Het gaat om zowel een nieuwe wet als een aanpassing van bestaande wetgeving. De Europese Raad heeft allereerst een nieuwe wet in het leven geroepen: de verordening cybersolidariteit. Deze nieuwe wet moet Europa weerbaarder maken tegen cyberdreigingen, onder meer door betere samenwerking.
Voordelen van de verordening cybersolidariteit
Zo komt er een waarschuwingssysteem voor cyberbeveiliging. Dit pan-Europese netwerk van nationale en grensoverschrijdende cyberhubs maakt het delen van informatie eenvoudiger, spoort cyberdreigingen op en maakt het mogelijk voor autoriteiten en andere betrokken instanties om hier sneller en beter op te reageren. Hierbij wordt gebruikgemaakt van de digitale sleuteltechnologieën Artificial Intelligence (AI) en data science, data analytics and data spaces.
Noodmechanisme voor cyberbeveiliging
Verder voorziet de nieuwe verordening in een noodmechanisme voor cyberbeveiliging. Dit zogeheten cybersecurity emergency mechanism moet de paraatheid en responscapaciteit bij incidenten in de EU vergroten.
Het noodmechanisme richt zich op:
- paraatheidsacties (zoals het testen van zeer kritieke sectoren, zoals gezondheidszorg, vervoer en energie, op potentiële kwetsbaarheden met behulp van gemeenschappelijke risicoscenario's en -methoden)
- een nieuwe EU-cyberbeveiligingsreserve met incident respons diensten uit de privésector die paraat staan om in te grijpen bij een grootschalig cyber-beveiligingsincident. Dit verzoek kan worden ingediend door een lidstaat of een EU-instelling, -orgaan of -instantie of door geassocieerde niet-EU-landen
- wederzijdse technische bijstand
Evaluatiemechanisme
Tot slot voorziet de nieuwe wet in een evaluatiemechanisme voor incidenten. Op die manier kan de effectiviteit van de maatregelen in het kader van het cyber-noodmechanisme en het gebruik van de cyberbeveiligingsreserve worden beoordeeld. Ook de bijdrage van deze verordening aan het versterken van de concurrentiepositie van de industrie en dienstensectoren kan zo beter in kaart worden gebracht.
Aanpassing cyberbeveiligingsverordening
Daarnaast is de cyberbeveiligingsverordening, die stamt uit 2019, aangepast. Deze verordening vormde het eerste kader voor cyberbeveiligingscertificering voor alle lidstaten. De aanpassing is nodig om de invoering van Europese certificerings-regelingen voor managed security services mogelijk te maken.
De nieuwe wet erkent het toenemende belang van managed security services bij preventie & opsporing en de respons op en het herstel na cyberbeveiligingsincidenten. Hierbij kunt u bijvoorbeeld denken aan incidentenbehandeling, penetratietests, beveiligingsaudits en advies op het gebied van technische ondersteuning.
Europese certificeringsregelingen voor zulke diensten kunnen de kwaliteit en vergelijkbaarheid ervan verbeteren. De verwachting is dat met meer betrouwbare aanbieders van cyberbeveiligingsdiensten de interne markt minder versnipperd raakt. Sommige lidstaten zijn namelijk al begonnen met de vaststelling van nationale certificeringsregelingen voor managed security services.