Europees recht en beleid

Laatste update: 17 februari 2023

Contact: en


Wat is precies cybersecurity? Cybersecurity is een verzamelnaam voor de verschillende soorten handelingen die bedoeld zijn om netwerk- en informatiesystemen en de gebruikers daarvan te beschermen tegen cybercriminaliteit. Cybercriminaliteit is criminaliteit met het internet en ICT als middel én als doelwit, zoals malware, hacking of phishing mails.

Europees beleid voor cybersecurity

De Europese Unie is al lang bezig met het ondernemen van acties ter bescherming tegen cybercriminaliteit. Er zijn binnen Europa verschillende initiatieven ondernomen. Zo heeft de EU verschillende strategieën en richtlijnen gepubliceerd met als doel de digitale veiligheid van burgers, bedrijven en overheden te waarborgen.

Europese cybersecuritystrategie

In 2013 ontwikkelde de Commissie de Europese strategie voor cybersecurity met als doel om cybercriminaliteit drastisch te verminderen. Sindsdien heeft de Commissie haar inspanning op het gebied van cybersecurity opgevoerd. Cybersecurity was ook één van de drie speerpunten in de Europese veiligheidsagenda uit 2015. Samen met deze EU-veiligheidsagenda zorgde de cybersecuritystrategie er destijds voor dat er nadruk werd gelegd op de vorming en uitvoering van een passend beleid inzake cyberbeveiliging.

In december 2020 heeft de Commissie een nieuwe cybersecuritystrategie gepresenteerd. Deze strategie heeft als doel om Europa beter bestand te maken tegen cyberdreigingen zodat burgers, bedrijven en overheden kunnen profiteren van betrouwbare digitale instrumenten. De strategie omvat 3 doelstellingen:

  1. Weerbaarheid, technologische soevereiniteit en leiderschap;
  2. Operationele capaciteit opbouwen om te voorkomen, te ontmoedigen en te reageren op cybercriminaliteit;
  3. Een mondiale en open cyberspace bevorderen via een intensievere samenwerking.

Met de strategie wil de Commissie internationale normen en standaarden in de cyberspace promoten. De strategie kondigt bovendien een nieuwe richtlijn aan: de Richtlijn inzake de veerkracht van kritieke entiteiten (CER). Deze richtlijn moet ervoor zorgen dat iedere lidstaat een nationale strategie vaststelt om de weerbaarheid van kritieke entiteiten te waarborgen. Daarnaast moet de richtlijn ervoor zorgen dat er regelmatig risicobeoordelingen worden uitgevoerd.

De Raad van de Europese Unie publiceerde in maart 2021 haar conclusies over de cybersecuritystrategie. Hieruit blijkt dat de Raad positief is, maar dat het de Commissie wel aanmoedigt om een gedetailleerder uitvoeringsplan op te stellen. Zo kunnen de ontwikkeling, uitvoering en monitoring van de voorstellen in de cybersecuritystrategie gegarandeerd worden. Europa decentraal schreef hier eerder een nieuwsbericht over.

NIS2-richtlijn

In december 2020 stelde de Commissie een herziening van de NIS-richtlijn (NIS2) voor. De Commissie vond dat de oude NIS-richtlijn door een veranderende manier van cyberdreiging en de digitale transformatie van de samenleving niet meer up-to-date is. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden. Denk hierbij aan de invoering van strengere toezichtmaatregelen voor nationale autoriteiten of het uitbreiden van informatie-uitwisseling en samenwerking. Op 27 december 2022 is de definitieve versie van de NIS2-richtlijn in het Publicatieblad van de EU gepubliceerd. 20 dagen na deze bekendmaking is de richtlijn in werking getreden. De lidstaten hebben daarna nog 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving. In Nederland zal de Wbni dan moeten worden aangepast, onder meer om de verplichtingen voor overheden vorm te geven.

Lees meer over de NIS2-richtlijn en de betekenis hiervan voor decentrale overheden in onze praktijkvraag.

Cyberbeveiligingsverordening

Een EU-breed kader voor certificeringsregelingen is belangrijk voor het garanderen van hoge cybersecuritynormen voor ICT-producten, -diensten en -processen overal in de EU. De Cyberbeveiligingsverordening uit 2019 zorgt daarvoor. Het certificeringskader in de verordening bevat technische eisen, normen en procedures voor de gehele EU en garandeert dat alle gecertificeerde ICT-producten en -diensten zijn geëvalueerd en aan specifieke beveiligingsvoorschriften voldoen. Ook zorgt dit kader ervoor dat er een EU-breed standaard is waar (decentrale) overheden op kunnen vertrouwen wanneer zij nieuwe ICT inkopen.

Daarnaast zorgde de verordening voor een sterker mandaat voor het EU-agentschap voor cybersecurity (ENISA). Dit agentschap is opgericht om lidstaten en belanghebbenden te ondersteunen op het gebied van cybersecurity. Daarnaast draagt het actief bij aan het Europese cyberveiligheidsbeleid en reageert het op grensoverschrijdende cyberincidenten.

Financiering en onderzoek

Onderzoek naar digitale veiligheid is belangrijk om oplossingen te vinden die ons kunnen beschermen tegen de nieuwste cyberdreigingen. Daarom is cybersecurity een belangrijk onderdeel van Horizon Europe. Daarnaast is 1,6 miljard euro uitgetrokken voor de investering in de cyberbeveiligingscapaciteit onder het programma Digital Europe. Hierbij moet ook worden gekeken naar de invoering van een betere cyberbeveiligingsinfrastructuur en -instrumenten in de gehele EU.

Bescherming van 5G-netwerken

De uitrol van 5G-netwerken is in gang gezet in de hele EU. 5G-netwerken bieden voordelen, maar er zijn ook risico’s aan verbonden. Door de minder gecentraliseerde aard van 5G-netwerken, door het grotere aantal antennes, en door de grotere afhankelijkheid van software zijn er meer toegangspunten voor cybercriminelen. De Commissie heeft daarom een 5G Toolbox Cyberveiligheidsrisico’s gepresenteerd. Meer over deze toolbox en over 5G in Europa en Nederland leest u op deze pagina.

Cyberweerbaarheidswet

In september 2021 kondigde Commissievoorzitter Von der Leyen de cyberweerbaarheidswet aan. Deze verordening zal beveiligingsregels bevatten die voor digitale producten en diensten op de Europese markt zullen gelden. Het doel van de verordening is om consumenten en de markt te beschermen tegen cyberincidenten. De Commissie heeft voor het opstellen van de cyberweerbaarheidswet om feedback gevraagd. Het wetsvoorstel wordt in de tweede helft van 2022 verwacht. Hiervoor is midden 2022 eerst een consultatie uitgezet.

Nederlands beleid voor cybersecurity

Ook in Nederland is een goed cybersecuritybeleid van belang. De Nederlandse overheid heeft daarom verschillende initiatieven ondernomen om ervoor te zorgen dat burgers en bedrijven veilig online kunnen zijn.

Nederlandse cybersecurity agenda

De Nederlandse overheid heeft in 2018 de Nederlandse Cybersecurity Agenda gepubliceerd. Het doel is de nationale veiligheid in het digitale domein te beschermen en tegelijkertijd de economische en maatschappelijke kansen van digitalisering op een veilige wijze te verzilveren. De agenda is onderverdeeld in zeven ambities die bijdragen aan de bovengenoemde doelstelling.

Baseline Informatiebeveiliging Overheid

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor (decentrale) overheden. Hierdoor is er één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. De BIO is te vinden via deze pagina. Gemeenten kunnen voor meer informatie ook kijken op de website van de Informatiebeveiligingsdienst van de VNG.

Cybersecurity in Nederland: stand van zaken

Uit onderzoek van de Cyber Security Raad (CSR) blijkt dat er in Nederland meer samenhang, slagkracht en snelheid nodig is als het gaat om cybersecurity. Op aanvraag van het ministerie van Justitie en Veiligheid bracht de CSR een adviesrapport uit over de benodigde investeringen in cyberweerbaarheid. Uit het rapport blijkt dat de Nederlandse digitale veiligheid en autonomie onder druk staat. Er moet een investering van ruim 800 miljoen euro voor onder meer kennis, onderzoek en innovatie worden gedaan om de cyberweerbaarheid in Nederland verder te versterken.

Cybersecurity organisaties

De Nationaal Coördinator Terrorismebestrijding en Veiligheid is binnen de Rijksoverheid verantwoordelijk voor de coördinatie van terrorismebestrijding, cybersecurity, nationale veiligheid en crisisbeheer. Om deze coördinatie uit te voeren heeft de overheid het Nationaal Cyber Security Centrum (NCSC) opgezet. Dit is het expertisecentrum voor cybersecurity in Nederland. Het NCSC geeft een waarschuwing bij cyberdreigingen, zoals virussen of cyberaanvallen op een website, en geeft daarbij ook beveiligingsadvies. Daarnaast adviseert de NCSC overheden hoe ze zich kunnen beschermen tegen cyberaanvallen.

Tegelijkertijd is het ministerie van Binnenlandse Zaken en Koninkrijksrelaties verantwoordelijk voor de sector overheid binnen de cybersecurityregels.

Heeft mijn gemeente, provincie of waterschap met cybersecurity te maken?

Cybercriminaliteit kent verschillende vormen en er is een kans aanwezig dat decentrale overheden ook de dupe worden van cybercriminaliteit. Decentrale overheden verwerken bijvoorbeeld veel persoonsgegevens en cybercriminelen kunnen dit gebruiken om online fraude te plegen. Doordat decentrale overheden steeds meer digitale diensten aanbieden, moeten zij hun beleid omtrent cybersecurity actueel hebben. Het is daarom belangrijk voor decentrale overheden dat hun netwerk op de juiste manier is beveiligd. Daarnaast draagt een goed beveiligde cyberspace bij tot het draaiende houden van de online economie en het waarborgen van de welvaart. Het is daarom goed dat uw gemeente, provincie of waterschap nagaat wat het kan doen voor een zo goed mogelijk beveiligde cyberspace. Meer informatie over cybersecurity en de impact voor decentrale overheden kunt u lezen in deze praktijkvraag.

Hoe pak je cybersecurity als decentrale overheid aan?

  • Het aanvragen van een Europees cyberbeveiligingscertificaat: het EU-agentschap ENISA helpt de Commissie bij het uitgeven van EU-cyberbeveiligingscertificaten. Als decentrale overheid is het handig een cyberbeveiligingscertificaat te hebben om zeker te weten dat de ICT-producten, -diensten en -processen voldoen aan de Europese cyberveiligheidsstandaarden.
  • Het veilig verwerken en opslaan van persoonsgegevens: doordat decentrale overheden steeds meer digitale diensten aanbieden, moeten zij hun beleid omtrent cybersecurity ook actualiseren. Veel kritische processen, zoals de BRP, worden dan ook digitaal beheerd. Meer informatie over het verwerken van persoonsgegevens vindt u op deze webpagina.
  • Het uitvoeren van een cyberoefening: het is belangrijk dat decentrale overheden weten hoe ze moeten handelen bij een cyberincident. De toolbox cyberincidenten bevat hulpmiddelen bij de voorbereiding op en de aanpak van een cyberincident. Het bevat scans en hulpmiddelen, tools voor bestuurders, bewustwording en interactieve spellen om te oefenen met cyberincidenten. Daarnaast is er ieder jaar een Overheidsbrede Cyberoefening, waarin alle partners in de publieke sector oefenen op crisispreparatie.
  • Het vervullen van een adviserende rol: gemeenten hebben een adviserende sleutelfunctie wat betreft het bedrijfsleven. Om gemeenten te helpen bij het stimuleren van veilig digitaal ondernemen heeft het Digital Trust Center van het ministerie van Economische Zaken en Klimaat een cybersecurity toolkit samen gesteld. De toolkit bevat praktische informatie en hulpmiddelen om effectief met digitale veiligheid aan de slag te gaan.