EU Commissie start consultatie over herziening van cybersecurityregels
Herziening van de Cybersecuritywet: Mandaat van ENISA en Certificeringsschema’s
De Europese Commissie is op vrijdag begonnen met het verzamelen van input om de cyberregels van de EU, die dateren uit 2019, te herzien. Dit is onderdeel van de inspanningen om bestaande regels te vereenvoudigen. De herziening van de Cybersecurity Act (CSA) zal zich richten op het mandaat van de Europese cyberagentschap ENISA, evenals het Europese kader voor cybersecuritycertificering en het aanpakken van uitdagingen op het gebied van de ICT-leveringsketen, aldus de verklaring van de Commissie.
Volgens eerdere berichten heeft de Commissie al feedback verzameld van de industrie en nationale overheden over de werking en reikwijdte van ENISA, met het doel om het mandaat en de financiële ondersteuning van het agentschap mogelijk te wijzigen. De CSA gaf ENISA, dat ongeveer 100 medewerkers heeft, de opdracht om toezicht te houden op de uitvoering van EU-brede cybersecurityregels. Echter, een van de taken, het opstellen van een vrijwillige cybersecuritycertificering voor clouddiensten (EUCS), is sinds 2019 niet veel verder gevorderd.
De EUCS is bedoeld voor bedrijven om aan te tonen dat gecertificeerde ICT-oplossingen het juiste niveau van cybersecuritybescherming bieden voor de EU-markt, maar het is een politiek strijdpunt geworden over soevereiniteitseisen. Er zijn oproepen gedaan om het systeem verplicht te stellen onder de nieuwe CSA.
Henna Virkkunen, de EU-commissaris voor technologie, heeft aangekondigd dat ze dit jaar een zogenaamde Digitale Fitheidstoets zal uitvoeren. Deze toets zal beoordelen of alle bestaande technologische regels een last voor bedrijven vormen en gebieden voor vereenvoudiging identificeren. Deze consultatie komt enkele weken nadat Virkkunen aangaf dat ze wil dat lidstaten 5G-beveiligingsregels aannemen om netwerken te beschermen tegen cyberdreigingen en -risico’s.
In 2020 kwamen de lidstaten overeen om beperkingen op te leggen aan leveranciers die als hoog risico worden beschouwd – zoals het Chinese Huawei en ZTE – inclusief noodzakelijke uitsluitingen, naar aanleiding van beveiligingszorgen. Echter, slechts een beperkt aantal landen heeft concrete stappen ondernomen om deze bedrijven te verbannen.
Geïnteresseerde partijen, waaronder bevoegde autoriteiten van lidstaten, cybersecurityautoriteiten, en industrie- en handelsverenigingen, kunnen tot 20 juni feedback geven op de consultatie.
