelt voor dat de Commissie actie onderneemt om de certificering van cyberbeveiliging en certificaten in de EU te promoten en de erkenning hiervan in alle internationale handelsovereenkomsten te ondersteunen. |
4.5. ENISA
4.5.1. |
Volgens het EESC zal het nieuwe permanente mandaat van Enisa, zoals voorgesteld door de Commissie, aanzienlijk bijdragen tot een betere veerkracht van de Europese systemen. De bijgevoegde voorlopige begroting en de aan het hervormde Enisa toegewezen middelen zijn echter misschien onvoldoende om het agentschap in staat te stellen zijn mandaat te vervullen. |
4.5.2. |
Het EESC raadt alle lidstaten aan om een duidelijke en soortgelijke tegenhanger van Enisa op te richten aangezien de meeste dit nog niet hebben gedaan. Een gestructureerd programma voor gedetacheerde nationale deskundigen (GND’s) naar Enisa moet worden bevorderd om de uitwisseling van beste praktijken te ondersteunen en het vertrouwen te versterken. Het Comité beveelt ook aan dat de Commissie de huidige goede praktijken en doeltreffende maatregelen in de lidstaten, verzamelt en deelt. |
4.5.3. |
Wat capaciteitsopbouw betreft moet Enisa volgens het EESC prioriteit geven aan acties ter ondersteuning van e-overheid (10). De digitale identiteit in de EU of wereldwijd voor personen, organisaties, ondernemingen en dingen is van cruciaal belang, en het voorkomen en bestrijden van identiteitsdiefstal, online fraude en de diefstal van intellectuele eigendom moeten vooropstaan. |
4.5.4. |
Enisa moet ook regelmatig verslag uitbrengen over de cyberparaatheid van de lidstaten, waarbij de aandacht in de eerste plaats uit moet gaan naar de in bijlage II bij de NIS-richtlijn genoemde sectoren. Een jaarlijkse Europese cyberoefening zou moeten nagaan hoe paraat de lidstaten zijn en hoe doeltreffend het Europese cybercrisisbestrijdingsmechanisme is; ook zouden er aanbevelingen moeten worden geformuleerd. |
4.5.5. |
Het EESC vreest dat de middelen voor operationele samenwerking, met inbegrip van het CSIRT-netwerk, te beperkt zijn. |
4.5.6. |
Wat de marktgerelateerde taken betreft, meent het EESC dat de samenwerking met de lidstaten en de oprichting van een officieel netwerk van agentschappen voor cyberbeveiliging de samenwerking tussen de betrokken partijen zouden verbeteren (11). De marktintroductietijd is zeer kort en het is cruciaal voor EU-bedrijven om op dit gebied te kunnen concurreren. Enisa moet in staat zijn hierop in te spelen. Het EESC is van oordeel dat Enisa, net als andere EU-agentschappen, in de toekomst een systeem van vergoedingen en heffingen zou kunnen toepassen. Het EESC vreest dat de strijd om bevoegdheden tussen de EU en de nationale agentschappen, net als op andere gebieden, de eigenlijke totstandbrenging van het EU-regelgevingskader zou kunnen vertragen en de interne markt zou kunnen schaden. |
4.5.7. |
Het EESC stelt vast dat de taken in verband met O&I en internationale samenwerking momenteel minimaal zijn. |
4.5.8. |
Cyberbeveiliging zou een vast punt van discussie moeten zijn tijdens de reguliere gezamenlijke vergaderingen van de agentschappen van justitie en binnenlandse zaken (JBZ). Enisa en Europol zouden regelmatig moeten samenwerken. |
4.5.9. |
Daar de cyberwereld zeer innovatief is, moeten normen zorgvuldig worden overwogen om innovatie niet te belemmeren, hetgeen een dynamisch kader vergt; zowel voor- als achterwaartse compatibiliteit moet zo veel mogelijk worden gewaarborgd, om zowel de burgers als de bedrijfsinvesteringen te beschermen. |
4.5.10. |
Gezien het belang van de nationale autoriteiten voor certificeringstoezicht stelt het EESC voor om bij deze verordening al een officieel netwerk van autoriteiten op te richten die bevoegd zijn om grensoverschrijdende kwesties met de steun van Enisa op te lossen. Het netwerk zou in een later stadium tot één agentschap kunnen uitgroeien. |
4.5.11. |
Vertrouwen is van fundamenteel belang, maar Enisa mag geen besluiten nemen of auditverslagen uitbrengen. Het EESC meent dat het agentschap op de prestaties en de besluitvorming van de nationale certificeringsautoriteiten moet toezien door middel van audits en inspecties namens de Commissie. |
4.5.12. |
Deelname aan de raad van bestuur van het ENISA als waarnemer zou moeten worden uitgebreid tot het bedrijfsleven en consumentenorganisaties. |
4.6. Bedrijfsleven, midden- en kleinbedrijf (mkb), financiering/investeringen en innovatieve bedrijfsmodellen
4.6.1. Bedrijfsleven en investeringen
Om het mondiale concurrentievermogen van EU-bedrijven die op ICT-gebied actief zijn, te vergroten, moeten er maatregelen worden genomen ter ondersteuning van de groei en het concurrentievermogen van de ICT-industrie, met inbegrip van het mkb.
Europa moet meer investeren door de combinatie van verschillende EU- en nationale fondsen en particuliere investeringen via sterke publiek-private samenwerking en deze afstemmen op strategische doelstellingen. Het investeringsniveau op kritieke gebieden moet worden verhoogd en ondersteund door de oprichting van een EU-fonds voor innovatie en O&O in cyberbeveiliging in het kader van het huidige en toekomstige kaderprogramma voor onderzoek. Voorts moet Europa een fonds in het leven roepen voor de uitrol van de cyberbeveiliging, door nieuwe mogelijkheden te scheppen in de huidige en toekomstige Connecting Europe Facility en in de volgende EFSI 3.0.
Er moeten stimulansen komen voor de lidstaten om indien mogelijk Europese oplossingen aan te schaffen en Europese leveranciers te selecteren, met name voor gevoelige toepassingen. Europa moet de groei ondersteunen van Europese cyberkampioenen die mondiaal kunnen concurreren.
4.6.2. MKB
Door de versnippering van de markt moet er meer duidelijkheid komen over de vraag van de klant om de markt beter te bedienen. Zonder een gestructureerde vraag kunnen het mkb en startende ondernemingen niet snel groeien. In dit verband zou de oprichting van een Europese mkb-hub voor cyberbeveiliging een goede zaak zijn.
De technologie op het gebied van cyberbeveiliging verandert snel en het midden- en kleinbedrijf kan dankzij zijn flexibiliteit de meest geavanceerde oplossingen bieden die nodig zijn om concurrerend te blijven. Vergeleken met derde landen is de EU nog steeds op zoek naar een passend bedrijfsmodel voor het mkb.
Er zouden voor start-ups en het mkb specifieke regelingen kunnen worden uitgewerkt om de certificeringskosten te helpen dekken, als oplossing voor het grote probleem van het aantrekken van middelen voor hun technologische en commerciële ontwikkeling.
4.7. De menselijke factor: onderwijs en bescherming
4.7.1. |
Het EESC stelt vast dat de Commissie in haar voorstel onvoldoende rekening houdt met de mens als drijvende kracht achter digitale processen, hetzij als begunstigde, hetzij als oorzaak van grote cyberincidenten. |
4.7.2. |
Er moet een sterke cybervaardighedenbasis komen; onder burgers en bedrijven moeten de cyberhygiëne en -bewustmaking worden verbeterd. Hiertoe moeten gerichte investeringen, tijd voor de opleiding van docenten op hoog niveau en doeltreffende bewustmakingscampagnes worden overwogen. De uitvoering van deze drie actielijnen vereist de inbreng van nationale en regionale overheden (die verantwoordelijk zijn voor het opzetten van en investeren in doeltreffende onderwijsprogramma’s), het bedrijfsleven en het mkb voor een collectieve aanpak. |
4.7.3. |
Te denken valt aan de uitwerking van een mogelijk door de EU gecertificeerd curriculum voor middelbare scholen en beroepsbeoefenaren, met actieve betrokkenheid van Enisa en zijn nationale tegenhangers. Bovendien moet bij de ontwikkeling van onderwijsprogramma’s ter verbetering van de werkgelegenheid in cyberbeveiliging rekening worden gehouden met gendergelijkheid. |
4.7.4. |
Volgens het EESC moeten de certificeringsactiviteiten een adequaat etiketteringssysteem omvatten, zowel voor hard- als software, zoals bij veel andere producten (bijv. energieproducten) het geval is. De voordelen van dit instrument zijn drieledig: vermindering van de kosten voor het bedrijfsleven, opheffing van de marktfragmentatie ten gevolge van de verschillende, op nationaal niveau al bestaande certificeringsregelingen en beter begrip bij de consument van de kwaliteit en de kenmerken van het gekochte product. Het is in dit verband belangrijk dat producten uit derde landen ook aan dezelfde certificerings- en etiketteringsmechanismen worden onderworpen. Tot slot meent het EESC dat de invoering van een ad-hoclogo consumenten en gebruikers onmiddellijk zou kunnen informeren over de betrouwbaarheid van de gekochte producten of de sites waar de aan- en verkoop plaatsvindt of waar gevoelige gegevens worden doorgegeven. |
4.7.5. |
Enisa zou cruciale informatie- en bewustmakingsactiviteiten op meerdere niveaus op zich moeten nemen om het bewustzijn van „veilig” digitaal gedrag en het vertrouwen van de gebruikers in het internet te vergroten. Bedrijfsverenigingen, consumentenorganisaties en andere organisaties die actief zijn op het gebied van digitale diensten moeten hierbij worden betrokken. |
4.7.6. |
In aanvulling op de cyberbeveiligingsverordening en zoals voorgesteld in advies INT/828 acht het EESC het van cruciaal belang onverwijld een grootschalig Europees plan voor digitaal onderwijs en digitale opleiding op te zetten om alle burgers de beschikking te geven over de instrumenten die nodig zijn om zo goed mogelijk met de transitie om te gaan. Onverminderd de specifieke nationale bevoegdheden ter zake zou het EESC vooral graag zien dat er bij dit plan wordt uitgegaan van de scholen, dat de kennis van leerkrachten wordt vergroot, dat lesprogramma’s en lesmethoden worden aangepast aan de digitale technologie (inclusief e-learning) en dat alle leerlingen/studenten een kwaliteitsvolle opleiding krijgen. Dit plan zou zijn natuurlijke voortzetting moeten krijgen in permanente opleiding om de vaardigheden van alle werknemers aan te passen of te actualiseren (12). |
5. Bijzondere opmerkingen
5.1. Opkomende technologieën en oplossingen: het internet der dingen (IoT)
Steeds meer apparaten worden op elkaar aangesloten; zij zullen naar verwachting een veelvoud bereiken van het aantal mensen dat op aarde woont, ten gevolge van de digitalisering van componenten, systemen en oplossingen en verbeterde connectiviteit. Deze trend biedt cybercriminelen nieuwe kansen, vooral omdat IoT-apparaten vaak niet zo goed beschermd zijn als traditionele apparaten.
Europese veiligheidsnormen voor verschillende verticale sectoren die IoT-apparatuur gebruiken, kunnen de ontwikkelingsinspanning, tijd en budget voor alle deelnemers uit de industrie aan de waardeketen van aangesloten producten verminderen.
Enige vorm van minimaal beveiligingsniveau via IDAM (Identity & Access Management), patchen en het beheer van apparatuur is waarschijnlijk noodzakelijk voor „gewone” apparaten van het „internet voor mensen” (IoP, Internet of People). Aangezien certificering belangrijk is om een hoger veiligheidsniveau te waarborgen, moet in de nieuwe EU-certificeringsaanpak de nadruk meer komen te liggen op de beveiliging van het internet der dingen (IoT).
Brussel, 14 februari 2018.
De voorzitter van het Europees Economisch en Sociaal Comité
Georges DASSIS
(1) Digital Single Market/Mid-term review.
(2) PB JOIN/2017/0450 final.
(3) Werkdocument van de diensten van de Commissie — Effectbeoordeling, begeleidend document bij het voorstel voor een verordening van het Europees Parlement en de Raad, deel 1/6, blz. 21, Brussel, 13.9.2017.
(4) Special Eurobarometer 464a — Wave EB87.4 — Europeans' attitudes towards cyber security, september 2017.
(5) Conclusies van de Europese Raad van 19 oktober 2017.
(6) EP-resolutie van 17.5.2017 — A8-0176/2017.
(7) Digital Single Market/Mid-term review. PB C 75 van 10.3.2017, blz. 124; PB C 246 van 28.7.2017, blz. 8; PB C 345 van 13.10.2017, blz. 52; PB C 288 van 31.8.2017, blz. 62; PB C 271 van 19.9.2013, blz. 133.
(8) EESC-persbericht nr. 31/2017: Maatschappelijk middenveld bespreekt e-overheid en cyberbeveiliging met aanstaand Ests voorzitterschap: https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incomingestonian-presidency
(9) PB L 210 van 7.8.1985, blz. 29.
(10) Digital Single Market/Mid-term review.
(11) PB C 75 van 10.3.2017, blz. 124.
(12) Digital Single Market/Mid-term review.