Deze beheerde beveiligingsdiensten, verzorgd door gespecialiseerde bedrijven, zijn cruciaal bij het voorkomen, opsporen, reageren op en herstellen van cyber­beveiligings­incidenten. Naast het opsporen van of reageren op incidenten kunnen deze diensten bestaan uit penetratie­tests, beveiligings­audits en adviesdiensten.

Belangrijkste doelstellingen van het Commissievoorstel

Het wijzigingsvoorstel werd samen met een voorstel voor een EU-wet inzake cyber­solidariteit – die ook de cyberbeveiliging in de EU moet verhogen – ingediend en moet Europese regelingen voor cyber­beveiligings­certificering voor beheerde beveiligingsdiensten opnemen in het toepassingsgebied van de cyber­beveiligings­verordening van 2019.

Het moet dus de invoering van Europese certificerings­regelingen voor dergelijke diensten mogelijk maken. Dit kan de kwaliteit en vergelijkbaarheid ervan verbeteren: met meer betrouwbare aanbieders van cyber­beveiligings­diensten zal de interne markt – waar sommige lidstaten al begonnen zijn met de vaststelling van nationale certificerings­regelingen voor beheerde beveiligings­diensten – minder versnipperd raken.

Nieuw in het standpunt van de Raad

Het standpunt van de Raad verandert het Commissievoorstel op enkele punten:

  • het verduidelijkt de definitie van "beheerde beveiligingsdiensten" en de afstemming op de herziene richtlijn cyber­beveiliging (de NIS 2-richtlijn)

  • het brengt de beveiligingsdoelstellingen van de certificeringsregelingen op één lijn met de beveiligings­doelstellingen van andere regelingen in het kader van de huidige cyber­beveiligings­verordening

  • het bevat een bijlage met de vereisten waaraan conformiteits­beoordelings­instanties moeten voldoen

  • een aantal technische en redactionele wijzigingen zorgen ervoor dat alle relevante bepalingen van de huidige cyberbeveiligings­verordening ook van toepassing zijn op beheerde beveiligings­diensten

Volgende stappen

Met het akkoord over het gemeenschappelijk standpunt van de Raad (zijn "onderhandelingsmandaat") kan het Spaanse voorzitterschap nu onderhandelingen ("trialogen") aangaan met het Europees Parlement over de definitieve verordening.

Achtergrond

De cyberbeveiligingsverordening, aangenomen in 2019, vormt het eerste kader voor cyber­beveiligings­certificering voor alle lidstaten. De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.

Het voorstel van de Commissie werd op 18 april 2023 vastgesteld en beoogt een gerichte wijziging van het toepassingsgebied van de cyberbeveiligings­verordening. De Commissie kan zo uitvoerings­handelingen vaststellen inzake Europese regelingen voor cyberbeveiligings­certificering voor beheerde beveiligings­diensten, naast informatie- en technologie­producten, -diensten en -processen die onder de huidige cyber­beveiligings­verordening vallen.

Het voorstel komt met een definitie van deze beheerde beveiligingsdiensten, die in overeenstemming is met de definitie van "aanbieders van beheerde beveiligings­diensten" in de NIS 2-richtlijn. Ook wordt een nieuw artikel (artikel 51 bis) toegevoegd over de beveiligings­doelstellingen van de Europese cyber­beveiligings­certificering, aangepast aan de "beheerde beveiligingsdiensten". Tot slot bevat het voorstel een aantal technische wijzigingen waardoor de relevante bepalingen van de cyberbeveiligings­verordening ook van toepassing zijn op beheerde beveiligingsdiensten.

Het voorstel is gebaseerd op artikel 114 VWEU (interne markt), aangezien het tot doel heeft versnippering van de interne markt voor beheerde beveiligingsdiensten te voorkomen door de vaststelling van Europese regelingen voor cyber­beveiligings­certificering voor deze diensten mogelijk te maken.

Bijlagen

Verordening tot wijziging van de cyberbeveiligings­verordening wat betreft beheerde beveiligings­diensten, onderhandelings­mandaat van de Raad

Commissievoorstel voor een wijziging van de cyberbeveiligingsverordening

Herziene richtlijn netwerk- en informatiesystemen (NIS 2)

Cyberbeveiligingsverordening

Gerelateerd nieuws

Nieuwe stappen NIS2, vragen blijven

Medeoverheden worden essentieel verklaard onder de NIS2-wetgeving, dat schrijft demissionair staatssecretaris Van Huffelen in een brief aan IPO, UvW en VNG. Dit betekent dat er onder andere een wettelijke zorg- en meldplicht komt voor ernstige digitale dreigingen en incidenten.

Data & Privacy

Digitale vaardigheden en digitaal onderwijs: klaar voor het digitale tijdperk

De Raad heeft een reeks aanbevelingen aangenomen over de succesfactoren voor succesvol digitaal onderwijs en digitale opleiding, en over het verbeteren van het aanbod van digitale vaardigheden en competenties in onderwijs en opleiding.

Data & Privacy

Onderhandelingen rondom AI Act lopen vast

De toekomst van de EU-wet op kunstmatige intelligentie, ook bekend als de 'AI Act', blijft nog onduidelijk. Het Europese Parlement (EP) en de Raad van Ministers, de twee wetgevingsinstanties van de EU, konden vorige week tijdens een technische onderhandelingsronde geen overeenkomst vinden over een aantal politiek gevoelige aspecten van de wet.

Data & Privacy

UMCG beantwoordt vragen patiënten met hulp van AI

Het UMCG zet kunstmatige intelligentie (artificial intelligence, afgekort AI) in om zorgverleners te helpen bij het beantwoorden van schriftelijke vragen van patiënten. Dit gebeurt in samenwerking met andere ziekenhuizen vanuit de EPIC Nederlandse Vereniging. Een AI-toepassing in het elektronisch patiëntendossier (EPD) leest de vraag van de patiënt en geeft een antwoordsuggestie. De zorgverlener krijgt het door AI gemaakte conceptantwoord, controleert het en past het waar nodig nog aan. De verwachting is dat het de administratieve druk op artsen, verpleegkundig specialisten en andere zorgverleners flink kan verlagen.

Data & Privacy