Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024H1101

    Aanbeveling (EU) 2024/1101 van de Commissie van 11 april 2024 over een routekaart voor een gecoördineerde uitvoering van de transitie naar post-kwantumcryptografie

    C/2024/2393

    PB L, 2024/1101, 12.4.2024, ELI: http://data.europa.eu/eli/reco/2024/1101/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/reco/2024/1101/oj

    European flag

    Publicatieblad
    van de Europese Unie

    NL

    L-serie

    2024/1101

    12.4.2024

    AANBEVELING (EU) 2024/1101 VAN DE COMMISSIE

    van 11 april 2024

    over een routekaart voor een gecoördineerde uitvoering van de transitie naar post-kwantumcryptografie

    DE EUROPESE COMMISSIE,

    Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 292,

    Gezien Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (1),

    Overwegende hetgeen volgt:

    (1)

    De beveiliging van gegevens en gevoelige communicatie is van vitaal belang voor de samenleving, de economie, de veiligheid en de welvaart van de Unie. Cyberbeveiliging is van strategisch belang voor de opbouw van een “Europa dat klaar is voor het digitale tijdperk” (2) en is een belangrijke doelstelling van het beleidsprogramma voor het digitale decennium (3).

    (2)

    Zowel in de EU-strategie voor de veiligheidsunie (4) als in de EU-strategie inzake cyberbeveiliging (5) wordt benadrukt dat versleuteling een belangrijke technologie is om veerkracht en technologische soevereiniteit te bereiken en een operationele capaciteit ter voorkoming van cyberaanvallen op te bouwen. Versleuteling is van essentieel belang voor de digitale wereld om digitale systemen en transacties en defensievermogens te beveiligen en om een aantal grondrechten te beschermen. De wedloop van verscheidene landen en particuliere entiteiten om kwantumcomputingcapaciteiten te ontwikkelen en nieuwe, mogelijk lonende kansen te ontsluiten, vormt een bedreiging voor de huidige cryptografische normen. Deze normen spelen een centrale rol bij de waarborging van de vertrouwelijkheid en de integriteit van gegevens, de bescherming van gevoelige communicatie en de ondersteuning van essentiële elementen van netwerkbeveiliging.

    (3)

    Vanwege de mogelijke toekomstige ontwikkeling van kwantumcomputers die de huidige versleuteling kunnen kraken, moet Europa op zoek naar betere beveiliging die de bescherming van gevoelige communicatie en de integriteit op lange termijn van vertrouwelijke informatie waarborgt, en wel door zo snel mogelijk op post-kwantumcryptografie over te schakelen. Dit nieuwe soort cryptografie moet de bekende kwetsbaarheden van de huidige asymmetrische cryptografie wegnemen en zorgen voor betere bestendigheid tegen de dreigingen die van het kwaadwillige gebruik van kwantumcomputers uitgaan.

    (4)

    De Commissie financiert al meer dan tien jaar onderzoek naar en ontwikkeling van post-kwantumcryptografie en onderkent zodoende dat kwantumcomputing een mogelijke bedreiging voor de huidige asymmetrische cryptografie vormt.

    (5)

    De lidstaten moeten overwegen om de huidige digitale infrastructuren en diensten voor overheidsdiensten en andere kritieke infrastructuren zo spoedig mogelijk naar post-kwantumcryptografie te migreren, zodat er een fundamentele verschuiving in cryptografische algoritmen, protocollen en systemen teweeg wordt gebracht. Zoals in het recente witboek “How to master Europe’s digital infrastructure needs” van de Commissie wordt benadrukt, vereist dit een gecoördineerde inspanning waarbij overheidsinstanties, normalisatie-instellingen, belanghebbenden uit het bedrijfsleven, onderzoekers en cyberbeveiligingsprofessionals worden betrokken.

    (6)

    Met deze aanbeveling van de Commissie worden de lidstaten aangemoedigd een alomvattende strategie te ontwikkelen voor de vaststelling van post-kwantumcryptografie om een gecoördineerde en gesynchroniseerde transitie in de verschillende lidstaten en hun publieke sectoren te waarborgen. In de strategie moeten duidelijke doelstellingen, mijlpalen en tijdschema’s worden bepaald die in de vaststelling van een gezamenlijke routekaart voor de uitvoering van post-kwantumcryptografie resulteren. Dit moet in de hele Unie leiden tot de uitrol van post-kwantumcryptografietechnologie in bestaande overheidssystemen en kritieke infrastructuren via hybride regelingen die post-kwantumcryptografie kunnen combineren met bestaande cryptografische benaderingen of kwantumcryptografie.

    (7)

    Voor een doeltreffende transitie naar post-kwantumcryptografie moet de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie een lijst met door de lidstaten te nemen maatregelen bevatten, onder meer met betrekking tot post-kwantumcryptografiealgoritmen, met een duidelijk tijdschema voor de verschillende te bereiken fasen en mijlpalen, rekening houdend met hun onderlinge afhankelijkheid en de betrokken belanghebbenden.

    (8)

    Voor een geharmoniseerde uitvoering van post-kwantumcryptografie in de Unie is het van essentieel belang gemeenschappelijke Europese normen te ontwikkelen, evenals een kader voor de vaststelling en de selectie van post-kwantumcryptografiealgoritmen die in de digitale netwerken en diensten in de Unie moeten worden uitgerold. Via de actieve deelname van door de EU gefinancierde onderzoekers ondersteunt de Unie reeds de ontwikkeling en het testen van post-kwantumcryptografiealgoritmen die voor normen in internationale selectieprocessen voor post-kwantumcryptografie in aanmerking komen. Met deze aanbeveling van de Commissie worden de lidstaten aangemoedigd om op EU-niveau nauw samen te werken met de cyberbeveiligingsdeskundigen van de Unie, de NIS-samenwerkingsgroep en het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) aan de evaluatie en selectie van passende post-kwantumcryptografiealgoritmen en de vaststelling ervan als EU-normen voor een geharmoniseerde uitvoering in de Unie.

    (9)

    De lidstaten en de Unie moeten bij de ontwikkeling van internationale normen op het gebied van post-kwantumcryptografie actief met hun internationale strategische partners blijven samenwerken om de interoperabiliteit van communicatie in de toekomst te waarborgen.

    (10)

    Zodra de lidstaten overeenstemming hebben bereikt, moet de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie als blauwdruk dienen voor de bepaling van de nationale plannen voor de transitie naar post-kwantumcryptografie of, indien die plannen reeds bestaan, voor de afstemming ervan op de gemeenschappelijke routekaart.

    (11)

    Om ervoor te zorgen dat er vooruitgang wordt geboekt in de richting van de doelstellingen van deze aanbeveling, is de Commissie voornemens nauwlettend toe te zien op de maatregelen die naar aanleiding van de aanbeveling worden genomen. Met het oog op dit toezicht worden de lidstaten aangemoedigd om de Commissie op haar verzoek alle informatie te verstrekken die redelijkerwijs van hen kan worden verwacht. Op basis van de aldus verkregen informatie en alle andere beschikbare informatie beoordeelt de Commissie de gevolgen van deze aanbeveling en bepaalt zij of er aanvullende stappen nodig zijn, zoals voorstellen voor bindende handelingen van het Unierecht.

    (12)

    Deze aanbeveling over post-kwantumcryptografie bouwt voort op de beleidsdoelstellingen van de EU-strategie inzake cyberbeveiliging om de end-to-endbeveiliging en de veerkracht van de digitale infrastructuren en diensten voor overheidsdiensten en andere kritieke infrastructuren van de Unie te verbeteren; dient de doelstellingen van de digitale eengemaakte markt en de gezamenlijke mededeling betreffende een strategie voor economische veiligheid van de EU 10919/23 (6); en neemt de risico’s voor de fysieke en de cyberbeveiliging van kritieke infrastructuren in aanmerking, alsook de risico’s die in het kader van de onlangs uitgevoerde risicobeoordeling voor kwantumtechnologie in kaart zijn gebracht (7). De aanbeveling eerbiedigt de grondrechten en neemt de beginselen in acht die met name in het Handvest van de grondrechten van de EU (de artikelen 7, 8 en 11) en het Europees Verdrag tot bescherming van de rechten van de mens (de artikelen 8 en 10) zijn erkend en die voor regeringen positieve verplichtingen inhouden om het risico van onrechtmatige toegang tot en controle van informatie tot een minimum te beperken, wat de bescherming en de bevordering van cryptografische technologie noodzakelijk maakt,

    HEEFT DE VOLGENDE AANBEVELING VASTGESTELD:

    1.   TOEPASSINGSGEBIED EN DOELSTELLINGEN

    Het doel van deze aanbeveling is de transitie naar post-kwantumcryptografie voor de bescherming van digitale infrastructuren en diensten voor overheidsdiensten en andere kritieke infrastructuren in de Unie te bevorderen door de lidstaten de mogelijkheid te geven om:

    1.

    een routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie vast te stellen die erop is gericht om de inspanningen van de lidstaten voor het ontwerp en de uitvoering van nationale transitieplannen te synchroniseren, en om grensoverschrijdende interoperabiliteit te waarborgen;

    2.

    met de hulp van cyberbeveiligingsdeskundigen de evaluatie en de selectie van toepasselijke post-kwantumcryptografiealgoritmen van de EU te ondersteunen, evenals de verdere vaststelling van dergelijke algoritmen als Unienormen die in de Unie als onderdeel van de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie moeten worden toegepast;

    3.

    passende en evenredige maatregelen te nemen om zich op deze transitie voor te bereiden.

    2.   ROUTEKAART VOOR EEN GECOÖRDINEERDE UITVOERING VAN DE TRANSITIE NAAR POST-KWANTUMCRYPTOGRAFIE

    4.

    		 Deze aanbeveling moedigt de lidstaten aan hun maatregelen op Unieniveau via een specifiek lidstatenforum te coördineren. Daartoe beveelt de Commissie de lidstaten aan om van bestaande cyberbeveiligingsstructuren op Unieniveau gebruik te maken en een subgroep van de NIS-samenwerkingsgroep op te richten. Die subgroep kan bestaan uit vertegenwoordigers van nationale beveiligingsinstanties en cyberbeveiligingsdeskundigen, met name van nationale cyberbeveiligingsautoriteiten en Enisa. De subgroep kan vertegenwoordigers van belanghebbenden, zoals vertegenwoordigers van adviesorganen van overheidsorganisaties, het bedrijfsleven, dienstverleners en exploitanten, uitnodigen om aan haar werkzaamheden deel te nemen, met als doel input te verzamelen en informatie uit te wisselen over de transitie van digitale infrastructuren en diensten voor overheidsdiensten en andere kritieke infrastructuren naar post-kwantumcryptografie in verschillende sectoren, hun inspanningen op nationaal niveau te coördineren en de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie te ontwikkelen, conform de mededingingsregels van de Unie en het Unierecht inzake gegevensbescherming.

    5.

    		 Deze subgroep post-kwantumcryptografie moet passende, doeltreffende en evenredige maatregelen overwegen om de ontwikkeling van de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie te bepalen en te coördineren. De subgroep wordt aangemoedigd besprekingen aan te gaan met andere instanties, zoals Europol en de NAVO, om dubbel werk te voorkomen en een samenhangende aanpak van nieuwe uitdagingen te waarborgen.

    6.

    		 Daartoe wordt de lidstaten verzocht om, kort na de bekendmaking van deze aanbeveling, overeenkomstig Uitvoeringsbesluit (EU) 2017/179 van de Commissie (8) een dergelijke subgroep post-kwantumcryptografie op te richten en deskundige vertegenwoordigers aan te wijzen die nauw met de Commissie moeten samenwerken en de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie moeten bepalen en ontwikkelen.

    7.

    		 De routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie moet twee jaar na de bekendmaking van deze aanbeveling beschikbaar zijn en zal worden gevolgd door de ontwikkeling en verdere aanpassing van de plannen voor de transitie naar post-kwantumcryptografie van de afzonderlijke lidstaten, overeenkomstig de beginselen van de routekaart.

    3.   MAATREGELEN OP UNIENIVEAU

    8.

    		 De algemene werkzaamheden worden periodiek gemonitord en beoordeeld door de Commissie, in samenwerking met de deskundige vertegenwoordigers van de lidstaten.

    9.

    		 Daartoe kan de Commissie de vertegenwoordigers van de lidstaten verzoeken alle informatie te verstrekken die redelijkerwijs van hen kan worden verwacht, om het toezicht op de vooruitgang bij de opstelling van een dergelijke routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie en de doeltreffendheid van dergelijke maatregelen te waarborgen.

    10.

    		 Op basis van deze informatie en alle andere beschikbare informatie beoordeelt de Commissie de geplande maatregelen en de werking van het netwerk van vertegenwoordigers van de lidstaten en bepaalt zij of er aanvullende maatregelen nodig zijn, zoals voorstellen voor bindende handelingen van het Unierecht.

    4.   EVALUATIE

    11.

    		 Uiterlijk drie jaar na de bekendmaking van deze aanbeveling moeten de lidstaten met de Commissie samenwerken om de gevolgen ervan te beoordelen en passende volgende stappen te bepalen. Bij deze beoordeling moeten de resultaten van de werkzaamheden van de nationale deskundigen in de subgroep post-kwantumcryptografie in acht worden genomen.

    Gedaan te Brussel, 11 april 2024.

    Voor de Commissie

    Thierry BRETON

    Lid van de Commissie

    (1)   PB L 333 van 27.12.2022, blz. 80.

    (2)  COM(2020) 67 final.

    (3)  Besluit (EU) 2022/2481 van het Europees Parlement en de Raad van 14 december 2022 tot vaststelling van het beleidsprogramma voor het digitale decennium tot 2030 (PB L 323 van 19.12.2022, blz. 4).

    (4)  COM(2020) 605 final.

    (5)  JOIN(2020) 18 final.

    (6)   https://data.consilium.europa.eu/doc/document/ST-10919-2023-INIT/nl/pdf.

    (7)  JOIN(2023) 20 final.

    (8)  Uitvoeringsbesluit (EU) 2017/179 van de Commissie van 1 februari 2017 tot vaststelling van de procedurele regelingen die noodzakelijk zijn voor de werking van de samenwerkingsgroep overeenkomstig artikel 11, lid 5, van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 28 van 2.2.2017, blz. 73).

    ELI: http://data.europa.eu/eli/reco/2024/1101/oj

    ISSN 1977-0758 (electronic edition)

    Top