INT/930
Strategie voor cyberbeveiliging
ADVIES
Afdeling Interne Markt, Productie en Consumptie
Gezamenlijke mededeling aan het Europees Parlement en de Raad
De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk
[JOIN(2020) 18 final]
Rapporteur: Philip VON BROCKDORFF
Raadpleging
|
Europese Commissie, DD/MM/2020
|
Rechtsgrondslag
|
Artikel 304 van het Verdrag betreffende de werking van de Europese Unie
|
|
|
Bevoegde afdeling
|
Interne Markt, Productie en Consumptie
|
Goedkeuring door de afdeling
|
31/03/2021
|
Goedkeuring door de voltallige vergadering
|
DD/MM/YYYY
|
Zitting nr.
|
…
|
Stemuitslag
(voor/tegen/onthoudingen)
|
…/…/…
|
1.Conclusies en aanbevelingen
1.1Het Europees Economisch en Sociaal Comité (EESC) beschouwt de voorgestelde strategie als een stap in de goede richting om overheden, burgers en bedrijven in de hele EU te beschermen tegen mondiale cyberdreigingen en de economische groei veilig te stellen.
1.2Het EESC is van mening dat overheidsinstanties van de financieringsmogelijkheden moeten kunnen profiteren, om investeringen in cyberbeveiligingsinfrastructuur mogelijk te maken.
1.3Het EESC is tevreden over de voorstellen om in de EU een netwerk van Security Operations Centres (SOC’s) op te bouwen en het Agentschap van de EU voor cyberbeveiliging (Enisa) met alle belanghebbenden te laten samenwerken om de risico’s van 5G te beperken.
1.4Positief is het EESC ook over het voorstel om de rol van Europol als expertisecentrum op het gebied van cybercriminaliteit verder te ontwikkelen. Samenwerking met de multistakeholdergemeenschap en op internationaal niveau vindt het eveneens belangrijk.
1.5Het EESC waarschuwt voor de vaardighedenkloof op cyberbeveiligingsgebied en beveelt een EU-loopbaaninstrument voor cyberbeveiliging aan dat mensen helpt een loopbaan op dit vakgebied uit te stippelen, samen te stellen en te volgen.
1.6Het EESC wijst op het gevaar van desinformatie. De verspreiding van desinformatie kan ernstige gevolgen hebben en daarom zou het tegengaan van desinformatie in elke cyberbeveiligingsstrategie aan bod moeten komen.
1.7Volgens het EESC zouden alle buitenlandse investeringen in strategische sectoren in de Unie in overeenstemming moeten zijn met het veiligheidsbeleid van de EU.
1.8Het EESC waarschuwt voor de komst van kwantumcomputers en de daarmee gepaard gaande risico’s. Dit noopt tot een overstap op kwantumresistente of postkwantumcryptografie.
1.9Het EESC beveelt de Commissie aan om haar cyberbeveiligingsstrategie regelmatig bij te werken, minstens elke twee jaar, zodat adequaat op nieuwe technologieën en risico’s kan worden ingespeeld.
1.10Tot slot wijst het EESC op het belang van sociale dialoog bij de uitwerking van cyberbeveiligingsbeleid dat beoogt om mensen doeltreffend te beschermen tijdens het thuiswerken en meer in het algemeen tijdens onlineactiviteiten.
2.Mededeling van de Europese Commissie
2.1Het doel van de mededeling is te benadrukken dat de EU zich inzet voor het waarborgen van een onlineomgeving die de grootst mogelijke vrijheid en veiligheid biedt, in het belang van haar burgers.
2.2In de mededeling wordt de visie van de EU op dit gebied geschetst, worden rollen en verantwoordelijkheden gedefinieerd en specifieke acties op EU-niveau voorgesteld om te zorgen voor robuuste en doeltreffende bescherming waarbij de rechten van de burgers worden geëerbiedigd, teneinde de onlineomgeving veilig en beveiligd te maken.
2.3De voorgestelde acties zijn bedoeld om:
-cyberveerkracht te realiseren door capaciteiten, paraatheid, samenwerking, informatie-uitwisseling en bewustzijn op het gebied van netwerk- en informatiebeveiliging te vergroten, voor overheid en bedrijfsleven en op nationaal en EU-niveau;
-de procesmatige aanpak van cyberdefensie in de hele Unie te standaardiseren en een databank met relevante informatie op te zetten om inlichtingen over bedreigingen te verschaffen ter ondersteuning van de getroffen sector of economie;
-de cybercriminaliteit drastisch terug te dringen door de deskundigheid te vergroten van degenen die belast zijn met onderzoek en vervolging, door een meer gecoördineerde aanpak tot stand te brengen tussen rechtshandhavingsinstanties in de hele Unie en door de samenwerking met andere partijen te verbeteren;
-Europese opleidings- en certificeringsprogramma’s voor professionals op te zetten conform de eisen van gekwalificeerde deskundigen op het gebied van cybercriminaliteit om geleidelijk te komen tot een coherent vaardighedenniveau in de hele Unie;
-EU-beleid en -capaciteiten op het gebied van cyberdefensie te ontwikkelen in het kader van het gemeenschappelijk veiligheids- en defensiebeleid;
-de benodigde industriële en technologische middelen te bevorderen om van de digitale eengemaakte markt te profiteren. Dit zal de opkomst van een Europese industrie en markt voor veilige ICT helpen stimuleren, bijdragen tot de groei en het concurrentievermogen van de EU-economie en de particuliere en overheidsuitgaven voor onderzoek en ontwikkeling op het gebied van cyberbeveiliging (O&O) verhogen;
-het internationale cyberbeveiligingsbeleid van de EU te versterken om de kernwaarden van de EU uit te dragen, normen voor verantwoord gedrag vast te stellen, te ijveren voor de toepassing van het bestaande internationale recht in cyberspace en landen buiten de EU te helpen bij het opbouwen van capaciteit op het gebied van cyberbeveiliging;
-een EU-beveiligingskeurmerk te ontwikkelen en in te voeren voor producten, diensten en technologieën die voldoen aan de normen en vereisten voor cyberbestendige oplossingen.
2.4De voorgestelde strategie heeft betrekking op de beveiliging van essentiële diensten zoals ziekenhuizen, energienetwerken en spoorwegen en het steeds grotere aantal op het internet aangesloten apparaten in huizen, kantoren en fabrieken, het opbouwen van collectieve capaciteiten om op grote cyberaanvallen te reageren en samenwerking met partners over de hele wereld om de internationale veiligheid en stabiliteit in cyberspace te waarborgen.
2.5Aangezien cyberdreigingen bijna altijd grensoverschrijdend zijn en een cyberaanval in één land gevolgen kan hebben voor meerdere andere lidstaten of de EU als geheel, stelt de Commissie ook voor een gezamenlijke cybereenheid op te richten om met de middelen en deskundigheid waarover de EU en de lidstaten gezamenlijk beschikken zo doeltreffend mogelijk te kunnen reageren.
2.6De strategie ter waarde van 2 miljard EUR zal worden gefinancierd via de EU-programma’s Digitaal Europa en Horizon Europa, aangevuld met investeringen van de lidstaten en het bedrijfsleven.
3.Algemene opmerkingen
3.1Cyberbeveiliging wordt tegenwoordig algemeen aanvaard als integraal onderdeel van het functioneren van de instellingen en agentschappen van de EU, en van elke lidstaat en economie. Cyberbeveiliging is cruciaal voor de Europese energie-infrastructuur, de uitrol van slimme netwerken
en de digitalisering en vergroening van de EU-economie. Even belangrijk is cyberbeveiliging voor de bescherming en waarborging van de fundamentele rechten en vrijheden van de burgers. Dat is bijzonder relevant omdat cyberaanvallen negatieve gevolgen kunnen hebben voor burgers en huishoudens (alsmede voor ondernemingen, organisaties en overheidsdiensten). Een recente computeraanval op een ziekenhuis in het Belgische Doornik is er een voorbeeld van dat niet alleen fysieke goederen maar ook mensenlevens in gevaar kunnen komen (er moesten operaties worden uitgesteld)
.
3.2Volgens DigitalEurope
vormen cyberdreigingen een belangrijk obstakel voor de welvaart in Europa. De mondiale economische verliezen ten gevolge van cybercriminaliteit werden eind 2020 geraamd op 2,5 biljoen EUR en verwacht wordt dat 74 % van alle ondernemingen wereldwijd in 2021 gehackt zal worden. Desondanks heeft slechts 32 % van de Europese ondernemingen een cyberbeveiligingsbeleid. Het is duidelijk en onvermijdelijk dat cyberdreigingen vragen om een gecoördineerde respons en een cyberbeveiligingsstrategie van de EU waarmee zowel de huidige uitdagingen kunnen worden aangepakt als organisaties en burgers kunnen worden beschermd tegen de volgende generatie virtuele gevaren. Dit geldt nog meer voor overheidsdiensten, welke grote hoeveelheden persoonsgegevens en gevoelige data beheren die beschermd moeten worden. Daarnaast vereist het Europese streven naar gegevenssoevereiniteit en het behoud van de vertrouwelijkheid van gegevens binnen de Unie cyberveerkracht en digitale veerkracht. Dit zal uiteindelijk de welvaart in de EU vergroten.
3.3De potentiële economische verliezen ten gevolge van cyberaanvallen zijn groot en hangen samen met:
-verlies van intellectuele eigendom en vertrouwelijke bedrijfsinformatie;
-onlinefraude en financiële misdrijven, die vaak het gevolg zijn van diefstal van persoonlijk identificeerbare informatie;
-financiële manipulatie, waarvoor gebruik wordt gemaakt van gestolen gevoelige bedrijfsinformatie over potentiële fusies of voorkennis over prestatieverslagen van beursgenoteerde ondernemingen;
-gederfde inkomsten door onder meer verstoring van productieprocessen of diensten en minder vertrouwen in onlinetransacties;
-kosten van netwerkbeveiliging, zoals het aangaan van cyberverzekeringen
, en kosten om de schade na cyberaanvallen te herstellen;
-reputatieschade en aansprakelijkheidsrisico’s voor de gehackte onderneming en haar merk, waaronder een tijdelijk lagere aandelenkoers.
3.4Er zij op gewezen dat de economische impact van cybercriminaliteit in Europa het grootst is, naar schatting 0,84 % van het bbp van de EU, tegenover 0,78 % in Noord-Amerika, op grond van het meest recente verslag over de economische gevolgen van cybercriminaliteit van het centrum voor strategische en internationale studies (CSIS).
3.5In dit licht had de voorgestelde strategie, waar uitgebreide raadplegingen van belanghebbenden aan vooraf zijn gegaan, niet op een beter moment kunnen komen, temeer nu deskundigen voorspellen dat het aantal verbonden apparaten in de wereld eind 2025 tot 25 miljard zal zijn gestegen. Een kwart van al die deze apparaten zal zich naar verwachting in Europa bevinden.
3.6De bekendmaking van de strategie viel samen met het bericht dat computers van federale overheidsinstanties in de VS waren getroffen door een cyberaanval op een Amerikaanse firma die software ontwikkelt voor ondernemingen om hun netwerken en IT-systemen te helpen beheren. Honderden bedrijven in de VS werden ook slachtoffer van deze aanval, waarbij door hackers malware werd toegevoegd aan een software-update die door duizenden klanten van de getroffen Amerikaanse firma werd gedownload. Dit incident laat zien hoe overheden en ondernemingen in alle sectoren en de samenleving als geheel het risico op een cyberaanval kunnen lopen.
3.7Het is dus niet verrassend dat sleutelsectoren onder het toepassingsgebied van de strategie vallen, waaronder aanbieders van data- en clouddiensten, telecommunicatiediensten en publieke IT-systemen alsmede de maakindustrie. Een ander belangrijk voorbeeld van waar zich cyberdreigingen kunnen voordoen, vormen de apps voor contactopsporing zoals die nu tijdens de COVID-19-pandemie worden gebruikt. Door dergelijke apps te beveiligen krijgen de burgers uiteraard meer vertrouwen in de bescherming van hun persoonsgegevens die worden verzameld in het kader van de voor de bestrijding van het coronavirus van vitaal belang geachte maatregelen.
3.8De COVID-19-pandemie heeft de verandering van werkpatronen versneld. In 2020 is maar liefst 40 % van alle werknemers in de EU op afstand gaan werken
. Maar naar schatting kreeg 40 % van de computergebruikers in de EU in 2020 ook te maken met veiligheidsproblemen en werd meer dan 12 % van alle ondernemingen getroffen door cyberaanvallen.
4.Specifieke opmerkingen
4.1Het EESC beschouwt de voorgestelde strategie als een stap in de goede richting om overheden, burgers en bedrijven in de hele EU te beschermen tegen mondiale cyberdreigingen, in cyberspace een voortrekkersrol te vervullen en er tegelijkertijd voor te zorgen dat iedereen de vruchten van internet en technologiegebruik kan plukken.
4.2Het EESC vindt cyberbeveiliging onmisbaar om de economische activiteiten veilig te stellen, de economische groei te bevorderen en de computergebruiker vertrouwen in onlinetoepassingen te geven. Het is het er dan ook mee eens dat gedurfde maatregelen nodig zijn om Europeanen veilig te kunnen laten profiteren van innovatie, connectiviteit en automatisering.
4.3Het EESC ziet dat de economische sectoren in de EU steeds afhankelijker van digitale toepassingen en ook onderling steeds afhankelijker worden. Verder is het gebruik van IoT-apparaten (internet of things) door consumenten en bedrijven en in de industrie, zoals de maakindustrie, enorm toegenomen en zijn FinTech en RegTech mainstream geworden. De uitrol van 5G gaat steeds harder en sinds kort versnelt de COVID-19-crisis de digitale transformatie van veel ondernemingen en overheidsdiensten, die bijna gedwongen werden om van de ene dag op de andere hun activiteiten op afstand te gaan verrichten, wat als enorme hefboom fungeert voor clouddiensten. Al dit soort ontwikkelingen vragen om een doeltreffend, vlot en inclusief antwoord ten aanzien van cyberbeveiliging.
4.4Door dergelijke veranderingen zijn de kritieke risico’s voor overheden en het bedrijfsleven gestegen en het EESC steunt daarom de nieuwe cyberbeveiligingsstrategie en de bijbehorende reeks voorstellen om de cyberveerkracht zowel in de EU als daarbuiten te verbeteren. Het is echter van mening dat ook (deels) publiekrechtelijke entiteiten van de financieringsmogelijkheden moeten kunnen profiteren, om investeringen in een adequate cyberbeveiligingsinfrastructuur mogelijk te maken. Momenteel komen deze entiteiten niet voor financiering in aanmerking, waardoor essentiële steun en leveringen voor burgers tijdens de pandemie in gevaar zouden kunnen komen
.
4.5Een belangrijk voorstel van de Commissie dat op het juiste moment komt, is om een netwerk van Security Operations Centres (SOC’s) op te bouwen in de EU, dat met de inzet van kunstmatige intelligentie en machinaal leren de detectie en analyse van incidenten en de reactiesnelheid moet verbeteren. Het EESC beseft dat het steeds lastiger wordt om cyberaanvallen met succes handmatig te voorkomen door het grote aantal dagelijkse waarschuwingen waarmee beveiligingsteams worden geconfronteerd en het algemene tekort aan specialisten op dit gebied. Daarom moeten SOC’s wel geautomatiseerd worden.
4.6Het EESC is ingenomen met de doelstellingen en acties op het gebied van 5G-beveiliging, die noodzakelijk zijn om de nieuwe risico’s in te dammen als gevolg van het steeds grotere doelwit dat de groeiende 5G-netwerkinfrastructuur voor aanvallen wordt. Het EESC steunt met name de oproep aan het Agentschap van de EU voor cyberbeveiliging (Enisa) en de lidstaten om met alle belanghebbenden samen te werken teneinde meer inzicht te krijgen in de nieuwe technologieën en mogelijkheden voor 5G-beveiliging en in nieuwe bedreigingen. Vanzelfsprekend wordt in de strategie erkend dat het gebruik van 5G voor nieuwe technologieën zoals netwerkvirtualisering, netwerkslicing en edge computing bijzonder kwetsbaar is en daarom aanvullende beveiligingsmaatregelen vereist.
4.7Positief vindt het EESC ook het voorstel om de rol van Europol als expertisecentrum op het gebied van cybercriminaliteit verder te ontwikkelen ter ondersteuning van de nationale rechtshandhavingsinstanties, en om CERT-EU meer financiering en een sterker mandaat te geven. Beide organisaties zijn onmisbaar voor de ondersteuning van de inspanningen op het gebied van cyberbeveiliging in de hele EU. De cyberbeveiliging van de EU-instellingen en -agentschappen en andere instanties zal hierdoor ongetwijfeld verbeteren.
4.8Het EESC prijst de nadruk die in de strategie wordt gelegd op internationale samenwerking van de EU, bijvoorbeeld via cyberdiplomatie in internationale betrekkingen, intensiever bilateraal overleg over cyberbeveiliging en de opbouw van cybercapaciteit in derde landen. Cyberdreigingen doen zich niet alleen op regionaal maar ook op mondiaal niveau voor en daarom moeten ze ook met doeltreffend mondiaal beleid worden aangepakt.
4.9In de strategie wordt eveneens gewezen op het belang van dialoog en samenwerking met de multistakeholdergemeenschap, met name via regelmatig overleg met het bedrijfsleven en overheden, de sociale partners en academici. Het EESC is zeer tevreden over deze benadering, die essentieel zal zijn voor de verdere invulling van de voorstellen uit de strategie en voor de aanpak van belangrijke kwesties zoals veilig thuiswerken. De input van alle betrokken belanghebbenden is constant nodig aangezien voor cybercriminaliteit steeds geavanceerdere technologie wordt gebruikt.
4.10Het EESC is ingenomen met de nadruk die wordt gelegd op de ontwikkeling van relevante vaardigheden ter bescherming tegen cyberdreigingen in het algemeen. Voor de meeste Europese bedrijven en met name kleine en middelgrote ondernemingen blijft de groeiende vaardighedenkloof echter een enorm probleem bij de aanpak van zulke dreigingen. Het EESC meent dat deze vaardighedenkloof alleen kan worden gedicht met een EU-loopbaaninstrument voor cyberbeveiliging dat mensen helpt een potentiële loopbaan op het gebied van cyberbeveiliging uit te stippelen, samen te stellen en te volgen door meer inzicht te geven in de kennis, vaardigheden en bekwaamheden die nodig zijn om zo’n loopbaan te beginnen, daarnaar over te stappen of uit te bouwen. Van dit instrument zouden ook specifieke programma’s over toegankelijkheid en diversiteit in cyberspace deel moeten uitmaken. Instellingen voor beroepsonderwijs en -opleiding worden cruciaal geacht voor de ondersteuning van een EU-loopbaaninstrument voor cyberbeveiliging. Bovendien zou de EU meer moeten kijken naar de mogelijkheden van gezamenlijke onderzoeksinitiatieven (binnen en buiten de EU) om op inclusieve wijze gekwalificeerde cyberbeveiligingsprofessionals op te leiden gelet op de groeiende rol van technologie bij het creëren van een inclusievere werkplek en samenleving. Tot slot zou actief moeten worden overwogen om studenten aan te moedigen te kiezen voor cyberbeveiligingsstudies door beurzen te verstrekken voor op cyberbeveiliging gerichte bachelor-, master- en postdocopleidingen in ruil voor indiensttreding bij EU-instellingen en -agentschappen en overheidsdiensten in de hele EU na het behalen van het diploma.
4.11Het EESC merkt op dat het verband tussen cyberbeveiliging en desinformatie niet in de cyberbeveiligingsstrategie aan bod komt. In dit licht verwijst het naar een studie die is uitgevoerd in opdracht van de beleidsondersteunende afdeling Rechten van de burger en Constitutionele Zaken van het Europees Parlement
. In het tijdperk van internet en cyberspace kan de verspreiding van desinformatie ernstige gevolgen hebben. Via grensoverschrijdende cyberaanvallen op informatiecentra, overheidsdiensten of Europese instellingen kan desinformatie worden verspreid. Door dit soort aanvallen kan ook het vertrouwen in publieke instanties worden aangetast. Daarom zou in elke cyberbeveiligingsstrategie de nadruk moeten worden gelegd op het tegengaan van desinformatie.
4.12Het EESC wijst erop dat buitenlandse investeringen in strategische sectoren, verwerving van kritieke activa, technologie en infrastructuur in de Unie en levering van kritieke uitrusting ook potentiële risico’s voor de veiligheid van de EU kunnen vormen. In dit verband beveelt het aan om bij de gunning van contracten meer gewicht toe te kennen aan veiligheidsoverwegingen, in overeenstemming met de bestaande regels inzake overheidsopdrachten.
4.13Het EESC vestigt er de aandacht op dat de beveiliging van de huidige cryptografische software en systemen wordt ondermijnd door de komst van kwantumcomputers, die naar verwachting over tien jaar of al sneller voor het publiek beschikbaar zullen zijn. Dit noopt tot een overstap op kwantumresistente of postkwantumcryptografie. Daarvan getuigen ook de wereldwijde initiatieven voor de standaardisering van cryptografische postkwantumsystemen, zoals het normalisatieproces voor postkwantumcryptografie van het Amerikaanse NIST, de werkgroep van het Europees Instituut voor telecommunicatienormen (ETSI) inzake kwantumveilige cryptografie en de wedstrijd postkwantumcryptografie van de Chinese vereniging voor cryptologisch onderzoek.
4.14Het EESC beveelt aan de nationale cyberbeveiligingsstrategieën te herzien om ze op de strategie van de Commissie af te stemmen en ervoor te zorgen dat beslissingen van de lidstaten aansluiten op de voorstellen uit de strategie van de Commissie. De EU-strategie en de nationale strategieën moeten op één lijn worden gebracht om nu en in de toekomst doeltreffend op cyberdreigingen te kunnen reageren.
4.15Aangezien toekomstige risico’s in grote mate onvoorspelbaar zijn en met verwijzing naar paragraaf 4.13 zou de cyberbeveiligingsstrategie van de Commissie regelmatig moeten worden bijgewerkt, minstens elke twee jaar, zodat adequaat op nieuwe technologieën en risico’s kan worden ingespeeld. Zoals eerder opgemerkt zijn ook het betrekken van belanghebbenden en onderzoek op hoog niveau cruciaal voor het up-to-date houden van cyberbeveiligingsstrategieën.
Brussel, 31 maart 2021.
Alain COHEUR
Voorzitter van de afdeling Interne Markt, Productie en Consumptie
_____________