Cybersecurity speelt een steeds grotere rol voor nationale en internationale veiligheid. Het beveiligen van netwerk- en informatiesystemen in de EU is essentieel om de online economie draaiende te houden. Cybersecurity is daarom een belangrijke pilaar voor de ontwikkeling van een Digital Single Market in Europa. Tijdens de afgelopen Belgian Cyber Security Convention gaf Despina Spanou, Director for Cybersecurity bij de Europese Commissie, een stand van zaken.
In 2017 ging 1 procent van het Belgisch bruto nationaal product (4,5 miljard euro) verloren door cybercriminaliteit. Twee op drie Belgische bedrijven (65%) ondervonden in de afgelopen twee jaar economisch verlies door cybercriminaliteit, waarbij het in 9 procent van de gevallen om meer dan 10.000 euro ging.
Het plaatje wordt niet rooskleuriger wanneer je uitzoomt op Europees niveau. In 2016 ondervond maar liefst 80 procent van de Europese bedrijven een cybersecurity-incident. Zo’n 58 procent van de malware-aanvallen in de regio is gericht op kleine ondernemingen.
Lees dit: Kmo’s vormen steeds aantrekkelijker doelwit voor cybercriminelen
Veerkracht
Cybersecurity is daarom een strategische prioriteit voor Europa, zegt Spanou. “Het is een belangrijke pilaar voor onze strategie van een digitale eengemaakte markt. We maken er 2 miljard euro steun voor vrij in het nieuwe Digital Europe Programme gedurende de periode 2021-2027.”
Tijdens de huidige periode 2013-2020 heeft Europa al eens 60 miljoen euro opzijgezet voor cybersecurity in het kader van het Connecting Europe Facility (CEF)-programma. Dat ondersteunt de ontwikkeling van duurzame trans-Europese netwerken op het gebied van transport, energie en digitale diensten.
Het doel is om Europa de komende jaren veerkrachtiger te maken op vlak van cybersecurity door enerzijds Europese competenties uit te bouwen en anderzijds preventie en respons over de lidstaten heen te coördineren. Daarvoor worden in grote lijnen drie belangrijke maatregelen opgezet: de NIS-richtlijn, de EU Cybersecurity Act en de ontwikkeling van een Europees competentie- en coördinatiecentrum.
Despina Spanou, Director for Cybersecurity bij de Europese Commissie, tijdens de afgelopen Belgian Cyber Security Convention.
NIS-richtlijn
Iedereen kent 25 mei 2018 als de dag waarop de GDPR in werking trad, maar eerder die maand werd ook het fundament gelegd voor de eerste Europese cybersecuritywetgeving. Of dat was toch de bedoeling. 9 mei 2018 was de deadline voor EU-lidstaten om de Directive on security of network and information systems (NIS-richtlijn) in nationale wetgeving te gieten, maar 20 van de 28 lidstaten hebben die deadline gemist. Ook België en Nederland zijn vandaag nog bezig met het proces om de richtlijn in wetten om te zetten. In België is sinds 12 november een wetsontwerp klaar.
“De NIS-richtlijn introduceert een aantal specifieke verplichtingen voor lidstaten op vlak van cybersecurity”, vertelt Spanou. Zo moeten lidstaten een nationaal Computer Security Incident Response Team (CSIS-RT) aanstellen, een nationale NIS-strategie uitwerken en een verantwoordelijke NIS-autoriteit aanstellen.
“De NIS-richtlijn introduceert een aantal specifieke verplichtingen voor lidstaten op vlak van cybersecurity”
Verder wil de richtlijn de samenwerking tussen lidstaten bevorderen door een Europese samenwerkingsgroep op te zetten om de uitwisseling van informatie te bevorderen en ook operationeel samen te werken bij incidenten.
Tot slot moeten lidstaten ‘essentiële serviceproviders’ (energieproducenten, drinkwaterleveranciers, luchthavens…) in hun land identificeren en aan bepaalde securityverplichtigen onderwerpen. Deze bedrijven en organisaties zullen ook elk cybersecurity-incident moeten melden bij een bevoegde centrale instantie.
Lidstaten moesten tegen 9 november van dit jaar de vitale diensten in hun land identificeren, maar ook deze deadline bleek niet veel waard. Het Belgische Centrum voor Cybersecurity (CCB) hoopt tegen de zomer van volgend jaar haar lijst klaar te hebben. Bedrijven krijgen daarna een jaar de tijd om de benodigde cybersecuritymaatregelen, die per sector worden bepaald, door te voeren.
De NIS-richtlijn is een stap in de goede richting om cybersecurity op Europees niveau te regelen, maar zolang lidstaten er geen prioriteit van maken om hun wetgeving op orde te krijgen, blijft het voorlopig een lege doos.
EU Cybersecurity Act
De EU Cybersecurity Act is een tweede document dat cybersecurity op Europees niveau moet versterken. Het versterkt enerzijds het mandaat van ENISA, het EU-agentschap voor cyberbeveiliging, en creërt een Europees kader voor cybersecuritycertificaten om de veiligheid van onlinediensten en consumentenapparaten te bevorderen.
De Cybersecurity Act werd al in 2017 opgesteld en eerder deze maand goedgekeurd door het Europees Parlement, de Europese Raad en de Europese Commissie.
“Bedrijven worden gestimuleerd om te investeren in de cyberbeveiliging van hun producten.”
“De certificering wordt niet verplicht opgelegd, maar moet vanuit de markt komen om Europese certificaten te creëren die in alle lidstaten geldig zijn en gebaseerd zijn op internationale standaarden”, legt Spanou uit. “Alleen zo biedt het een globale meerwaarde voor bedrijven en consumenten.”
Gebruikers krijgen op die manier meer informatie over de veiligheid van producten en diensten die ze kopen. Voor bedrijven moet het de drempel verlagen om certificaten te behalen en nieuwe markten te betreden. Het zou ook zorgen voor een flinke kostenbesparing. Met name voor kmo’s, die anders verschillende certificaten in verschillende landen moeten aanvragen.
“Bovendien worden bedrijven gestimuleerd om te investeren in de cyberbeveiliging van hun producten en dit in een concurrentievoordeel om te zetten”, besluit Spanou.
De Cybersecurit Act geeft daarnaast een permanent mandaat aan ENISA, het Europese cybersecurityagentschap, met extra middelen om het agentschap in staat te stellen zijn doelen te bereiken.
“ENISA zal het gebruik van en de bijdrage aan het certificeringsframework promoten en doet daarnaast dienst als onafhankelijk expertisecentrum om lidstaten en Europese instanties te ondersteunen bij de uitwerking en implementatie van een cybersecuritybeleid”, legt Spanou uit.
Het agentschap kan dankzij het nieuwe mandaat de middelen voor preventie en respons op Europees niveau verder uitbouwen, als aanvulling op de inspanningen van de afzonderlijke lidstaten. “Er wordt een blauwdruk voor een coöperatieve reactie op grootschalige incidenten over grenzen heen uitgewerkt en ENISA zal elk jaar een pan-Europese cybersecurity-oefening organiseren”, vertelt Spanou nog.
“We moeten dezelfde cybersecuritytaal spreken over alle lidstaten heen.”
Europees competentiecentrum
Voortbouwend op de EU Cybersecurity Act werd eerder dit jaar een voorstel ingediend voor de oprichting van een Europees Cybersecurity Industrial, Technology and Research Competence Centre, alsook een netwerk van nationale coördinatiecentra.
Europa telt vandaag al meer dan 660 expertisecentra op vlak van cybersecurity. In België werden 34 bedrijven, onderzoekscentra en universiteiten geïdentificeerd. Door de expertise van deze Competence Community op Europees niveau te centraliseren, wordt samenwerking gefaciliteerd en kunnen middelen eenvoudiger worden beheerd.
“Het Europees competentiecentrum moet bijdragen tot de brede uitrol van state-of-the-art cybersecurityproducten en -oplossingen over de hele economie”, vertelt Spanou. “Daarnaast moet het onderzoek versterken en de skill gaps binnen de Unie verminderen.”
Het competentiecentrum coördineert het werk van nationale coördinatiecentra, die worden aangesteld als gatekeepers voor de competentiegemeenschappen in elke lidstaat. Zij ondersteunen de lokale gemeenschap en kunnen financiële steun vanuit Europa aan nationale ecosystemen doorgeven.
“We hebben veel talent in Europa en we moeten hen een platform geven. We moeten dezelfde cybersecuritytaal spreken over alle lidstaten heen. Cybersecurity is een pilaar voor alle aspecten van de digitale Europese samenleving”, besluit Spanou.