Raad van Ministers

20 november 2023

Cyberweerbaarheid

Cybersecurity

Deze beheerde beveiligingsdiensten, verzorgd door gespecialiseerde bedrijven, zijn cruciaal bij het voorkomen, opsporen, reageren op en herstellen van cyber­beveiligings­incidenten. Naast het opsporen van of reageren op incidenten kunnen deze diensten bestaan uit penetratie­tests, beveiligings­audits en adviesdiensten.

Belangrijkste doelstellingen van het Commissievoorstel

Het wijzigingsvoorstel werd samen met een voorstel voor een EU-wet inzake cyber­solidariteit – die ook de cyberbeveiliging in de EU moet verhogen – ingediend en moet Europese regelingen voor cyber­beveiligings­certificering voor beheerde beveiligingsdiensten opnemen in het toepassingsgebied van de cyber­beveiligings­verordening van 2019.

Het moet dus de invoering van Europese certificerings­regelingen voor dergelijke diensten mogelijk maken. Dit kan de kwaliteit en vergelijkbaarheid ervan verbeteren: met meer betrouwbare aanbieders van cyber­beveiligings­diensten zal de interne markt – waar sommige lidstaten al begonnen zijn met de vaststelling van nationale certificerings­regelingen voor beheerde beveiligings­diensten – minder versnipperd raken.

Nieuw in het standpunt van de Raad

Het standpunt van de Raad verandert het Commissievoorstel op enkele punten:

  • het verduidelijkt de definitie van "beheerde beveiligingsdiensten" en de afstemming op de herziene richtlijn cyber­beveiliging (de NIS 2-richtlijn)

  • het brengt de beveiligingsdoelstellingen van de certificeringsregelingen op één lijn met de beveiligings­doelstellingen van andere regelingen in het kader van de huidige cyber­beveiligings­verordening

  • het bevat een bijlage met de vereisten waaraan conformiteits­beoordelings­instanties moeten voldoen

  • een aantal technische en redactionele wijzigingen zorgen ervoor dat alle relevante bepalingen van de huidige cyberbeveiligings­verordening ook van toepassing zijn op beheerde beveiligings­diensten

Volgende stappen

Met het akkoord over het gemeenschappelijk standpunt van de Raad (zijn "onderhandelingsmandaat") kan het Spaanse voorzitterschap nu onderhandelingen ("trialogen") aangaan met het Europees Parlement over de definitieve verordening.

Achtergrond

De cyberbeveiligingsverordening, aangenomen in 2019, vormt het eerste kader voor cyber­beveiligings­certificering voor alle lidstaten. De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.

Het voorstel van de Commissie werd op 18 april 2023 vastgesteld en beoogt een gerichte wijziging van het toepassingsgebied van de cyberbeveiligings­verordening. De Commissie kan zo uitvoerings­handelingen vaststellen inzake Europese regelingen voor cyberbeveiligings­certificering voor beheerde beveiligings­diensten, naast informatie- en technologie­producten, -diensten en -processen die onder de huidige cyber­beveiligings­verordening vallen.

Het voorstel komt met een definitie van deze beheerde beveiligingsdiensten, die in overeenstemming is met de definitie van "aanbieders van beheerde beveiligings­diensten" in de NIS 2-richtlijn. Ook wordt een nieuw artikel (artikel 51 bis) toegevoegd over de beveiligings­doelstellingen van de Europese cyber­beveiligings­certificering, aangepast aan de "beheerde beveiligingsdiensten". Tot slot bevat het voorstel een aantal technische wijzigingen waardoor de relevante bepalingen van de cyberbeveiligings­verordening ook van toepassing zijn op beheerde beveiligingsdiensten.

Het voorstel is gebaseerd op artikel 114 VWEU (interne markt), aangezien het tot doel heeft versnippering van de interne markt voor beheerde beveiligingsdiensten te voorkomen door de vaststelling van Europese regelingen voor cyber­beveiligings­certificering voor deze diensten mogelijk te maken.

Bijlagen

Verordening tot wijziging van de cyberbeveiligings­verordening wat betreft beheerde beveiligings­diensten, onderhandelings­mandaat van de Raad

Commissievoorstel voor een wijziging van de cyberbeveiligingsverordening

Herziene richtlijn netwerk- en informatiesystemen (NIS 2)

Cyberbeveiligingsverordening

Gerelateerd nieuws

NPD-monitor: partijen missen visie op uitvoerbaarheid beleid en publieke dienstverlening

Het Netwerk van Publieke Dienstverleners (NPD) concludeert in de nieuwste NPD-monitor dat veel politieke partijen in hun verkiezingsprogramma’s te weinig aandacht besteden aan de uitvoerbaarheid en eenvoud van beleid. Volgens het netwerk ontbreekt in tal van programma’s een samenhangende visie op hoe publieke organisaties beleid daadwerkelijk kunnen uitvoeren, en hoe regelgeving begrijpelijk blijft voor burgers.

Strijd tegen cybercrime krijgt mondiale vorm, maar tegen welke prijs?

De Europese Unie heeft aangekondigd de nieuwe VN-Conventie tegen cybercriminaliteit te zullen ondertekenen. Daarmee zet de EU een belangrijke stap in de internationale strijd tegen online misdaad en digitale aanvallen. De conventie – die op 25 oktober 2025 in Hanoi officieel wordt opengesteld voor ondertekening – is het eerste wereldwijde verdrag dat gemeenschappelijke regels vastlegt voor samenwerking, opsporing en bewijsdeling in de cyberwereld.

Data & Privacy

Cyberdreiging groeit, voorbereiding blijft achter: een wake-up call voor het mkb

De cyberweerbaarheid van Nederlandse bedrijven staat onder druk. Uit de meest recente cijfers van het International Business Report (IBR) blijkt dat het aantal significante cyberincidenten in het mkb en de mid-market fors toeneemt. Tegelijkertijd daalt het aantal bedrijven met een structureel cybersecuritybeleid. Lees hieronder de bijdrage van Grant Thornton.

Data & Privacy

Hoe digitale onafhankelijkheid organisaties helpt cyberdreigingen te weerstaan

De afgelopen jaren heeft een groot deel van de Nederlandse bedrijven hun data en bedrijfssoftware ondergebracht bij Amerikaanse Tech-reuzen. Hoewel deze samenwerking vaak innovatie en schaalbaarheid heeft gebracht, groeit de roep om digitale onafhankelijkheid. Politieke spanningen en toenemende cyberdreigingen benadrukken hoe kwetsbaar deze afhankelijkheid kan zijn. Wat betekent dit voor Nederlandse organisaties, en hoe kunnen zij zich voorbereiden op een toekomst waarin digitale soevereiniteit steeds belangrijker wordt? Lees hieronder de antwoorden van Kristian Mepschen, Senior Manager bij BDO.

Data & Privacy

Meer nieuws