Deze beheerde beveiligingsdiensten, verzorgd door gespecialiseerde bedrijven, zijn cruciaal bij het voorkomen, opsporen, reageren op en herstellen van cyberbeveiligingsincidenten. Naast het opsporen van of reageren op incidenten kunnen deze diensten bestaan uit penetratietests, beveiligingsaudits en adviesdiensten.
Belangrijkste doelstellingen van het Commissievoorstel
Het wijzigingsvoorstel werd samen met een voorstel voor een EU-wet inzake cybersolidariteit – die ook de cyberbeveiliging in de EU moet verhogen – ingediend en moet Europese regelingen voor cyberbeveiligingscertificering voor beheerde beveiligingsdiensten opnemen in het toepassingsgebied van de cyberbeveiligingsverordening van 2019.
Het moet dus de invoering van Europese certificeringsregelingen voor dergelijke diensten mogelijk maken. Dit kan de kwaliteit en vergelijkbaarheid ervan verbeteren: met meer betrouwbare aanbieders van cyberbeveiligingsdiensten zal de interne markt – waar sommige lidstaten al begonnen zijn met de vaststelling van nationale certificeringsregelingen voor beheerde beveiligingsdiensten – minder versnipperd raken.
Nieuw in het standpunt van de Raad
Het standpunt van de Raad verandert het Commissievoorstel op enkele punten:
het verduidelijkt de definitie van "beheerde beveiligingsdiensten" en de afstemming op de herziene richtlijn cyberbeveiliging (de NIS 2-richtlijn)
het brengt de beveiligingsdoelstellingen van de certificeringsregelingen op één lijn met de beveiligingsdoelstellingen van andere regelingen in het kader van de huidige cyberbeveiligingsverordening
het bevat een bijlage met de vereisten waaraan conformiteitsbeoordelingsinstanties moeten voldoen
een aantal technische en redactionele wijzigingen zorgen ervoor dat alle relevante bepalingen van de huidige cyberbeveiligingsverordening ook van toepassing zijn op beheerde beveiligingsdiensten
Volgende stappen
Met het akkoord over het gemeenschappelijk standpunt van de Raad (zijn "onderhandelingsmandaat") kan het Spaanse voorzitterschap nu onderhandelingen ("trialogen") aangaan met het Europees Parlement over de definitieve verordening.
Achtergrond
De cyberbeveiligingsverordening, aangenomen in 2019, vormt het eerste kader voor cyberbeveiligingscertificering voor alle lidstaten. De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.
Het voorstel van de Commissie werd op 18 april 2023 vastgesteld en beoogt een gerichte wijziging van het toepassingsgebied van de cyberbeveiligingsverordening. De Commissie kan zo uitvoeringshandelingen vaststellen inzake Europese regelingen voor cyberbeveiligingscertificering voor beheerde beveiligingsdiensten, naast informatie- en technologieproducten, -diensten en -processen die onder de huidige cyberbeveiligingsverordening vallen.
Het voorstel komt met een definitie van deze beheerde beveiligingsdiensten, die in overeenstemming is met de definitie van "aanbieders van beheerde beveiligingsdiensten" in de NIS 2-richtlijn. Ook wordt een nieuw artikel (artikel 51 bis) toegevoegd over de beveiligingsdoelstellingen van de Europese cyberbeveiligingscertificering, aangepast aan de "beheerde beveiligingsdiensten". Tot slot bevat het voorstel een aantal technische wijzigingen waardoor de relevante bepalingen van de cyberbeveiligingsverordening ook van toepassing zijn op beheerde beveiligingsdiensten.
Het voorstel is gebaseerd op artikel 114 VWEU (interne markt), aangezien het tot doel heeft versnippering van de interne markt voor beheerde beveiligingsdiensten te voorkomen door de vaststelling van Europese regelingen voor cyberbeveiligingscertificering voor deze diensten mogelijk te maken.
Bijlagen
Commissievoorstel voor een wijziging van de cyberbeveiligingsverordening
Gerelateerd nieuws
Nieuwe stappen NIS2, vragen blijven
Data & Privacy
Digitale vaardigheden en digitaal onderwijs: klaar voor het digitale tijdperk
Data & Privacy
Onderhandelingen rondom AI Act lopen vast
Data & Privacy
UMCG beantwoordt vragen patiënten met hulp van AI
Data & Privacy