Home

Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie [De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu] 2022/C 258/07

Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie [De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu] 2022/C 258/07

5.7.2022

NL

Publicatieblad van de Europese Unie

C 258/10


Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

[De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu]

(2022/C 258/07)

Op 22 maart 2022 heeft de Europese Commissie een voorstel aangenomen voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (“het voorstel”).

De EDPS is ingenomen met het doel van het voorstel om de positie van de instellingen, organen en instanties van de Unie (hierna: “instellingen van de EU”) ten opzichte van cyberbeveiliging te verbeteren, en is tevens ingenomen met de nieuwe rol van het voormalige “Computercrisisreponsteam”, nu “Cyberbeveiligingscentrum” (CERT-EU) genoemd, rekening houdend met de toegenomen digitalisering, de snel veranderde dreigingen op het gebied van cyberbeveiliging en de recente ontwikkeling van digitalisering ook als gevolg van de COVID-19-pandemie.

De EDPS betreurt het dat het voorstel niet in overeenstemming is met de NIS-richtlijn en het NIS 2.0-voorstel, die streven naar consistente en homogene regels voor de lidstaten en de instellingen van de EU, hetgeen bijdraagt tot het algemene cyberbeveiligingsniveau van de Unie. De EDPS beveelt aan in het voorstel toe te voegen dat de erin opgenomen minimale veiligheidseisen ten minste gelijk moeten zijn aan of strenger moeten zijn dan de minimale veiligheidseisen van de entiteiten van het NIS-voorstel en het NIS 2.0-voorstel.

Om aan het voorstel te voldoen, zullen de instellingen van de EU en het CERT-EU bepaalde cyberbeveiligingsprocessen en -maatregelen moeten uitrollen, die onvermijdelijk bijkomende verwerking van persoonsgegevens met zich mee zullen brengen. Om rechtszekerheid en voorspelbaarheid te bieden en om ervoor te zorgen dat Verordening (EU) 2018/1725 (EUDPR) wordt nageleefd, beveelt de EDPS ten zeerste aan dat het voorstel, of ten minste een later door de Commissie vast te stellen gedelegeerde handeling, duidelijk een rechtsgrond biedt voor de verwerking van persoonsgegevens door het CERT-EU en de instellingen van de EU, met inbegrip van met name de doeleinden van de verwerking en de categorieën persoonsgegevens.

De EDPS benadrukt dat het van belang is dat het perspectief van de privacy- en gegevensbescherming wordt geïntegreerd in het cyberbeveiligingsbeheer teneinde positieve synergieën tot stand te brengen tussen het voorstel en de wetgeving inzake privacy- en gegevensbescherming, en doet specifieke aanbevelingen over de wijze waarop dergelijke synergieën tot stand kunnen worden gebracht, waaronder een specifieke verplichting voor EU-ambtenaren die verantwoordelijk zijn voor cyberbeveiliging om nauw samen te werken met de overeenkomstig de EUDPR aangewezen functionaris voor gegevensbescherming.

De EDPS beveelt ten zeerste aan dat het voorstel voorziet in nauwe samenwerking tussen het CERT-EU en de EDPS, bijvoorbeeld bij het aanpakken van incidenten die leiden tot inbreuken op persoonsgegevens, bij het aanpakken van significante kwetsbaarheden, significante incidenten of grote aanvallen die kunnen leiden tot inbreuken in verband met persoonsgegevens, alsook wanneer het CERT-EU aanwijzingen heeft dat een inbreuk op het voorstel een inbreuk in verband met persoonsgegevens inhoudt.

De EDPS beveelt ook ten zeerste aan dat het voorstel voorziet in de deelname van de EDPS aan de “Interinstitutionele raad voor cyberbeveiliging” (IICB).

1. INLEIDING EN ACHTERGROND

1.

Op 22 maart 2022 heeft de Europese Commissie een voorstel aangenomen voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (1) (“het voorstel”).

2.

Op dezelfde datum heeft de Europese Commissie het voorstel voor een verordening van het Europees Parlement en de Raad betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie (2) (“het Infosec-voorstel”) aangenomen.

3.

Beide voorstellen werden voorzien in de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk, die op 16 december 2020 werd gepresenteerd (3) (“de strategie”). De strategie is er in het algemeen op gericht de strategische autonomie van de Unie op het gebied van cyberbeveiliging te versterken en haar veerkracht en collectieve respons te verbeteren, alsook een mondiaal en open internet met duidelijke waarborgen op te bouwen om de risico’s voor de veiligheid en de grondrechten en fundamentele vrijheden van de mensen in Europa aan te pakken (4).

4.

Het voorstel vormt een van de regelgevingsinitiatieven van de strategie, met name op het gebied van cyberbeveiliging voor de instellingen, organen en instanties van de Unie (“instellingen van de EU”). Volgens de toelichting is het doel van het voorstel tweeledig:

de steeds vijandiger wordende cyberdreigingen en de toegenomen frequentie van geavanceerdere cyberaanvallen aanpakken die de instellingen, organen en instanties van de Unie treffen en die meer investeringen vereisen om het cybermaturiteitsniveau op te vijzelen, en

het computercrisisresponsteam van de EU (CERT-EU) versterken met een verbeterd financieringsmechanisme dat nodig is om de instellingen, organen en instanties van de EU te helpen de nieuwe cyberbeveiligingsregels toe te passen en hun cyberveerkracht te verbeteren.

5.

De EDPS merkt op dat het onderwerp van het onderhavige voorstel verband houdt met het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie en tot intrekking van Richtlijn (EU) 2016/1148 (“NIS 2.0-voorstel”). De EDPS herinnert eraan Advies 5/2021 betreffende de strategie inzake cyberbeveiliging (5) en de NIS-richtlijn 2.0 (“NIS 2.0-advies”) te hebben uitgebracht (6). Daarom zal in dit advies worden verwezen naar het NIS 2.0-advies.

6.

In overeenstemming met de strategie beoogt het voorstel de veerkracht van alle instellingen, organen en instanties van de Unie en hun reactievermogen bij incidenten verder te verbeteren. Het sluit ook aan bij de prioriteiten van de Commissie om Europa geschikt te maken voor het digitale tijdperk en om een toekomstbestendige economie uit te bouwen die werkt voor de mensen. Bovendien wordt erin benadrukt dat de veiligheid en veerkracht van het openbaar bestuur een hoeksteen vormt van de digitale transformatie van de samenleving als geheel.

7.

Volgens de toelichting:

worden in het voorstel maatregelen geschetst om een hoog gezamenlijk niveau van cyberbeveiliging voor de instellingen, organen en instanties van de Europese Unie te waarborgen,

wordt in het voorstel de “Interinstitutionele raad voor cyberbeveiliging” opgericht, die verantwoordelijk is voor het toezicht op de uitvoering van de voorgestelde verordening,

wordt in het voorstel de nieuwe rol vastgesteld van het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU) (7), dat voortaan het “cyberbeveiligingscentrum” zal zijn voor de instellingen, organen en instanties van de Unie, in overeenstemming met de ontwikkelingen in de lidstaten en wereldwijd.

8.

De Europese Commissie heeft de EDPS op 22 maart 2022 verzocht een advies uit te brengen over het voorstel, overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (EUDPR) (8). De opmerkingen en aanbevelingen in dit advies zijn beperkt tot de bepalingen in het voorstel die vanuit het oogpunt van gegevens- en privacybescherming het meest relevant zijn.

4. CONCLUSIES

48.

In het licht van het voorgaande beveelt de EDPS in hoofdzaak het volgende aan:

de EDPS beveelt aan in een overweging toe te voegen dat het voorstel voortbouwt op het NIS 2.0-voorstel, en het verband tussen het voorstel en de NIS-richtlijn en het NIS 2.0-voorstel nader toe te lichten in de overwegingen 4 en 5. Voorts beveelt de EDPS aan om in de hoofdtekst de volgende formulering op te nemen: “De minimale beveiligingseisen moeten ten minste gelijk zijn aan of strenger zijn dan de minimale beveiligingseisen van de entiteiten van het NIS-voorstel en het NIS 2.0-voorstel”;

de EDPS beveelt ten zeerste aan dat het voorstel duidelijk een rechtsgrond moet bieden voor de verwerking van persoonsgegevens door het CERT-EU en de instellingen van de EU, met inbegrip van met name de doeleinden van de verwerking en de categorieën persoonsgegevens. Daarnaast moeten de volgende elementen uitdrukkelijk worden vastgelegd: (a) identificatie van de verwerkingsverantwoordelijke(n), verwerkers of gezamenlijke verwerkingsverantwoordelijken, naargelang het geval; (b) categorieën betrokkenen; (c) bewaringsperioden of ten minste criteria om dergelijke perioden te bepalen. De EDPS is van mening dat deze elementen uitdrukkelijk in het voorstel moeten worden opgenomen, of ten minste in een gedelegeerde handeling die later door de Commissie moet worden vastgesteld. Het voorstel moet voorzien in een dergelijke delegatie;

de EDPS beveelt ten zeerste aan om “versleuteling in rust”, “versleuteling bij verzending” en “eind-tot-eindversleuteling” op te nemen in de lijst van minimale cyberbeveiligingsmaatregelen in bijlage II bij het voorstel;

de EDPS beveelt ten zeerste aan dat het voorstel voorziet in een specifieke verplichting voor de in artikel 4, lid 5, bedoelde plaatselijke cyberbeveiligingsfunctionaris om samen te werken met de overeenkomstig artikel 43 van de EUDPR aangewezen functionaris voor gegevensbescherming bij het aanpakken van overlappende activiteiten zoals het toepassen van gegevensbescherming door ontwerp en door standaardinstellingen op cyberbeveiligingsmaatregelen, het selecteren van cyberbeveiligingsmaatregelen die persoonsgegevens betreffen, geïntegreerd risicobeheer en geïntegreerde behandeling van beveiligingsincidenten;

de EDPS beveelt ten zeerste aan dat aan artikel 12 “missie en taken van het CERT-EU” van het voorstel de bepaling wordt toegevoegd dat “het CERT-EU nauw met de EDPS samenwerkt bij het aanpakken van incidenten die leiden tot inbreuken in verband met persoonsgegevens of waarbij het vertrouwelijke karakter van elektronische communicatie wordt geschonden”;

de EDPS beveelt aan om het CERT-EU te verplichten de EDPS te informeren wanneer het belangrijke kwetsbaarheden, significante incidenten of grote aanvallen aanpakt die kunnen leiden tot inbreuken op persoonsgegevens en/of het vertrouwelijke karakter van elektronische communicatie kunnen schenden;

de EDPS beveelt aan in artikel 12 te bepalen dat de EDPS wordt betrokken bij de bewustmakingsactiviteiten op het gebied van cyberbeveiliging van het CERT-EU in de instellingen van de EU, teneinde de wisselwerking tussen inbreuken op persoonsgegevens en cyberincidenten te bestrijken;

de EDPS beveelt aan een bepaling aan artikel 12 “missie en taken van het CERT-EU” van het voorstel toe te voegen waarin wordt vermeld dat het CERT-EU de EDPS onverwijld in kennis stelt van aanwijzingen dat een schending door de instellingen van de EU van de in het voorstel vastgestelde verplichtingen een inbreuk in verband met persoonsgegevens inhoudt;

de EDPS beveelt ten zeerste aan dat de Europese Toezichthouder voor gegevensbescherming aan artikel 9, lid 3, wordt toegevoegd als permanente deelnemer aan de IICB met één vertegenwoordiger.

Brussel, 17 mei 2022

Wojciech Rafał WIEWIÓROWSKI


(1) COM(2022) 122 final.

(2) COM(2022) 119 final.

(3) De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk | De digitale toekomst van Europa vormgeven (europa.eu) dat een gezamenlijke mededeling met de Hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid bevat (JOIN(2020)18).

(4) Zie hoofdstuk I. INLEIDING van de strategie, blz. 4.

(5) Gezamenlijke mededeling van de Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid aan het Europees Parlement en de Raad, met de titel “De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk”.

(6) Advies 5/2021 van de EDPS betreffende de strategie inzake cyberbeveiliging en de NIS-richtlijn 2.0.

(7) De huidige rol van het CERT-EU vloeit voort uit het Interinstitutioneel Akkoord 2018/C 12/01.

(8) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).