Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie [De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu] 2022/C 258/07
Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie [De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu] 2022/C 258/07
5.7.2022 | NL | Publicatieblad van de Europese Unie | C 258/10 |
Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie
[De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu]
(2022/C 258/07)
Op 22 maart 2022 heeft de Europese Commissie een voorstel aangenomen voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (“het voorstel”).
De EDPS is ingenomen met het doel van het voorstel om de positie van de instellingen, organen en instanties van de Unie (hierna: “instellingen van de EU”) ten opzichte van cyberbeveiliging te verbeteren, en is tevens ingenomen met de nieuwe rol van het voormalige “Computercrisisreponsteam”, nu “Cyberbeveiligingscentrum” (CERT-EU) genoemd, rekening houdend met de toegenomen digitalisering, de snel veranderde dreigingen op het gebied van cyberbeveiliging en de recente ontwikkeling van digitalisering ook als gevolg van de COVID-19-pandemie.
De EDPS betreurt het dat het voorstel niet in overeenstemming is met de NIS-richtlijn en het NIS 2.0-voorstel, die streven naar consistente en homogene regels voor de lidstaten en de instellingen van de EU, hetgeen bijdraagt tot het algemene cyberbeveiligingsniveau van de Unie. De EDPS beveelt aan in het voorstel toe te voegen dat de erin opgenomen minimale veiligheidseisen ten minste gelijk moeten zijn aan of strenger moeten zijn dan de minimale veiligheidseisen van de entiteiten van het NIS-voorstel en het NIS 2.0-voorstel.
Om aan het voorstel te voldoen, zullen de instellingen van de EU en het CERT-EU bepaalde cyberbeveiligingsprocessen en -maatregelen moeten uitrollen, die onvermijdelijk bijkomende verwerking van persoonsgegevens met zich mee zullen brengen. Om rechtszekerheid en voorspelbaarheid te bieden en om ervoor te zorgen dat Verordening (EU) 2018/1725 (EUDPR) wordt nageleefd, beveelt de EDPS ten zeerste aan dat het voorstel, of ten minste een later door de Commissie vast te stellen gedelegeerde handeling, duidelijk een rechtsgrond biedt voor de verwerking van persoonsgegevens door het CERT-EU en de instellingen van de EU, met inbegrip van met name de doeleinden van de verwerking en de categorieën persoonsgegevens.
De EDPS benadrukt dat het van belang is dat het perspectief van de privacy- en gegevensbescherming wordt geïntegreerd in het cyberbeveiligingsbeheer teneinde positieve synergieën tot stand te brengen tussen het voorstel en de wetgeving inzake privacy- en gegevensbescherming, en doet specifieke aanbevelingen over de wijze waarop dergelijke synergieën tot stand kunnen worden gebracht, waaronder een specifieke verplichting voor EU-ambtenaren die verantwoordelijk zijn voor cyberbeveiliging om nauw samen te werken met de overeenkomstig de EUDPR aangewezen functionaris voor gegevensbescherming.
De EDPS beveelt ten zeerste aan dat het voorstel voorziet in nauwe samenwerking tussen het CERT-EU en de EDPS, bijvoorbeeld bij het aanpakken van incidenten die leiden tot inbreuken op persoonsgegevens, bij het aanpakken van significante kwetsbaarheden, significante incidenten of grote aanvallen die kunnen leiden tot inbreuken in verband met persoonsgegevens, alsook wanneer het CERT-EU aanwijzingen heeft dat een inbreuk op het voorstel een inbreuk in verband met persoonsgegevens inhoudt.
De EDPS beveelt ook ten zeerste aan dat het voorstel voorziet in de deelname van de EDPS aan de “Interinstitutionele raad voor cyberbeveiliging” (IICB).
1. INLEIDING EN ACHTERGROND
1. | Op 22 maart 2022 heeft de Europese Commissie een voorstel aangenomen voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (1) (“het voorstel”). |
2. | Op dezelfde datum heeft de Europese Commissie het voorstel voor een verordening van het Europees Parlement en de Raad betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie (2) (“het Infosec-voorstel”) aangenomen. |
3. | Beide voorstellen werden voorzien in de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk, die op 16 december 2020 werd gepresenteerd (3) (“de strategie”). De strategie is er in het algemeen op gericht de strategische autonomie van de Unie op het gebied van cyberbeveiliging te versterken en haar veerkracht en collectieve respons te verbeteren, alsook een mondiaal en open internet met duidelijke waarborgen op te bouwen om de risico’s voor de veiligheid en de grondrechten en fundamentele vrijheden van de mensen in Europa aan te pakken (4). |
4. | Het voorstel vormt een van de regelgevingsinitiatieven van de strategie, met name op het gebied van cyberbeveiliging voor de instellingen, organen en instanties van de Unie (“instellingen van de EU”). Volgens de toelichting is het doel van het voorstel tweeledig:
|
5. | De EDPS merkt op dat het onderwerp van het onderhavige voorstel verband houdt met het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie en tot intrekking van Richtlijn (EU) 2016/1148 (“NIS 2.0-voorstel”). De EDPS herinnert eraan Advies 5/2021 betreffende de strategie inzake cyberbeveiliging (5) en de NIS-richtlijn 2.0 (“NIS 2.0-advies”) te hebben uitgebracht (6). Daarom zal in dit advies worden verwezen naar het NIS 2.0-advies. |
6. | In overeenstemming met de strategie beoogt het voorstel de veerkracht van alle instellingen, organen en instanties van de Unie en hun reactievermogen bij incidenten verder te verbeteren. Het sluit ook aan bij de prioriteiten van de Commissie om Europa geschikt te maken voor het digitale tijdperk en om een toekomstbestendige economie uit te bouwen die werkt voor de mensen. Bovendien wordt erin benadrukt dat de veiligheid en veerkracht van het openbaar bestuur een hoeksteen vormt van de digitale transformatie van de samenleving als geheel. |
7. | Volgens de toelichting:
|
8. | De Europese Commissie heeft de EDPS op 22 maart 2022 verzocht een advies uit te brengen over het voorstel, overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (EUDPR) (8). De opmerkingen en aanbevelingen in dit advies zijn beperkt tot de bepalingen in het voorstel die vanuit het oogpunt van gegevens- en privacybescherming het meest relevant zijn. |
4. CONCLUSIES
48. | In het licht van het voorgaande beveelt de EDPS in hoofdzaak het volgende aan:
|
Brussel, 17 mei 2022
Wojciech Rafał WIEWIÓROWSKI
(1) COM(2022) 122 final.
(2) COM(2022) 119 final.
(3) De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk | De digitale toekomst van Europa vormgeven (europa.eu) dat een gezamenlijke mededeling met de Hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid bevat (JOIN(2020)18).
(4) Zie hoofdstuk I. INLEIDING van de strategie, blz. 4.
(5) Gezamenlijke mededeling van de Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid aan het Europees Parlement en de Raad, met de titel “De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk”.
(6) Advies 5/2021 van de EDPS betreffende de strategie inzake cyberbeveiliging en de NIS-richtlijn 2.0.
(7) De huidige rol van het CERT-EU vloeit voort uit het Interinstitutioneel Akkoord 2018/C 12/01.
(8) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).