Europese Commissie herwerkt Cybersecurity Act met meer aandacht voor risicovolle toeleveranciers

Europese Commissie herwerkt Cybersecurity Act met meer aandacht voor risicovolle toeleveranciers

De Europese Commissie stelt een herziening van de Cybersecurity Act en wijzigingen aan de NIS2-richtlijn voor om de cyberweerbaarheid van de EU te versterken, met name wat de beoordeling van toeleveranciers betreft.

De Europese Commissie heeft een nieuw pakket aan maatregelen voorgesteld om de cyberweerbaarheid van de Europese Unie te versterken. Centraal staat een herziening van de Cybersecurity Act uit 2019, die onder meer strengere regels oplegt aan ICT-leveranciers van buiten de EU en het certificeringsproces voor cybersecurity eenvoudiger maakt. De commissie merkt op dat cybersecurity niet enkel betrekking heeft op technische aspecten, maar ook op geopolitieke afhankelijkheden.

Risico’s uit derde landen

De herwerkte Cybersecurity Act moet risico’s in de toeleveringsketen van ICT-producten en -diensten beperken, met specifieke aandacht voor leveranciers uit derde landen. Er komt een gemeenschappelijk kader dat lidstaten helpt om risico’s te identificeren en aan te pakken binnen achttien kritieke sectoren. Het voorstel laat toe om leveranciers uit zogenaamde risicolanden te weren uit mobiele netwerken in Europa.

Een hernieuwd certificeringskader, het European Cybersecurity Certification Framework (ECCF), moet zorgen voor snellere en transparantere certificatie van ICT-producten, diensten en processen. Certificaties moeten voortaan binnen twaalf maanden ontwikkeld worden. Voor bedrijven blijft certificatie vrijwillig, maar het wordt eenvoudiger om aan te tonen dat ze voldoen aan Europese regelgeving.

NIS2 en ENISA

Daarnaast worden bestaande regels uit de NIS2-richtlijn aangepast. Zo wordt de juridische duidelijkheid vergroot en worden de nalevingskosten verlaagd, vooral voor kleine en middelgrote bedrijven. Ook wordt de meldplicht bij incidenten vereenvoudigd via een centraal meldpunt, in lijn met het voorstel van de Digital Omnibus.

De Europese cybersecuritywaakhond ENISA krijgt extra bevoegdheden. De organisatie zal onder meer bedrijven waarschuwen voor dreigingen, helpen bij incidentrespons, en ondersteuning bieden bij het beheer van kwetsbaarheden. ENISA zal ook verder inzetten op opleiding en certificering via een Europese Cybersecurity Skills Academy.

Vervolg op toolbox

De voorgestelde regels bouwen verder op de zogenaamde Toolbox voor 5G-beveiliging die de EU in 2020 uitrolde. Die toolbox moest risicovolle toeleveranciers weren, met name in de uitrol van het 5G-netwerk. In de praktijk zetten de toolbox de deur echter open voor een relatief willekeurige toepassing van de regels over de lidstaten heen.

lees ook

Europese Commissie lanceert veiligheidsrichtlijnen voor 5G-uitrol

De nieuwe aanpak maakt EU-brede risico-analyses mogelijk. De violen worden daarmee gelijkgestemd, zodat een toeleverancier al dan niet als risicovol wordt bestempeld in de hele EU. Over achttien kritieke sectoren zullen lidstaten samen risicobeoordelingen maken.

Officieel viseert de EU geen bedrijven met de regelgeving. De toolbox werd destijds wel geïntroduceerd omwille van zorgen over de rol van Chinese bedrijven in kritieke infrastructuur. Met name ZTE en Huawei zagen hun rol in de uitrol van 5G verdampen.

Snelle invoering

De nieuwe Cybersecurity Act en de wijzigingen aan de NIS2-richtlijn worden ter goedkeuring voorgelegd aan het Europees Parlement en de Raad. Na goedkeuring hebben lidstaten één jaar de tijd om de richtlijn om te zetten in nationale wetgeving.