Raad van Ministers

20 november 2023

Cyberweerbaarheid

Cybersecurity

Deze beheerde beveiligingsdiensten, verzorgd door gespecialiseerde bedrijven, zijn cruciaal bij het voorkomen, opsporen, reageren op en herstellen van cyber­beveiligings­incidenten. Naast het opsporen van of reageren op incidenten kunnen deze diensten bestaan uit penetratie­tests, beveiligings­audits en adviesdiensten.

Belangrijkste doelstellingen van het Commissievoorstel

Het wijzigingsvoorstel werd samen met een voorstel voor een EU-wet inzake cyber­solidariteit – die ook de cyberbeveiliging in de EU moet verhogen – ingediend en moet Europese regelingen voor cyber­beveiligings­certificering voor beheerde beveiligingsdiensten opnemen in het toepassingsgebied van de cyber­beveiligings­verordening van 2019.

Het moet dus de invoering van Europese certificerings­regelingen voor dergelijke diensten mogelijk maken. Dit kan de kwaliteit en vergelijkbaarheid ervan verbeteren: met meer betrouwbare aanbieders van cyber­beveiligings­diensten zal de interne markt – waar sommige lidstaten al begonnen zijn met de vaststelling van nationale certificerings­regelingen voor beheerde beveiligings­diensten – minder versnipperd raken.

Nieuw in het standpunt van de Raad

Het standpunt van de Raad verandert het Commissievoorstel op enkele punten:

  • het verduidelijkt de definitie van "beheerde beveiligingsdiensten" en de afstemming op de herziene richtlijn cyber­beveiliging (de NIS 2-richtlijn)

  • het brengt de beveiligingsdoelstellingen van de certificeringsregelingen op één lijn met de beveiligings­doelstellingen van andere regelingen in het kader van de huidige cyber­beveiligings­verordening

  • het bevat een bijlage met de vereisten waaraan conformiteits­beoordelings­instanties moeten voldoen

  • een aantal technische en redactionele wijzigingen zorgen ervoor dat alle relevante bepalingen van de huidige cyberbeveiligings­verordening ook van toepassing zijn op beheerde beveiligings­diensten

Volgende stappen

Met het akkoord over het gemeenschappelijk standpunt van de Raad (zijn "onderhandelingsmandaat") kan het Spaanse voorzitterschap nu onderhandelingen ("trialogen") aangaan met het Europees Parlement over de definitieve verordening.

Achtergrond

De cyberbeveiligingsverordening, aangenomen in 2019, vormt het eerste kader voor cyber­beveiligings­certificering voor alle lidstaten. De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.

Het voorstel van de Commissie werd op 18 april 2023 vastgesteld en beoogt een gerichte wijziging van het toepassingsgebied van de cyberbeveiligings­verordening. De Commissie kan zo uitvoerings­handelingen vaststellen inzake Europese regelingen voor cyberbeveiligings­certificering voor beheerde beveiligings­diensten, naast informatie- en technologie­producten, -diensten en -processen die onder de huidige cyber­beveiligings­verordening vallen.

Het voorstel komt met een definitie van deze beheerde beveiligingsdiensten, die in overeenstemming is met de definitie van "aanbieders van beheerde beveiligings­diensten" in de NIS 2-richtlijn. Ook wordt een nieuw artikel (artikel 51 bis) toegevoegd over de beveiligings­doelstellingen van de Europese cyber­beveiligings­certificering, aangepast aan de "beheerde beveiligingsdiensten". Tot slot bevat het voorstel een aantal technische wijzigingen waardoor de relevante bepalingen van de cyberbeveiligings­verordening ook van toepassing zijn op beheerde beveiligingsdiensten.

Het voorstel is gebaseerd op artikel 114 VWEU (interne markt), aangezien het tot doel heeft versnippering van de interne markt voor beheerde beveiligingsdiensten te voorkomen door de vaststelling van Europese regelingen voor cyber­beveiligings­certificering voor deze diensten mogelijk te maken.

Bijlagen

Verordening tot wijziging van de cyberbeveiligings­verordening wat betreft beheerde beveiligings­diensten, onderhandelings­mandaat van de Raad

Commissievoorstel voor een wijziging van de cyberbeveiligingsverordening

Herziene richtlijn netwerk- en informatiesystemen (NIS 2)

Cyberbeveiligingsverordening

Gerelateerd nieuws

Persoonsgegevens of anonieme gegevens?

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy

Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

Data & Privacy

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Wetsvoorstel: meer bevoegdheden voor burgemeester bij online ordeverstoring

Op 4 juli is een wetsvoorstel in consultatie gebracht dat twee nieuwe bevoegdheden aan de burgemeesters toekent. Hiermee kan de politie onder zijn gezag persoonsgegevens uit publiek toegankelijke bronnen vergaren over de dreiging van een ernstige verstoring van de openbare orde. Het doel van het wetsvoorstel is dat de burgemeester en de politie meer zicht krijgen op ernstige verstoringen van de openbare orde en zij op basis daarvan adequater maatregelen kunnen treffen om deze te voorkomen, beletten of te beëindigen.

Data & Privacy

Meer nieuws