De Commissie zet vandaag haar visie uiteen over de oprichting van een nieuwe gezamenlijke cybereenheid ter bestrijding van het stijgende aantal serieuze cyberincidenten waar de openbare diensten, het bedrijfsleven en burgers in de hele EU door worden getroffen. Er is steeds meer behoefte aan een geavanceerde en gecoördineerde respons op het gebied van cyberbeveiliging, nu cyberaanvallen steeds vaker en op grotere schaal voorkomen en steeds grotere gevolgen hebben, met een forse impact op onze veiligheid. Alle belanghebbenden in de EU moeten voorbereid zijn om collectief op te treden en informatie uit te wisselen volgens het “need to share”-beginsel in plaats van alleen het “need to know”-beginsel.
De gezamenlijke cybereenheid die voorzitter Ursula von der Leyen voor het eerst heeft vermeld in haar politieke beleidslijnen en die vandaag wordt voorgesteld, heeft als doel de in de EU en de lidstaten beschikbare middelen en deskundigheid samen te brengen om grootschalige cyberincidenten en -crises doeltreffend te voorkomen, af te schrikken en te bestrijden. Cyberbeveiligingsgemeenschappen zoals civiele en diplomatieke diensten en instanties voor rechtshandhaving en cyberdefensie, evenals partners uit de private sector, werken nog te vaak langs elkaar heen. De gezamenlijke cybereenheid zal hun een virtueel en fysiek platform voor samenwerking bieden: de instellingen, organen en instanties van de EU zullen samen met de lidstaten geleidelijk bouwen aan een Europees platform voor solidariteit en ondersteuning om zich tegen grootschalige cyberaanvallen te verweren.
De aanbeveling voor de oprichting van een gezamenlijke cybereenheid is een belangrijke stap op weg naar de voltooiing van het Europees kader voor crisisbeheersing op het gebied van cyberbeveiliging. Het is een concreet resultaat van de EU-cyberbeveiligingsstrategie en de EU-strategie voor de veiligheidsunie en helpt de digitale economie en samenleving veiliger te maken.
Als onderdeel van dit pakket brengt de Commissie vandaag ook verslag uit over de vooruitgang die de voorbije maanden in het kader van de EU-strategie voor de veiligheidsunie is geboekt. Verder hebben de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid het eerste uitvoeringsverslag in het kader van de cyberbeveiligingsstrategie voorgesteld, waar de Europese Raad om had verzocht. Daarnaast hebben ze ook het vijfde voortgangsverslag betreffende de uitvoering van het gezamenlijk kader van 2016 voor de bestrijding van hybride bedreigingen en de gezamenlijke mededeling van 2018 over het opbouwen van weerbaarheid en reactiecapaciteit tegen hybride bedreigingen gepubliceerd. Ten slotte heeft de Commissie besloten dat de zetel van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) in Brussel zal worden gevestigd, overeenkomstig de cyberbeveiligingsverordening.
De gezamenlijke cybereenheid dient als platform voor een gecoördineerde EU-respons tegen grootschalige cyberincidenten en -crises en biedt ondersteuning bij het herstel van dergelijke aanvallen. Momenteel zijn er in de EU en haar lidstaten vele entiteiten betrokken in verschillende gebieden en sectoren. De sectoren mogen specifiek zijn, maar de bedreigingen zijn vaak gemeenschappelijk, waardoor er behoefte is aan coördinatie, kennisdeling en zelfs voorafgaande waarschuwingen.
De deelnemers zal worden gevraagd operationele middelen voor wederzijdse ondersteuning te leveren binnen de gemeenschappelijke cybereenheid (bekijk de voorgestelde deelnemers hier). Via de gezamenlijke cybereenheid zullen ze beste praktijken kunnen delen en in real-time informatie kunnen uitwisselen over mogelijke bedreigingen in hun respectieve gebieden. De eenheid zal ook op operationeel en technisch niveau functioneren, om het incident- en crisisresponsplan van de EU op het gebied van cyberbeveiliging uit te voeren, gebaseerd op nationale plannen; EU-snellereactieteams voor cyberbeveiliging op te richten en te mobiliseren; protocollen voor wederzijdse bijstand tussen de deelnemers te kunnen vaststellen; de nationale en grensoverschrijdende toezichts- en detectiecapaciteit te verbeteren, met inbegrip van operationele beveiligingscentra; en meer.
Het EU-cyberbeveiligingsecosysteem is breed en gevarieerd en door de gezamenlijke cybereenheid komt er nu een gemeenschappelijke ruimte om samen te werken over de grenzen van verschillende gemeenschappen en gebieden heen, waardoor het potentieel van de bestaande netwerken volledig zal kunnen worden benut. Er wordt voortgebouwd op het werk dat in 2017 is begonnen met de aanbeveling inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises, de zogenaamde blauwdruk.
De Commissie stelt voor om de gezamenlijke cybereenheid aan de hand van een geleidelijk en transparant proces van vier stappen op te bouwen, met de lidstaten en de verschillende entiteiten die in het veld actief zijn als mede-eigenaar. Het is de bedoeling dat de gezamenlijke cybereenheid uiterlijk 30 juni 2022 de operationele fase ingaat en een jaar later, uiterlijk 30 juni 2023, volledig operationeel is. Het Agentschap van de Europese Unie voor cyberbeveiliging zal tijdens de voorbereidende fase als secretariaat fungeren. De gezamenlijke cybereenheid zal nauw samenwerken met de Brusselse afdeling van Enisa en met CERT-EU, het computercrisisresponsteam voor de instellingen, organen en instanties van de EU.
De nodige investeringen voor de oprichting van de gezamenlijke cybereenheid zullen door de Commissie worden gedaan, voornamelijk via het programma Digitaal Europa. De middelen zullen dienen voor de opbouw van het fysieke en virtuele platform, het opzetten en onderhouden van veilige communicatiekanalen en het verbeteren van de detectiecapaciteit. Extra middelen, vooral om de cyberdefensiecapaciteit van de lidstaten te ontwikkelen, kunnen uit het Europees Defensiefonds komen.
De Commissie brengt vandaag verslag uit over de vooruitgang die in het kader van de EU-strategie voor de Veiligheidsunie is geboekt om de veiligheid van de Europeanen te beschermen. Samen met de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid presenteert ze ook het eerste uitvoeringsverslag in het kader van de nieuwe EU-cyberbeveiligingsstrategie.
De Commissie en de hoge vertegenwoordiger hebben de EU-cyberbeveiligingsstrategie in december 2020 voorgesteld. In het verslag van vandaag wordt de balans opgemaakt van de vooruitgang op alle 26 initiatieven die in deze strategie zijn vooropgesteld, en wordt verwezen naar de recente goedkeuring door het Europees Parlement en de Raad van de Europese Unie van de verordening tot oprichting van het kenniscentrum en netwerk voor cyberbeveiliging. De versterking van het rechtskader voor de veerkracht van essentiële diensten is goed gevorderd, door middel van de voorgestelde richtlijn inzake maatregelen voor een hoog gemeenschappelijk cyberbeveiligingsniveau in de Unie (herziene NIS-richtlijn of “NIS 2”). Wat de beveiliging van 5G-communicatienetwerken betreft, boeken de meeste lidstaten vooruitgang bij de uitvoering van de EU-toolbox voor 5G en is er al een kader gereed of bijna gereed om passende beperkingen aan aanbieders van 5G op te leggen. De vereisten voor exploitanten van mobiele netwerken worden aangescherpt door de omzetting van het Europees wetboek voor elektronische communicatie, terwijl het EU-agentschap voor cyberbeveiliging werkt aan een ontwerpregeling voor EU-cyberbeveiligingscertificering voor 5G-netwerken.
In het verslag wordt ook gewezen op de vooruitgang van de hoge vertegenwoordiger bij het bevorderen van verantwoordelijk gedrag van staten in de cyberspace, voornamelijk door voortgang te maken bij het opstellen van een actieprogramma op het niveau van de Verenigde Naties. Daarnaast heeft de hoge vertegenwoordiger het startschot gegeven voor het evaluatieproces van het beleidskader voor cyberdefensie om de samenwerking op het gebied van cyberdefensie te verbeteren. Hij bekijkt momenteel ook samen met de lidstaten welke lessen er kunnen worden getrokken om het EU-instrumentarium voor cyberdiplomatie te verbeteren en, met het oog daarop, in kaart te brengen welke mogelijkheden er zijn om de samenwerking binnen de EU en internationaal te versterken. Bovendien wordt vandaag ook het verslag over de vooruitgang bij de bestrijding van hybride bedreigingen gepubliceerd door de Commissie en de hoge vertegenwoordiger. Daarin wordt onderstreept dat acties van de EU, sinds het “gezamenlijk kader voor de bestrijding van hybride bedreigingen: een reactie van de Europese Unie” werd opgezet in 2016, hebben bijgedragen tot meer situationeel bewustzijn, meer veerkracht in kritieke sectoren, een adequatere respons en beter herstel van de sinds het begin van de coronaviruspandemie steeds toenemende hybride bedreigingen, waaronder desinformatie en cyberaanvallen.
De voorbije zes maanden zijn ook belangrijke stappen gezet in het kader van de EU-strategie voor de veiligheidsunie om de veiligheid in onze fysieke en digitale omgeving te waarborgen. Er zijn nu historische EU-regels van kracht die onlineplatforms ertoe verplichten terroristische inhoud waar de autoriteiten van de lidstaten op wijzen, binnen een uur te verwijderen. De Commissie heeft ook de wet digitale diensten voorgesteld, waarin geharmoniseerde regels zijn opgenomen voor het verwijderen van illegale onlinegoederen, -diensten of -inhoud, alsook een nieuwe toezichtstructuur voor zeer grote onlineplatforms. Het voorstel pakt ook de kwetsbaarheden van die platforms aan wat het versterken van schadelijke inhoud of de verspreiding van desinformatie betreft. Het Europees Parlement en de Raad van de Europese Unie hebben een akkoord bereikt over tijdelijke wetgeving betreffende het vrijwillig opsporen van online seksueel misbruik van kinderen door onlinecommunicatiediensten. Er wordt ook gewerkt aan een betere bescherming van openbare ruimten. Zo worden de lidstaten bijvoorbeeld ondersteund bij het beheersen van de dreiging van drones en wordt de bescherming van gebedshuizen en grote sportstadions tegen terrorismedreigingen verbeterd, met een steunprogramma van € 20 miljoen. Om de lidstaten beter te ondersteunen bij de bestrijding van zware criminaliteit en terrorisme heeft de Commissie in december 2020 ook voorgesteld om het mandaat van Europol, het EU-agentschap voor samenwerking op het gebied van rechtshandhaving, te verruimen.
Margrethe Vestager, uitvoerend vicevoorzitter voor een Europa dat klaar is voor het digitale tijdperk: “Cyberbeveiliging is een hoeksteen van een digitaal en verbonden Europa. In onze huidige samenleving is het van het grootste belang om op een gecoördineerde manier te reageren op bedreigingen. De gezamenlijke cybereenheid zal daartoe bijdragen. Samen kunnen we echt een verschil maken.”
Josep Borrell, hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid: “De gezamenlijke cybereenheid is een zeer belangrijke stap voor Europa om onze overheden, burgers en bedrijven te beschermen tegen wereldwijde cyberdreigingen. Omdat we allemaal kwetsbaar zijn voor cyberaanvallen, is het belangrijk om op alle niveaus samen te werken. Groot of klein is hier niet van belang. We moeten onszelf beschermen, maar ook als baken fungeren voor anderen bij het bevorderen van een mondiale, open, stabiele en veilige cyberspace.”
Margaritis Schinas, vicevoorzitter voor de bevordering van onze Europese levenswijze: “Laten de recente ransomwareaanvallen een waarschuwing zijn dat we onszelf moeten beschermen tegen dreigingen die onze veiligheid en Europese levenswijze kunnen ondermijnen. Het is vandaag niet langer mogelijk om een onderscheid te maken tussen online- en offlinebedreigingen. We moeten al onze middelen bundelen om cyberrisico's te bestrijden en onze operationele capaciteit te verbeteren. Het opbouwen van een betrouwbare en veilige digitale wereld, gebaseerd op onze waarden, vereist inzet van iedereen, ook van de rechtshandhavingsinstanties.”
Thierry Breton, commissaris voor de Interne Markt: “De gezamenlijke cybereenheid is een bouwsteen om onszelf te beschermen tegen de toenemende en steeds complexere cyberdreigingen. We hebben duidelijke doelen en tijdslijnen opgesteld, die ons — samen met de lidstaten — in staat zullen stellen de samenwerking op het gebied van crisisbeheersing in de EU concreet te verbeteren, dreigingen op te sporen en sneller te reageren. Het is de operationele tak van het Europese cyberschild”
Ylva Johansson, commissaris voor Binnenlandse Zaken: “De bestrijding van cyberaanvallen is een groeiende uitdaging. De rechtshandhavingsgemeenschap in de EU kan zich door samenwerking het best tegen deze nieuwe dreiging verweren. De gezamenlijke cybereenheid zal politieagenten in de lidstaten helpen om deskundigheid te delen. Zo kan de rechtshandhavingscapaciteit worden opgebouwd om deze aanvallen af te weren".
Cyberbeveiliging is een topprioriteit van de Commissie en een hoeksteen van een digitaal en verbonden Europa. De toename van het aantal cyberaanvallen tijdens de coronacrisis heeft aangetoond hoe belangrijk het is om gezondheids- en zorgsystemen, onderzoekscentra en andere kritieke infrastructuur te beschermen. Er zijn op dat gebied krachtige maatregelen nodig om de economie en de samenleving van de EU toekomstbestendig te maken.
De EU is vastbesloten om de nieuwe cyberbeveiligingsstrategie uit te voeren, met ongekende investeringen in de Europese groene en digitale transitie. Daarvoor zal een beroep worden gedaan op de EU‑meerjarenbegroting 2021‑2027, met name via de programma's Digitaal Europa en Horizon Europa, en het herstelplan voor Europa.
Op het gebied van cyberbeveiliging zijn we bovendien maar zo veilig als onze zwakste schakel. Cyberaanvallen stoppen niet aan de fysieke grenzen. Daarom is ook het verbeteren van grensoverschrijdende samenwerking op het gebied van cyberbeveiliging een EU-prioriteit: de voorbije jaren heeft de Commissie verschillende initiatieven geleid en ondersteund om de collectieve paraatheid te verbeteren, terwijl de gezamenlijke EU-structuren de lidstaten al hebben ondersteund, op technisch en operationeel niveau. De huidige aanbeveling voor het oprichten van een gezamenlijke cybereenheid is een verdere stap in de richting van betere samenwerking en een gecoördineerde respons op cyberdreigingen.
Tegelijkertijd wordt door de gezamenlijke diplomatieke EU-respons op kwaadwillige cyberactiviteiten, het zogenaamde instrumentarium voor cyberdiplomatie, samenwerking gestimuleerd en verantwoord gedrag van staten in de cyberspace bevorderd. Op die manier kunnen de EU en de lidstaten gebruikmaken van alle maatregelen van het gemeenschappelijk buitenlands en veiligheidsbeleid, met inbegrip van beperkende maatregelen, om kwaadwillige cyberactiviteiten te voorkomen, te ontmoedigen, af te schrikken en te bestrijden.
Om de veiligheid in onze fysieke en digitale omgevingen te waarborgen, heeft de Commissie in juli 2020 de EU-strategie voor de veiligheidsunie voor de periode 2020-2025 gepresenteerd. Daarin ligt de nadruk op de prioritaire gebieden waar de EU een meerwaarde kan bieden en de lidstaten kan helpen de veiligheid van iedereen in Europa te bevorderen: terrorisme en georganiseerde criminaliteit bestrijden; hybride bedreigingen voorkomen en opsporen en de weerbaarheid van onze kritieke infrastructuur versterken; cyberbeveiliging bevorderen en onderzoek en innovatie stimuleren.
