(1)

Cyberbeveiliging is cruciaal voor het welslagen van de digitale transformatie van de economie en de samenleving. De EU heeft ongekende investeringen toegezegd om te zorgen voor vertrouwen van mensen, ondernemingen en overheidsinstanties in digitale instrumenten.

(2)

De COVID-19-pandemie heeft het belang van connectiviteit en de afhankelijkheid van Europa van stabiele netwerk- en informatiesystemen vergroot, en heeft aangetoond dat de hele toeleveringsketen moet worden beschermd. Betrouwbare en veilige netwerk- en informatiesystemen zijn met name belangrijk voor entiteiten die zich in de frontlinie van de strijd tegen de pandemie bevinden, zoals ziekenhuizen, medische instanties en vaccinproducenten. Door middel van coördinatie van de inspanningen van de EU om cyberaanvallen met de meeste impact tegen dergelijke entiteiten te voorkomen, op te sporen, te ontmoedigen en te beletten, alsook de gevolgen ervan te beperken en erop te reageren, kunnen levens worden gered en kunnen pogingen tot ondermijning van het vermogen van de EU om de pandemie zo snel mogelijk te verslaan, worden voorkomen. Bovendien draagt het versterken van het vermogen van de EU om cyberaanvallen doeltreffend te bestrijden bij aan de bevordering van een open, stabiele en veilige wereldwijde cyberspace.

(3)

Aangezien relevante instanties en actoren op het gebied van cyberbeveiliging te maken hebben met de grensoverschrijdende aard van cyberdreigingen en de voortdurende toename van complexere, pervasievere en gerichtere aanvallen (1), moeten zij hun vermogen om op dergelijke dreigingen en aanvallen te reageren, vergroten door bestaande middelen aan te wenden en hun inspanningen beter te coördineren. Alle relevante actoren in de EU moeten voorbereid zijn om samen te reageren en informatie uit te wisselen, op basis van het beginsel van de noodzaak tot uitwisseling in plaats van de noodzaak tot kennisneming.

(4)

Ondanks de aanzienlijke vooruitgang die is geboekt door samenwerking tussen de lidstaten op het gebied van cyberbeveiliging, en met name door de samenwerkingsgroep voor netwerk- en informatiebeveiliging (hierna “de NIS-samenwerkingsgroep” genoemd) en het netwerk van “Computer Security Incident Response Teams” (hierna “het CSIRT-netwerk” genoemd) zoals opgezet bij Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (2), is er nog steeds geen gemeenschappelijk EU-platform waarop informatie die in verschillende cyberbeveiligingsgemeenschappen is verzameld efficiënt en veilig kan worden uitgewisseld en operationele vermogens door relevante actoren kunnen worden gecoördineerd en gemobiliseerd. Als gevolg daarvan dreigen cyberdreigingen en -incidenten in minder efficiënte en kwetsbaardere kokers te worden aangepakt. Bovendien ontbreekt er een kanaal op EU-niveau voor technische en operationele samenwerking met de particuliere sector, zowel voor het delen van informatie als voor ondersteuning bij de respons op incidenten.

(5)

Bestaande kaders en structuren, en de beschikbare middelen en deskundigheid in de lidstaten en relevante EU-instellingen, -organen en -agentschappen, bieden een stevige basis voor een gezamenlijke respons op cyberdreigingen, - incidenten en -crises (3). Deze bestaande architectuur omvat aan de operationele kant de blauwdruk voor een gecoördineerde respons op grootschalige cyberincidenten en -crises (hierna “de blauwdruk” genoemd) (4), het CSIRT-netwerk, het Europees Netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) (5), het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) en de gezamenlijke taskforce cybercriminaliteit (J-CAT) bij het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), en het crisisresponsprotocol van de EU-rechtshandhavingsinstanties (“EU Law Enforcement Emergency Response Protocol” — EU LE ERP). Ook de NIS-samenwerkingsgroep, het Inlichtingen- en situatiecentrum van de Europese Unie (EU-Intcen), het Instrumentarium voor cyberdiplomatie (6) en projecten met betrekking tot cyberdefensie in het kader van de permanente gestructureerde samenwerking (PESCO) (7) dragen bij aan het beleid en de operationele samenwerking in verschillende cyberbeveiligingsgemeenschappen. Het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) is op grond van zijn versterkte mandaat belast met het ondersteunen van de operationele samenwerking (8) op het gebied van de cyberbeveiliging van netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die door cyberdreigingen en -incidenten worden getroffen. De EU kan door middel van de geïntegreerde regeling politieke crisisrespons (IPCR-regeling) haar politieke respons op grote crises coördineren, ook in geval van grootschalige cyberaanvallen.

(6)

Er bestaat echter nog geen mechanisme om de bestaande middelen aan te wenden en om wederzijdse bijstand te verlenen aan alle cybergemeenschappen die verantwoordelijk zijn voor de beveiliging van netwerken en informatiesystemen, het bestrijden van cybercriminaliteit, en in voorkomend geval voor cyberdefensie bij crises. Ook bestaat er geen omvattend mechanisme op EU-niveau voor technische en operationele samenwerking tussen alle gemeenschappen op het gebied van situatiebewustzijn, paraatheid en respons. Bovendien zouden via Europol respectievelijk Intcen synergieën met de rechtshandhavings- en inlichtingengemeenschappen moeten worden gecreëerd.

(7)

De Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid (hierna “de hoge vertegenwoordiger” genoemd), de lidstaten en de betrokken EU-instellingen, -organen en -agentschappen erkennen het belang van het analyseren van de sterke punten, zwakke punten, lacunes en overlappingen van de cyberbeveiligingsarchitectuur van de EU zoals die de laatste jaren is opgebouwd. Naar aanleiding van die analyse heeft de Commissie samen met de lidstaten, en met medewerking van de hoge vertegenwoordiger, een concept ontwikkeld voor een gezamenlijke cybereenheid als belangrijk onderdeel van de strategie voor de veiligheidsunie (9), de digitale strategie (10) en de cyberbeveiligingsstrategie (11).

(8)

De lidstaten zouden in gevallen van crisis moeten kunnen rekenen op solidariteit van de EU in de vorm van gecoördineerde bijstand, met inbegrip van bijstand van alle vier de cybergemeenschappen (de civiele, wetshandhavings- (12), diplomatieke en, in voorkomend geval, defensiegemeenschappen). De mate waarin deelnemers uit een of meer gemeenschappen ingrijpen, kan afhangen van de aard van een grootschalig incident of een grootschalige crisis en derhalve van het soort tegenmaatregelen dat daartegen moet worden getroffen. In geval van cyberdreigingen, -incidenten en -crises zijn goed opgeleide deskundigen en technische uitrusting van wezenlijk belang om ernstige schade te kunnen voorkomen en voor daadwerkelijk herstel te kunnen zorgen. Duidelijk omschreven technische en operationele vermogens, met name in de vorm van deskundigen en uitrusting, die in geval van nood direct in de lidstaten kunnen worden ingezet, zullen daarom centraal staan in de gezamenlijke cybereenheid. Binnen dat platform zullen deelnemers zich in een unieke positie bevinden om via snellereactieteams voor cyberbeveiliging van de EU dergelijke vermogens te bevorderen en te coördineren, en tegelijkertijd voor passende synergieën met de reeds bestaande cyberprojecten in het kader van PESCO te zorgen.

(9)

De gezamenlijke cybereenheid voorziet in een virtueel en fysiek platform, en daarom hoeft er geen extra, afzonderlijk orgaan te worden opgericht. De opzet van de gezamenlijke cybereenheid zou geen afbreuk mogen doen aan de competenties en bevoegdheden van nationale cyberbeveiligingsautoriteiten en relevante entiteiten van de Unie. De gezamenlijke cybereenheid zou moeten worden verankerd in memoranda van overeenstemming tussen haar deelnemers. De gezamenlijke cybereenheid zou, als platform voor veilige en snelle operationele en technische samenwerking tussen EU-entiteiten en autoriteiten van de lidstaten, moeten voortbouwen op en een meerwaarde moeten bieden voor bestaande structuren, middelen en vermogens. De gezamenlijke cybereenheid zou ook alle cyberbeveiligingsgemeenschappen — de civiele, wetshandhavings-, diplomatieke en defensiegemeenschappen — moeten samenbrengen. Deelnemers aan het platform zouden ofwel een operationele, ofwel een ondersteunende rol moeten hebben. Enisa, Europol, het computercrisisresponsteam voor de instellingen, organen en instanties van de Europese Unie (CERT-EU), de Commissie, de Europese Dienst voor extern optreden (met inbegrip van Intcen), het CSIRT-netwerk en EU-CyCLONe zouden tot de operationele deelnemers moeten behoren. Het Europees Defensieagentschap (EDA), de voorzitter van NIS-samenwerkingsgroep, de voorzitter van de Horizontale Groep cybervraagstukken van de Raad en één vertegenwoordiger voor de relevante PESCO-projecten (13) zouden tot de ondersteunende deelnemers moeten behoren. Aangezien de lidstaten het operationeel vermogen en de operationele bevoegdheden hebben om op grootschalige cyberdreigingen, -incidenten en -crises te reageren, zouden de deelnemers aan het platform vooral op hun capaciteiten moeten vertrouwen om, met hulp van de relevante entiteiten van de Unie, hun doelstellingen te verwezenlijken.

(10)

De gezamenlijke cybereenheid moet een nieuwe impuls geven aan het proces dat in 2017 met de blauwdruk van start is gegaan. De gezamenlijke cybereenheid zou de architectuur van de blauwdruk verder moeten operationaliseren en een beslissende stap moeten zijn in de richting van een Europees kader voor de beheersing van cybercrises, waarbinnen dreigingen en risico’s op gecoördineerde en tijdige wijze worden geïdentificeerd, de gevolgen daarvan worden beperkt en erop wordt gereageerd. Door een dergelijke stap te zetten, zou de gezamenlijke cybereenheid de EU moeten helpen bij de respons op huidige en aanstaande dreigingen.

(11)

Operationele en ondersteunende deelnemers zouden door aan de gezamenlijke cybereenheid deel te nemen in staat moeten zijn samen te werken met een breder scala belanghebbenden als onderdeel van het EU-kader voor respons op cybercrises. Bij het uitoefenen van hun functies binnen de grenzen van hun mandaat zouden de deelnemers gebruik moeten maken van betere paraatheid en een breder situatiebewustzijn van alle aspecten van cyberdreigingen en -incidenten, en van aanvullende deskundigheid op het gebied van cyberbeveiliging. Deelnemers zouden bijvoorbeeld regelmatig moeten worden betrokken bij gemeenschapsoverschrijdende oefeningen, een duidelijk omschreven rol in het EU-crisisresponsplan krijgen, de zichtbaarheid van hun acties vergroten door gezamenlijke communicatie met het publiek, en overeenkomsten voor operationele samenwerking sluiten met de particuliere sector. Tegelijkertijd zouden deelnemers door bij te dragen aan de gezamenlijke cybereenheid bestaande netwerken, zoals het CSIRT-netwerk en EU-CyCLONe, moeten kunnen versterken, waarmee zij veilige instrumenten voor informatie-uitwisseling en betere detectievermogens (bijvoorbeeld operationele beveiligingscentra) krijgen en toegang kunnen krijgen tot beschikbare operationele vermogens van de EU.

(12)

Deelnemers aan de gezamenlijke cybereenheid zouden zich moeten richten op technische en operationele samenwerking, met inbegrip van gezamenlijke operaties. De deelnemers zouden aan dergelijke samenwerking moeten bijdragen voor zover hun mandaat dit toelaat. Samenwerking zou moeten voortbouwen en een aanvulling moeten vormen op lopende inspanningen. Aanvullende entiteiten zouden kunnen deelnemen afhankelijk van de soort samenwerking in kwestie.

(13)

Met het platform zouden technische en operationele crisisbeheersingsdeskundigen van de lidstaten en EU-entiteiten bijeen moeten worden gebracht om de respons op cyberdreigingen, -incidenten en -crises te coördineren door gebruik te maken van de bestaande vermogens en deskundigheid. Deskundigen die deelnemen aan de gezamenlijke cybereenheid zullen een veel breder aanvalsoppervlak kunnen monitoren door gebruik te maken van zowel het fysieke als het virtuele platform. Daarom zouden deelnemers via het platform hun inspanningen bij grensoverschrijdende incidenten en crises moeten coördineren en door incidenten getroffen landen moeten bijstaan.

(14)

Voor de opbouw van de gezamenlijke cybereenheid is een stapsgewijs proces nodig waarin bestaande kaders en structuren, als vermeld in deze aanbeveling, worden aangewend en geconsolideerd, met inbegrip van de samenwerkingsmechanismen die zijn ingesteld in het kader van door lidstaten geleide fora (bijvoorbeeld het CSIRT-netwerk, EU-CyCLONe, de Horizontale Groep cybervraagstukken van de Raad, J-CAT en relevante PESCO-projecten) en vanuit de EU-instellingen, -organen en -agentschappen, de gestructureerde samenwerking tussen Enisa en CERT-EU, en de interinstitutionele groep voor de uitwisseling van cyberbeveiligingsinformatie. Kaders voor hybride dreigingen en civiele bescherming (14) en sectorspecifieke kaders (15) zouden op passende wijze moeten worden betrokken. Er zou op vergelijkbare wijze een gestructureerde koppeling met de IPCR (16) tot stand moeten worden gebracht. Zo kan in geval van een crisis snel en doeltreffend informatie worden uitgewisseld tussen politieke beleidsbepalers die in de Raad zijn verzameld.

(15)

De gezamenlijke cybereenheid zou daarom volgens een geleidelijk en transparant proces, dat over twee jaar moet zijn afgerond, moeten worden opgericht. Daarom zouden de doelstellingen van deze aanbeveling moeten worden verwezenlijkt door middel van een proces in vier stappen, zoals beschreven in de bijlage bij deze aanbeveling. In het kader van de eerste twee stappen zou een door Enisa ondersteund voorbereidingsproces met operationele en ondersteunende deelnemers op het niveau van de EU en de lidstaten moeten worden opgezet, onder een door de Commissie op te richten werkgroep. De beginselen van wederzijdse betrokkenheid, inclusiviteit en consensusvorming zouden leidend moeten zijn bij dit voorbereidingswerk. De betrokkenheid van alle deelnemers zou moeten worden bevorderd zodat verschillende meningen en standpunten naar voren kunnen worden gebracht en ernaar kan worden gestreefd oplossingen te vinden die zo veel mogelijk steun genieten. Afhankelijk van de behoeften en in naar behoren gemotiveerde omstandigheden kan het tijdschema voor de verschillende stappen die in deze aanbeveling zijn aangegeven, worden aangepast.

(16)

Het voorbereidingsproces zou moeten beginnen met de eerste stap: de identificatie van de relevante beschikbare operationele vermogens van de EU en beginnen met de bepaling van de rollen en verantwoordelijkheden van deelnemers aan het platform. De tweede stap zou de ontwikkeling van het EU-plan voor incidenten- en crisisrespons op het gebied van cyberbeveiliging overeenkomstig de blauwdruk (17) en het crisisresponsprotocol van de EU-rechtshandhavingsinstanties, de ontplooiing van activiteiten met betrekking tot paraatheid en situatiebewustzijn overeenkomstig de cyberbeveiligingsverordening en de Europol-verordening (18), en de uiteindelijke bepaling van de rollen en verantwoordelijkheden van deelnemers aan het platform moeten omvatten. De werkgroep zou de resultaten van die bepaling moeten voorleggen aan de Commissie en de hoge vertegenwoordiger, die deze resultaten vervolgens met de Raad zullen delen. De Commissie en de hoge vertegenwoordiger zouden moeten samenwerken om overeenkomstig hun respectieve bevoegdheden een gezamenlijk verslag op basis van die bepaling op te stellen en de Raad moeten uitnodigen om dat verslag door middel van conclusies van de Raad te bekrachtigen.

(17)

Na die bekrachtiging kan de gezamenlijke cybereenheid operationeel worden gemaakt en kunnen de twee resterende stappen van het proces worden voltooid. Bij de derde stap zouden de deelnemers in staat moeten zijn om de snellereactieteams van de EU in te zetten overeenkomstig de procedures die zijn vastgesteld in het EU-plan voor incidenten- en crisisrespons op het gebied van cyberbeveiliging, daarbij gebruik te maken van zowel het fysieke als het virtuele platform en zo bij te dragen aan verschillende aspecten van de respons op incidenten (van communicatie met het publiek tot herstel achteraf). Ten slotte zullen in het kader van de vierde stap belanghebbenden uit de particuliere sector, met inbegrip van zowel gebruikers als aanbieders van cyberbeveiligingsoplossingen en -diensten, worden uitgenodigd om bij te dragen aan het platform, waardoor deelnemers de informatie-uitwisseling en de gecoördineerde respons van de EU op cyberdreigingen en -incidenten kunnen verbeteren.

(18)

Tegen het einde van het vierstappenproces zouden deelnemers een activiteitenverslag moeten opstellen over de vooruitgang die bij de uitvoering van de vier in de aanbeveling beschreven stappen is geboekt, waarin zij beschrijven welke successen zijn geboekt en welke problemen zij zijn tegengekomen; dit verslag zou moeten worden voorgelegd aan de Commissie en de hoge vertegenwoordiger. Op basis van dat verslag zouden de Commissie en de hoge vertegenwoordiger de resultaten moeten beoordelen en conclusies moeten trekken met het oog op de toekomst van de gezamenlijke cybereenheid.

(19)

De Commissie, Enisa, Europol en CERT-EU zouden, binnen hun budgettaire en personele mogelijkheden, administratieve, financiële en technische bijstand aan de gezamenlijke cybereenheid moeten verlenen, zoals beschreven in hoofdstuk IV van deze aanbeveling. De versterking van de operationele cyberbeveiligingscapaciteiten van de relevante EU-instellingen, -organen en -agentschappen zal essentieel zijn voor de doeltreffende voorbereiding en voor de bestendigheid van de gezamenlijke cybereenheid. De Commissie is voornemens ervoor te zorgen dat de komende verordening betreffende gemeenschappelijke bindende voorschriften inzake cyberbeveiliging voor EU-instellingen, -organen en -agentschappen (oktober 2021) de rechtsgrondslag voor de bijdrage van CERT-EU zal vormen.

(20)

Enisa is, gezien zijn versterkte mandaat overeenkomstig Verordening (EU) 2019/881 (cyberbeveiligingsverordening) bij uitstek in staat de voorbereiding van de gezamenlijke cybereenheid te organiseren en te ondersteunen, en bij te dragen tot het operationeel maken ervan. In overeenstemming met de bepalingen van de cyberbeveiligingsverordening zet Enisa momenteel een kantoor in Brussel op om zijn gestructureerde samenwerking met CERT-EU te ondersteunen. Die gestructureerde samenwerking, onder meer via aangrenzende kantoren, biedt een nuttig kader om de oprichting van de gezamenlijke cybereenheid te faciliteren, met inbegrip van de fysieke ruimte ervan die aan de deelnemers en aan personeel van andere relevante EU-instellingen, -organen en -agentschappen ter beschikking zou moeten worden gesteld als zij daar behoefte aan hebben. Het fysieke platform zou moeten worden gecombineerd met een virtueel platform dat bestaat uit instrumenten voor samenwerking en veilige informatie-uitwisseling. Met die instrumenten zal de schat aan informatie die via het Europees cyberschild (19), met inbegrip van Security Operation Centres (SOC’s) en centra voor informatie-uitwisseling en -analyse (ISAC’s), is verzameld, worden benut.

(21)

In het in 2018 door de Raad goedgekeurde crisisresponsprotocol van de EU-rechtshandhavingsinstanties voor grote grensoverschrijdende cyberaanvallen, wordt in het kader van de “blauwdruk” een centrale rol toegekend aan het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) (20) van Europol. Met dat protocol kunnen EU-rechtshandhavingsautoriteiten 24 uur per dag en zeven dagen per week op grootschalige, vermoedelijk kwaadwillige grensoverschrijdende aanvallen reageren door middel van snelle reactie en beoordeling, en essentiële informatie voor de doeltreffende coördinatie van de respons op grensoverschrijdende incidenten veilig en tijdig uitwisselen. In het protocol wordt nader ingegaan op de samenwerking met andere EU-instellingen en crisisprotocollen voor de hele EU, alsook op samenwerking met de particuliere sector op het gebied van crises. De rechtshandhavingsgemeenschap zou, in voorkomend geval met de steun van Europol, moeten bijdragen aan de gezamenlijke cybereenheid door de nodige stappen te ondernemen binnen de volledige onderzoekscyclus, overeenkomstig de vereisten van het strafrechtelijk kader en de toepasselijke procedures voor de omgang met elektronisch bewijsmateriaal. Sinds de oprichting van EC3 in 2013 verleent Europol operationele steun en faciliteert het de operationele samenwerking tegen cyberdreigingen. Europol zou het platform moeten blijven ondersteunen overeenkomstig zijn mandaat en de benadering van inlichtingengestuurde rechtshandhaving, en daarbij alle interne deskundigheid, producten, instrumenten en diensten inzetten die relevant zijn voor de incident- of crisisrespons.

(22)

Op grond van Richtlijn 2013/40/EU over aanvallen op informatiesystemen moeten de lidstaten er ook voor zorgen dat zij voor de informatie-uitwisseling met betrekking tot in die richtlijn omschreven strafbare feiten beschikken over een operationeel nationaal contactpunt dat 24 uur per dag en zeven dagen per week bereikbaar is. Het netwerk van die operationele nationale contactpunten zou ook moeten bijdragen aan de gezamenlijke cybereenheid door in voorkomend geval voor de betrokkenheid van rechtshandhavingsinstanties van de lidstaten te zorgen.

(23)

De cyberdiplomatiegemeenschap van de EU draagt bij aan de bevordering en bescherming van een wereldwijde, open, stabiele en veilige cyberspace, en in het kader daarvan aan de preventie en opsporing van en de respons op kwaadwillige cyberactiviteiten. De EU heeft in 2017 een kader voor een gezamenlijke diplomatieke EU-respons op kwaadwillige cyberactiviteiten (“Instrumentarium voor cyberdiplomatie”) goedgekeurd. Dit kader maakt deel uit van het bredere cyberdiplomatiebeleid van de EU. Het draagt bij tot het voorkomen van conflicten en tot stabielere internationale betrekkingen. Met dit kader worden de EU en de lidstaten in staat gesteld om, in voorkomend geval in samenwerking met internationale partners, alle maatregelen van het gemeenschappelijk buitenlands- en veiligheidsbeleid (GBVB) overeenkomstig de respectieve procedures voor de uitvoering ervan in te zetten om samenwerking aan te moedigen, dreigingen te ondervangen en huidig en mogelijk toekomstig kwaadwillig gedrag in cyberspace te beïnvloeden. De cyberdiplomatiegemeenschap zou binnen de gezamenlijke cybereenheid moeten samenwerken door het volledige scala aan diplomatieke maatregelen te benutten en ondersteuning te bieden op dat gebied, met name wat betreft communicatie met het publiek, het ondersteunen van gedeeld situatiebewustzijn en de betrokkenheid van derde landen in geval van een crisis.

(24)

De hoge vertegenwoordiger zou, overeenkomstig het kader van de blauwdruk, onder meer via Intcen moeten bijdragen aan de gezamenlijke cybereenheid door doorlopend op inlichtingen gebaseerd en gedeeld situatiebewustzijn over bestaande en opkomende dreigingen te verschaffen, met inbegrip van het nodige strategisch situatiebewustzijn voor ieder voorval.

(25)

De EU en de lidstaten streven er binnen de cyberdefensiegemeenschap naar de cyberdefensievermogens te versterken en synergieën, coördinatie en samenwerking tussen de relevante EU-instellingen, -organen en -agentschappen, alsook met en tussen de lidstaten, verder te verbeteren, ook met betrekking tot de missies en operaties in het kader van het gemeenschappelijk veiligheids- en defensiebeleid (GVDB). De gemeenschap functioneert op basis van intergouvernementeel bestuur op EU-niveau, nationale militaire bevelstructuren en vermogens en middelen voor militair of tweeërlei gebruik. Gezien de bijzondere aard van de cyberdefensiegemeenschap, moeten specifieke interfaces met de gezamenlijke cybereenheid worden gebouwd om informatie-uitwisseling daarmee mogelijk te maken (21).

(26)

De permanente gestructureerde samenwerking is een bij het Verdrag van Lissabon (22) ingesteld rechtskader dat in 2017 in het kader van de Unie is opgenomen. Gestructureerde samenwerking heeft geleid tot een aantal PESCO-projecten op cybergebied, die bijdragen tot de naleving van verbintenis 11 (23)“om de inspanningen inzake samenwerking op het gebied van cyberdefensie op te voeren, zoals informatie-uitwisseling, opleiding en operationele ondersteuning”. De EDEO vormt, met inbegrip van de Militaire Staf van de EU en het EDA, het PESCO-secretariaat, dat één contactpunt binnen het Uniekader vormt voor alle PESCO-aangelegenheden, met inbegrip van ondersteunende en coördinerende functies met betrekking tot de PESCO-projecten (bijvoorbeeld de beoordeling van nieuwe projectvoorstellen en het opstellen van de voortgangsverslagen van de projecten). Vertegenwoordigers van relevante PESCO-projecten zouden de gezamenlijke cybereenheid moeten ondersteunen, met name met betrekking tot situatiebewustzijn en paraatheid.

(27)

De deelnemers zouden belanghebbenden uit de particuliere sector, zowel aanbieders als gebruikers van cyberbeveiligingsoplossingen, via de gezamenlijke cybereenheid voldoende moeten integreren om het Europees kader voor de beheersing van cyberbeveiligingscrises te ondersteunen, en daarbij het rechtskader voor het delen en beveiligen van informatie naar behoren in acht moeten nemen. Aanbieders van cyberbeveiliging zouden aan het initiatief moeten bijdragen door inlichtingen over dreigingen te delen en responders op incidenten ter beschikking te stellen, teneinde de capaciteiten van de Unie om op grootschalige aanvallen en crises te reageren snel te verhogen. Gebruikers van goederen en diensten voor cyberbeveiliging zouden, met name als zij onder het toepassingsgebied van de NIS-richtlijn vallen, om hulp en advies moeten kunnen verzoeken via — momenteel ontbrekende — gestructureerde kanalen die aan centra voor informatie-uitwisseling en -analyse (ISAC’s) op EU-niveau (24) zijn gekoppeld. Het platform zou ook kunnen bijdragen tot het versterken van de samenwerking met internationale partners.

(28)

Voor het ontwikkelen en in stand houden van situatiebewustzijn zijn geavanceerde vermogens voor de detectie en het voorkomen van indringing nodig. De gezamenlijke cybereenheid zou moeten steunen op een geavanceerd netwerk waarmee kwaadwillige dreigingen en incidenten die negatieve gevolgen zouden kunnen hebben voor belangrijke communicatie- en informatiesystemen in de hele Unie kunnen worden geanalyseerd. Dit betekent dat kennis van dreigingen afkomstig uit communicatienetwerken die worden gemonitord door nationale, sectorale en grensoverschrijdende SOC’s en andere bronnen bij de gezamenlijke cybereenheid terecht zou moeten komen zodat deelnemers het dreigingslandschap in de EU beter kunnen beoordelen.

(29)

Om de uitwisseling van operationele informatie, die vertrouwelijke informatie kan bevatten, te ondersteunen, zou het platform moeten steunen op naar behoren beveiligde communicatiekanalen. Dergelijke kanalen zouden ook kunnen voortbouwen op bestaande infrastructuur, zoals de applicatie voor veilige informatie-uitwisseling (Siena), die Europol en de rechtshandhavingsgemeenschap gebruiken. Zoals aangekondigd in de cyberbeveiligingsstrategie zouden de door de EU-instellingen, -organen en -agentschappen gebruikte instrumenten moeten voldoen aan de voorschriften inzake informatiebeveiliging die de Commissie binnenkort zal voorstellen.

(30)

De Commissie zal, met name via het programma Digitaal Europa, de nodige investeringen ondersteunen om het fysieke en het virtuele platform op te zetten, om veilige communicatiekanalen en opleidingsvermogen op te bouwen en in stand te houden, en om detectievermogen op te bouwen en in stand te houden. Het Europees Defensiefonds zou daarnaast kunnen helpen bij de financiering van cruciale cyberdefensietechnologieën en -vermogens om nationale paraatheid op het gebied van cyberdefensie te versterken,

1.

Het doel van deze aanbeveling is de acties te identificeren die nodig zijn om de inspanningen van de EU om grootschalige cyberincidenten en -crises te voorkomen, op te sporen, te ontmoedigen en te beletten, alsook de gevolgen ervan te beperken en erop te reageren, via een gezamenlijke cybereenheid te coördineren. Om dat doel te verwezenlijken, worden in deze aanbeveling ook het proces, de mijlpalen en het tijdschema vastgesteld die de lidstaten en relevante EU-instellingen, -organen en -agentschappen zouden moeten volgen met betrekking tot de oprichting en ontwikkeling van dat platform.

2.

De lidstaten en de relevante EU-instellingen, -organen en -agentschappen zouden ervoor moeten zorgen dat zij in geval van grootschalige cyberincidenten en -crises hun inspanningen coördineren via een gezamenlijke cybereenheid die wederzijdse bijstand (25) in de vorm van deskundigheid van autoriteiten van lidstaten en relevante EU-instellingen, -organen en agentschappen mogelijk maakt. De gezamenlijke cybereenheid zou deelnemers ook in staat moeten stellen samen te werken met de particuliere sector.

3.

Voor de toepassing van deze aanbeveling wordt verstaan onder:

4.

De lidstaten en de relevante EU-instellingen, -organen en -agentschappen zouden moeten zorgen voor een gecoördineerde respons van de EU op en herstel van grootschalige cyberincidenten en -crises. Er zou in het bijzonder voor een dergelijke respons moeten worden gezorgd tussen operationele deelnemers, met name Enisa, Europol, CERT-EU, de Commissie, de Europese Dienst voor Extern Optreden (met inbegrip van Intcen), het CSIRT-netwerk, EU-CyCLONe, en ondersteunende deelnemers, met name de voorzitter van de NIS-samenwerkingsgroep, de voorzitter van de Horizontale Groep cybervraagstukken van de Raad, het Europees Defensieagentschap en één vertegenwoordiger voor de relevante PESCO-projecten (28). De operationele deelnemers zouden in staat moeten zijn binnen de gezamenlijke cybereenheid op snelle en doeltreffende wijze operationele middelen voor wederzijdse bijstand te mobiliseren. Daarom zouden mechanismen voor wederzijdse bijstand op aanvraag van een of meerdere lidstaten binnen de gezamenlijke cybereenheid moeten worden gecoördineerd.

5.

Om voor een doeltreffende en gecoördineerde respons te zorgen, zouden de in punt 4 genoemde operationele en ondersteunende deelnemers in staat moeten zijn beste praktijken uit te wisselen, gedeeld situatiebewustzijn te benutten en te zorgen voor de nodige paraatheid voor zover hun mandaat dit toelaat. Die deelnemers zouden rekening moeten houden met bestaande processen en de deskundigheid die in de verschillende cyberbeveiligingsgemeenschappen beschikbaar is.

6.

De lidstaten en de relevante EU-instellingen, -organen en -agentschappen zouden, voortbouwend op de bijdrage van Enisa als bedoeld in artikel 7, lid 7, van Verordening (EU) 2019/881, moeten zorgen voor een gecoördineerde respons op en een gecoördineerd herstel van grootschalige incidenten en crises, door middel van:

7.

De lidstaten en de relevante EU-instellingen, -organen en -agentschappen zouden moeten waarborgen dat de gezamenlijke cybereenheid continu zorgt voor een gezamenlijk situatiebewustzijn en gezamenlijke paraatheid tegen cybercrises tussen en binnen alle cybergemeenschappen, en dat de doelstellingen van artikel 7 van Verordening (EU) 2019/881 en artikel 3 van Verordening (EU) 2016/794 worden nagestreefd. Daartoe zouden de lidstaten en de relevante EU-instellingen, -organen en -agentschappen overeenkomstig Verordening (EU) 2019/881 en Verordening (EU) 2016/794 de uitvoering van de volgende ondersteunende operaties mogelijk moeten maken:

8.

Om de punten 6 en 7 uit te voeren, zouden de lidstaten en de relevante EU-instellingen, -organen en -agentschappen moeten zorgen voor:

9.

Enisa zou overeenkomstig artikel 7 van Verordening (EU) 2019/881 moeten zorgen voor de coördinatie en ondersteuning van de lidstaten en de relevante EU-instellingen, -agentschappen en -organen binnen de gezamenlijke cybereenheid, onder meer door als secretariaat te fungeren, bijeenkomsten te organiseren en bij te dragen aan de uitvoering van maatregelen in de lidstaten en op EU-niveau. Enisa zou zowel een veilig virtueel platform als een fysieke ruimte moeten verschaffen waar bijenkomsten kunnen worden gehouden en waarmee het treffen van de nodige uitvoeringsmaatregelen wordt vergemakkelijkt.

10.

De lidstaten en de relevante EU-instellingen, -organen en -agentschappen zouden ervoor moeten zorgen dat de gezamenlijke cybereenheid per 30 juni 2022 de operationele fase ingaat. Operationele deelnemers zouden uiterlijk op die datum hun operationele vermogens en deskundigen ter beschikking moeten stellen, die de basis kunnen vormen van snellereactieteams voor cyberbeveiliging van de EU. De plannen voor een fysiek en een virtueel platform zouden tegen die tijd ver gevorderd moeten zijn.

11.

De lidstaten en de relevante EU-instellingen, -organen en -agentschappen zouden moeten bijdragen aan het functioneren van de gezamenlijke cybereenheid en ervoor moeten zorgen dat deze uiterlijk op 30 juni 2023 volledig operationeel is. Dit zou moeten gebeuren in vier opeenvolgende stappen, gericht op het voltooien van de volgende activiteiten:

De in het kader van de vier opeenvolgende stappen te ondernemen acties zijn uitvoeriger omschreven in de bijlage bij deze aanbeveling.

12.

Enisa zou in het kader van de eerste twee stappen de voorbereiding van de gezamenlijke cybereenheid moeten organiseren en ondersteunen. De diensten van de Commissie zouden een werkgroep met operationele en ondersteunende deelnemers bijeen moeten brengen om die voorbereidende werkzaamheden af te ronden. De diensten van de Commissie zouden een vertegenwoordiger moeten aanwijzen en een door de hoge vertegenwoordiger voorgedragen vertegenwoordiger moeten uitnodigen om, naast de door de lidstaten gekozen vertegenwoordiger, als medevoorzitters van de werkgroep op te treden en bij te dragen aan agendapunten overeenkomstig hun respectieve bevoegdheden.

13.

Als stap 2 op zijn einde loopt, zou de werkgroep haar beoordeling van de organisatorische aspecten van de gezamenlijke cybereenheid en de rollen en verantwoordelijkheden van de operationele deelnemers binnen dat platform moeten afronden. De werkgroep zou de resultaten van die beoordeling moeten voorleggen aan de Commissie en de hoge vertegenwoordiger. De Commissie en de hoge vertegenwoordiger zouden die beoordeling vervolgens met de Raad moeten delen. De Commissie en de hoge vertegenwoordiger zouden op basis van die beoordeling een gezamenlijk verslag moeten opstellen en de Raad uitnodigen om dat verslag door middel van conclusies van de Raad te bekrachtigen.

14.

De gezamenlijke cybereenheid zou vanaf stap 3 operationeel moeten zijn.

15.

Enisa en de Commissie zouden ervoor moeten zorgen dat bestaande middelen in het kader van de EU-financieringsprogramma’s, en met name het programma Digitaal Europa, overeenkomstig de toepasselijke regels voor het opstellen van de respectieve werkprogramma’s, worden gebruikt om de deelnemers van de gezamenlijke cybereenheid te voorzien van aanvullende opleidings- en communicatievermogens en veilige infrastructuur voor het uitwisselen van informatie waarmee de uitwisseling van gerubriceerde informatie mogelijk wordt gemaakt, ook tussen verschillende gemeenschappen.

16.

De lidstaten zouden met de Commissie en de hoge vertegenwoordiger moeten samenwerken om uiterlijk op 30 juni 2025, overeenkomstig hun respectieve bevoegdheden, de doeltreffendheid en efficiëntie van de gezamenlijke cybereenheid te beoordelen, teneinde conclusies te trekken met het oog op de toekomst van de gezamenlijke cybereenheid. Bij die beoordeling zou rekening moeten worden gehouden met de uitvoering van de voornoemde vier stappen.