De EU verordening Cybersolidariteit werd officieel gepubliceerd op 15 januari 2025 wordt van kracht op 4 februari 2025. Het is een nieuwe belangrijke stap in het versterken van de cybersecurity van Europa. De wet heeft als doel de EU-landen, inclusief België, te helpen bij het beter detecteren, voorbereiden op en reageren op ernstige cyberincidenten die zowel bedrijven als burgers kunnen treffen, en om solidariteit tussen lidstaten te bevorderen in tijden van crisis. Het draait allemaal om het zorgen dat Europa veerkrachtiger is in de digitale wereld van vandaag. In tegenstelling tot de NIS2-richtlijn of de Cyber Resilience Act, introduceert de verordening Cybersolidariteit geen verplichtingen voor aanbieders. Het is een puur vrijwillige wetgeving die hulpmiddelen en vooral financiering biedt. Lidstaten kunnen hiervan gebruik maken indien gewenst, om hun detectie-, informatie-uitwisselings- of crisisresponscapaciteiten te ondersteunen, vooral voor NIS2-entiteiten.

België, en specifiek het Centrum voor Cybersecurity België, speelde een sleutelrol in de ontwikkeling en de goedkeuring van de verordening tijdens het Belgische voorzitterschap van de Raad van de EU in de eerste helft van 2024. Het Centrum voor Cybersecurity België blijft een centrale rol spelen in de uitvoering van de bepalingen van de wet. Klik hier voor meer informatie over het Belgische voorzitterschap.

Wat is de Cybersolidariteit verordening?

De Cybersolidariteit verordening is opgebouwd rond drie hoofdcomponenten:

1. Een Europees Cybersecurity Alert-systeem, om detectie en waarschuwing te verbeteren
2. Een Cybersecurity Emergency Mechanism, om de reactie te verbeteren – inclusief het opzetten van een cyberreserve
3. Een incidentenbeoordelingsmechanisme, waarmee ENISA grootschalige incidenten kan analyseren en ervan kan leren.

1. Het Europese Cybersecurity Alert Systeem (ECAS)

Doel en oprichting

De verordening Cybersolidariteit richt het ECAS op, een netwerk dat nationale cyberhubs via grensoverschrijdende cyberhubs in de EU met elkaar verbindt. Het zal helpen de capaciteit van de EU te verbeteren om cyberbedreigingen te detecteren, te analyseren en erop te reageren door gebruik te maken van geavanceerde technologieën en samenwerking. Hoewel deelname door lidstaten vrijwillig is, zal het systeem de bewustwording verbeteren en helpen incidenten in de Unie te voorkomen. 

Kernfuncties

Het Europese Cybersecurity Alert-systeem is ontworpen om de bescherming tegen en de reacties op cyberbedreigingen te verbeteren door de samenwerking met belangrijke entiteiten te versterken, waaronder CSIRTs, het CSIRT-netwerk, EU-CyCLONe en andere relevante autoriteiten. Het ECAS verzamelt en analyseert gegevens over cyberbedreigingen en incidenten van grensoverschrijdende cyberhubs en deelt bruikbare inzichten en inlichtingen met deze entiteiten om de situationele bewustwording en detectiecapaciteiten in de EU te verbeteren.

Het systeem geeft ook waarschuwingen uit en biedt concrete aanbevelingen, terwijl het de ontwikkeling van geavanceerde cybersecurity-oplossingen voor de cybersecuritygemeenschap van de Unie ondersteunt.

Nationale Cyber Hubs

Elke lidstaat in de EU die wil deelnemen aan het ECAS, wijst een Nationale Cyber Hub aan, een enkele entiteit die handelt onder de autoriteit van de lidstaat. In België is dit het Centrum voor Cybersecurity België. Nationale Cyber Hubs kunnen fungeren als referentiepunt en toegangspoort voor andere publieke en private organisaties op nationaal niveau voor het verzamelen en analyseren van informatie over cyberbedreigingen en incidenten. Ze zijn in staat om gegevens en informatie die relevant zijn voor cyberbedreigingen en incidenten te detecteren, te verzamelen en te analyseren, zoals cyberbedreigingsinformatie, door gebruik te maken van geavanceerde technologieën, met als doel incidenten te voorkomen. Deze hubs kunnen ook krachten bundelen met andere landen via grensoverschrijdende cyberhubs om de coördinatie en reactie op cyberbedreigingen te verbeteren.

Grensoverschrijdende Cyber Hubs  

Grensoverschrijdende Cyber Hubs zijn platforms voor meerdere landen waar ten minste drie EU-landen samenwerken om cyberbedreigingen te monitoren en te detecteren. Deze hubs verbinden nationale cybersecuritycentra, delen gegevens en gebruiken geavanceerde tools om cyberincidenten te voorkomen en de reactiemogelijkheden te verbeteren. Ze hebben als doel de cybersecurity te versterken door informatie en middelen op een vertrouwde manier uit te wisselen, met een groep, het Hosting Consortium, dat de operaties overziet en andere landen de mogelijkheid biedt zich aan te sluiten, indien afgesproken.

ENISA 

ENISA (de EU-agentschap voor cybersecurity) kan de interoperabiliteit van grensoverschrijdende cyberhubs waarborgen door richtlijnen uit te geven voor informatie-uitwisselingsprotocollen en -formaten.

Financiering

Het Digital Europe Programme (DEP) voorziet in de financiering van de Nationale Cyber Hubs en de Grensoverschrijdende Cyber Hubs en wordt beheerd door het European Cybersecurity Competence Centre (ECCC). Deze financiering heeft een capaciteitsopbouwend doel en dekt kosten die verband houden met de opzet van processen, tools en diensten, evenals de aanschaf van apparatuur, tools, processen en gegevensstromen. Deze financiering dekt ook kosten die verband houden met gegevensanalyse, interconnectie met grensoverschrijdende cyberhubs, enz. Om dit doel te bereiken, wordt een oproep tot het indienen van blijken van belangstelling gelanceerd om entiteiten in lidstaten te selecteren die de nodige faciliteiten bieden om nationale Cyber Hubs te hosten en te exploiteren. Als dit succesvol is, wordt een gezamenlijke aanbestedingsactie opgezet met de lidstaat en wordt een subsidie beschikbaar gesteld om de kosten en de aanschaf van de belangrijkste infrastructuur, tools en diensten te dekken.

Pilotproject en bestaande grensoverschrijdende cybersecurityhubs

De verordening Cybersolidariteit institutionaliseert een pilotproject dat in 2021 door de Europese Commissie werd gelanceerd, evenals de twee grensoverschrijdende cyberhubs die eruit voortkwamen. Dit pilotproject had tot doel grensoverschrijdend verbonden Security Operation Centers (SOCs) op te zetten in EU-lidstaten. Deze hubs waren ontworpen om de cybersecurity in Europa te verbeteren door snelle detectie van bedreigingen, het gebruik van AI en efficiënte informatie-uitwisseling. Ter ondersteuning van dit initiatief stelde de Commissie financiering beschikbaar via het Digital Europe Plan (DEP), waarbij consortia van lidstaten met de uitvoering werden belast onder toezicht van het nieuw opgerichte European Cybersecurity Competence Centre (ECCC).

Begin 2023 had het pilotproject geleid tot de oprichting van twee consortia, die momenteel de enige grensoverschrijdende cyberhubs zijn en die nu zijn geïnstitutionaliseerd door de verordening Momenteel wordt het ENSOC-consortium geleid door Spanje en Italië en omvat het Luxemburg, Nederland, Oostenrijk, Portugal en Roemenië als leden. Het ATHENA-consortium bestaat uit Cyprus, Bulgarije, Griekenland en Malta.

2. Het Cybersecurity Emergency Mechanism

Doel

Het Cybersecurity Emergency Mechanism is ontworpen om de veerkracht van de EU tegen cyberbedreigingen te verbeteren door financiële steun te bieden voor de voorbereiding, mitigatie en reactie op belangrijke en grootschalige cybersecurity-incidenten. Het werkt in een geest van solidariteit en ondersteunt de inspanningen van lidstaten om cyberincidenten aan te pakken. Het mechanisme wordt voornamelijk uitgevoerd via het European Cybersecurity Competence Centre (ECCC).

Het mechanisme financiert verschillende soorten acties:

• Voorbereidingsacties: Deze omvatten gecoördineerde tests van entiteiten in kritieke sectoren, zoals penetratietests en bedreigingsbeoordelingen. Steun voor deze acties wordt verstrekt in de vorm van subsidies en is vrijwillig voor lidstaten.

• Incidentrespons en herstel: Het mechanisme omvat acties ter ondersteuning van de reactie en het herstel van significante cybersecurity-incidenten. Vertrouwde beheerde beveiligingsdienstverleners, onderdeel van de EU Cybersecurity Reserve, bieden deze diensten aan.  

• Wederzijdse bijstand: Dit verwijst naar samenwerkingsacties tussen lidstaten om elkaar te helpen tijdens cybercrises. Het mechanisme stelt EU-lidstaten in staat om technische bijstand aan elkaar te verlenen in geval van significante cybersecurity-incidenten. Deze ondersteuning wordt verleend via specifieke werkprogramma's.

De EU Cybersecurity Reserve 

De EU Cybersecurity Reserve is een belangrijk onderdeel van dit mechanisme. Het zal bestaan uit vooraf verworven responddiensten van vertrouwde particuliere aanbieders die kunnen worden ingezet ter ondersteuning van de inspanningen bij grootschalige incidenten. De reserve is beschikbaar voor alle lidstaten, Unie-instellingen en met het DEP geassocieerde derde landen, wat betekent dat landen die geen deel uitmaken van de EU, maar wel geassocieerd zijn met het DEP, zoals Oekraïne, ook ondersteund kunnen worden via deze reserve. De Europese Commissie houdt toezicht op de reserve, terwijl ENISA de werking en administratie ervan verzorgt.

Hoe werkt het?

ENISA zal de behoeften van alle lidstaten vaststellen en incidentresponsdiensten van particuliere operators inkopen, die in de 'Reserve' op retentie worden gehouden. Wanneer nationale autoriteiten, Unie-instellingen of derde landen extra ondersteuning nodig hebben om hun NIS2-operators te helpen bij een belangrijk incident, kunnen ze ondersteuning aanvragen uit de reserve. Deze entiteiten zullen dan helpen. Na de ondersteuning moeten gebruikers binnen twee maanden een samenvattend rapport indienen, en er worden regelmatige rapporten opgesteld om de effectiviteit van de reserve te waarborgen. Diensten die vooraf zijn verworven maar nooit zijn gebruikt, kunnen aan het einde van elk jaar worden omgezet in voorbereidingsacties, zoals pentesting.

Criteria voor dienstverleners

Om in aanmerking te komen voor de EU Cybersecurity Reserve, moeten dienstverleners voldoen aan strenge criteria, zoals de noodzakelijke beveiligingsmachtigingen voor personeel, technische middelen en expertise om de vereiste taken uit te voeren, en moeten ze voldoen aan relevante regelgeving, waaronder die met betrekking tot de bescherming van vertrouwelijke informatie, en veilige IT-systemen hebben.

Het belangrijkste is dat de wijziging van de EU Cybersecurity Act de oprichting van Europese certificeringsschema's voor beheerde beveiligingsdiensten als onderdeel van de Cybersecurity Reserve-initiatief mogelijk maakt. Deze certificeringsschema's zullen helpen de kwaliteit en vergelijkbaarheid van cybersecurity-dienstverleners te verhogen en vertrouwen in het systeem op te bouwen door van externe aanbieders in de Reserve te eisen dat zij de certificeringskaders naleven.

Sectoren die gedekt worden

Het mechanisme richt zich voornamelijk op kritieke sectoren zoals energie, gezondheidszorg, financiën, water, digitale infrastructuur, ICT-dienstbeheer, openbare administratie, ruimtevaart en transport. Dit zijn sectoren waar cybersecurity-incidenten aanzienlijke maatschappelijke of economische gevolgen kunnen hebben. Het kan ook van toepassing zijn op andere entiteiten die essentieel zijn voor de werking van de digitale infrastructuur, zoals digitale aanbieders, productie, afvalbeheer, post- en koeriersdiensten, voedsel en onderzoek.

Financiering

Het Cybersecurity Emergency Mechanism wordt ondersteund door financiering in het kader van het strategische doel ‘Cybersecurity’ van het DEP en wordt beheerd door het ECCC. Vrijwillige subsidies via het DEP kunnen aan lidstaten worden toegewezen om gecoördineerde voorbereidende tests, zoals penetratietests of bedreigingsbeoordelingen, evenals wederzijdse bijstand en andere voorbereidende acties, zoals kwetsbaarheids- of risicomanagement, oefeningen en trainingen, te financieren. De EU Cybersecurity Reserve wordt voornamelijk gefinancierd door aanbestedingen, aangevuld met subsidies.

3. Europese Cybersecurity Incident Review Mechanism