De vertegenwoordigers van de lidstaten (het Coreper) hebben een gemeenschappelijk standpunt bereikt over een wijziging van de cyberbeveiligingsverordening van 2019. Hiermee moeten Europese certificeringsregelingen voor "beheerde beveiligingsdiensten" de cyberweerbaarheid van de EU vergroten.
Deze beheerde beveiligingsdiensten, verzorgd door gespecialiseerde bedrijven, zijn cruciaal bij het voorkomen, opsporen, reageren op en herstellen van cyberbeveiligingsincidenten. Naast het opsporen van of reageren op incidenten kunnen deze diensten bestaan uit penetratietests, beveiligingsaudits en adviesdiensten.
Het wijzigingsvoorstel werd samen met een voorstel voor een EU-wet inzake cybersolidariteit – die ook de cyberbeveiliging in de EU moet verhogen – ingediend en moet Europese regelingen voor cyberbeveiligingscertificering voor beheerde beveiligingsdiensten opnemen in het toepassingsgebied van de cyberbeveiligingsverordening van 2019.
Het moet dus de invoering van Europese certificeringsregelingen voor dergelijke diensten mogelijk maken. Dit kan de kwaliteit en vergelijkbaarheid ervan verbeteren: met meer betrouwbare aanbieders van cyberbeveiligingsdiensten zal de interne markt – waar sommige lidstaten al begonnen zijn met de vaststelling van nationale certificeringsregelingen voor beheerde beveiligingsdiensten – minder versnipperd raken.
Het standpunt van de Raad verandert het Commissievoorstel op enkele punten:
het verduidelijkt de definitie van "beheerde beveiligingsdiensten" en de afstemming op de herziene richtlijn cyberbeveiliging (de NIS 2-richtlijn)
het brengt de beveiligingsdoelstellingen van de certificeringsregelingen op één lijn met de beveiligingsdoelstellingen van andere regelingen in het kader van de huidige cyberbeveiligingsverordening
het bevat een bijlage met de vereisten waaraan conformiteitsbeoordelingsinstanties moeten voldoen
een aantal technische en redactionele wijzigingen zorgen ervoor dat alle relevante bepalingen van de huidige cyberbeveiligingsverordening ook van toepassing zijn op beheerde beveiligingsdiensten
Met het akkoord over het gemeenschappelijk standpunt van de Raad (zijn "onderhandelingsmandaat") kan het Spaanse voorzitterschap nu onderhandelingen ("trialogen") aangaan met het Europees Parlement over de definitieve verordening.
De cyberbeveiligingsverordening, aangenomen in 2019, vormt het eerste kader voor cyberbeveiligingscertificering voor alle lidstaten. De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.
Het voorstel van de Commissie werd op 18 april 2023 vastgesteld en beoogt een gerichte wijziging van het toepassingsgebied van de cyberbeveiligingsverordening. De Commissie kan zo uitvoeringshandelingen vaststellen inzake Europese regelingen voor cyberbeveiligingscertificering voor beheerde beveiligingsdiensten, naast informatie- en technologieproducten, -diensten en -processen die onder de huidige cyberbeveiligingsverordening vallen.
Het voorstel komt met een definitie van deze beheerde beveiligingsdiensten, die in overeenstemming is met de definitie van "aanbieders van beheerde beveiligingsdiensten" in de NIS 2-richtlijn. Ook wordt een nieuw artikel (artikel 51 bis) toegevoegd over de beveiligingsdoelstellingen van de Europese cyberbeveiligingscertificering, aangepast aan de "beheerde beveiligingsdiensten". Tot slot bevat het voorstel een aantal technische wijzigingen waardoor de relevante bepalingen van de cyberbeveiligingsverordening ook van toepassing zijn op beheerde beveiligingsdiensten.
Het voorstel is gebaseerd op artikel 114 VWEU (interne markt), aangezien het tot doel heeft versnippering van de interne markt voor beheerde beveiligingsdiensten te voorkomen door de vaststelling van Europese regelingen voor cyberbeveiligingscertificering voor deze diensten mogelijk te maken.
Commissievoorstel voor een wijziging van de cyberbeveiligingsverordening
