Speciaal verslag
05 2022

Cyberbeveiliging van EU-instellingen, -organen en -agentschappen: Paraatheidsniveau staat over het algemeen niet in verhouding tot dreigingen

Over het verslag:Het aantal tegen de EU-instellingen, -organen en -agentschappen (EU-IOA’s) gerichte cyberaanvallen neemt fors toe. Aangezien EU-IOA’s onderling nauw verweven zijn, kunnen zwakke punten bij een van de EU-IOA’s andere aan beveiligingsdreigingen blootstellen. Wij hebben onderzocht of de EU-IOA’s toereikende regelingen hebben om zich tegen cyberdreigingen te beschermen. We constateerden dat het paraatheidsniveau van EU-IOA’s over het algemeen niet in verhouding staat tot de dreigingen en dat zij sterk uiteenlopende niveaus van cyberbeveiligingsmaturiteit hebben. Wij bevelen de Commissie aan de paraatheid van EU-IOA’s te verbeteren door middel van een voorstel voor de invoering van bindende regels inzake cyberbeveiliging en een verhoging van de middelen voor het computercrisisresponsteam (CERT-EU). Ook dient de Commissie verdere synergieën tussen EU-IOA’s te bevorderen en moeten CERT-EU en het Agentschap van de Europese Unie voor cyberbeveiliging hun steun op EU-IOA’s met een minder hoog maturiteitsniveau richten.

Speciaal verslag van de ERK, uitgebracht krachtens artikel 287, lid 4, tweede alinea, VWEU.

De publicatie is beschikbaar in 24 talen en in het volgende formaat:
PDF
PDF Speciaal verslag: Cyberbeveiliging van EU-instellingen, -organen en -agentschappen

Samenvatting

I In de EU-cyberbeveiligingsverordening wordt cyberbeveiliging gedefinieerd als “de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen”. De EU-instellingen, -organen en -agentschappen (EU-IOA’s) verwerken gevoelige informatie en zijn daardoor een aantrekkelijk doelwit voor potentiële aanvallers, in het bijzonder groepen die heimelijke, uiterst geavanceerde cyberaanvallen kunnen uitvoeren voor cyberspionage- en andere doeleinden. Ondanks hun institutionele onafhankelijkheid en bestuurlijke autonomie zijn de EU-IOA’s onderling nauw verweven. Bijgevolg kunnen zwakke punten bij afzonderlijke EU-IOA’s ook andere instanties aan beveiligingsdreigingen blootstellen.

II Gezien het sterk toenemende aantal tegen EU-IOA’s gerichte cyberaanvallen was het doel van deze controle te bepalen of de EU-IOA’s als geheel toereikende regelingen hebben ingevoerd om zich tegen cyberdreigingen te beschermen. Onze conclusie is dat het bereikte niveau van cyberparaatheid in de gemeenschap van EU-IOA’s niet in verhouding staat tot de dreigingen waaraan zij is blootgesteld.

III We hebben geconstateerd dat de essentiële goede praktijken op het gebied van cyberbeveiliging, waaronder sommige essentiële controles, niet altijd worden toegepast, en dat enkele EU-IOA’s duidelijk te weinig middelen uittrekken voor cyberbeveiliging. Verder is er in sommige EU-IOA’s nog geen deugdelijke cyberbeveiligingsgovernance voorhanden: het ontbreekt vaak aan IT-beveiligingsstrategieën, of deze worden niet onderschreven door het hogere management, er is niet altijd een geformaliseerd beveiligingsbeleid en risicobeoordelingen bestrijken niet de volledige IT-omgeving. Niet alle EU-IOA’s onderwerpen hun cyberbeveiliging regelmatig aan onafhankelijke borging.

IV Cyberbeveiligingsopleidingen worden niet altijd op systematische wijze georganiseerd. Slechts iets meer dan de helft van de EU-IOA’s biedt cyberbeveiligingsopleidingen aan voor IT-personeel en -beveiligingsspecialisten. Weinig EU-IOA’s geven een verplichte cyberbeveiligingsopleiding aan managers die verantwoordelijk zijn voor IT-systemen met gevoelige informatie. Phishingoefeningen zijn weliswaar een belangrijk hulpmiddel om het personeel op te leiden en het cyberbewustzijn te vergroten, maar toch maken niet alle EU-IOA’s daar systematisch gebruik van.

V EU-IOA’s hebben structuren opgezet om samen te werken en informatie uit te wisselen op het gebied van cyberbeveiliging. Niettemin hebben we vastgesteld dat de synergiemogelijkheden niet optimaal worden benut. EU-IOA’s wisselen onderling niet systematisch informatie uit over aan cyberbeveiliging gerelateerde projecten, beveiligingsbeoordelingen en dienstverleningsovereenkomsten. Bovendien zijn de basiscommunicatiemiddelen, zoals oplossingen in de vorm van versleuteld e-mailverkeer of videoconferencing, niet volledig interoperabel. Dit kan leiden tot minder veilige informatie-uitwisseling, dubbel werk en hogere kosten.

VI Het computercrisisresponsteam voor de EU-IOA’s (CERT-EU) en het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) zijn de twee voornaamste instanties die belast zijn met het ondersteunen van EU-IOA’s op het gebied van cyberbeveiliging. Aangezien de middelen beperkt zijn of de prioriteit op andere actiegebieden ligt, hebben deze instanties de EU-IOA’s echter niet alle nodige ondersteuning kunnen verlenen, in het bijzonder met het oog op capaciteitsopbouw voor EU-IOA’s met een lager maturiteitsniveau. CERT-EU wordt zeer gewaardeerd door de EU-IOA’s, maar ziet zijn doeltreffendheid niet alleen in gevaar komen door een toenemende werklast en instabiele financiële en personele middelen, maar ook doordat sommige EU-IOA’s onvoldoende samenwerken en niet altijd tijdig informatie uitwisselen over kwetsbaarheden en significante cyberbeveiligingsincidenten die voor hen gevolgen hadden of die een weerslag op andere instanties kunnen hebben.

VII Op basis van deze conclusies bevelen we aan dat:

  • de Commissie de cyberparaatheid van EU-IOA’s verbetert door middel van een wetgevingsvoorstel voor de invoering van bindende gemeenschappelijke regels inzake cyberbeveiliging voor alle EU-IOA’s en een verhoging van de middelen voor CERT-EU;
  • de Commissie, in het kader van het Interinstitutioneel Comité voor digitale transformatie (ICDT), verdere synergieën tussen EU-IOA’s bevordert op welbepaalde gebieden;
  • CERT-EU en Enisa zich richten op EU-IOA’s met een minder hoog niveau van cyberbeveiligingsmaturiteit.

Inleiding

Wat is cyberbeveiliging?

01 In de EU-cyberbeveiligingsverordening1 wordt cyberbeveiliging gedefinieerd als “de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen”. Cyberbeveiliging steunt op informatiebeveiliging, dat wil zeggen geheimhouding, integriteit en beschikbaarheid van informatie2 in zowel materiële als elektronische vorm. Verder wordt het beschermen van netwerk- en informatiesystemen waar deze gegevens worden opgeslagen (zie figuur 1) aangeduid als informatietechnologie- of IT-beveiliging.

Figuur 1 – Cyberbeveiliging houdt verband met informatie- en IT-beveiliging

Bron: ERK.

02 Als discipline omvat cyberbeveiliging het voorkomen en opsporen van, het reageren op en het herstel na cyberincidenten. Incidenten kunnen diverse vormen aannemen, variërend van onopzettelijke bekendmaking van informatie en gerichte aanvallen om schade te berokkenen aan kritieke infrastructuur tot diefstal van identiteit en persoonsgegevens3.

03 Een cyberbeveiligingskader omvat tal van elementen, waaronder voorschriften en technische controles ter beveiliging van netwerk- en informatiesystemen, alsook passende governanceregelingen en cyberbewustzijnsprogramma’s voor het personeel.

Cyberbeveiliging van EU-instellingen, -organen en -agentschappen

04 De EU-instellingen, -organen en -agentschappen (EU-IOA’s) verwerken gevoelige informatie en zijn daardoor een aantrekkelijk doelwit voor potentiële aanvallers, in het bijzonder groepen die in staat zijn te zorgen voor heimelijke, uiterst geavanceerde aanhoudende dreigingen (advanced persistent threats, APT’s) met het oog op cyberspionage- en andere doeleinden4. Geslaagde cyberaanvallen tegen EU-IOA’s kunnen significante politieke implicaties hebben, de algemene reputatie van de EU schaden en het vertrouwen in haar instellingen ondermijnen.

05 Net als vele andere organisaties over de hele wereld zagen de EU-IOA’s zich door de COVID-19-pandemie genoodzaakt de digitalisering abrupt te versnellen en telewerken te omarmen. Dit heeft geleid tot een forse toename van het aantal potentiële toegangspunten voor aanvallers (het “aanvalsoppervlak”). Hierdoor zag elke organisatie haar grenzen uitgebreid tot op het internet aangesloten woningen en mobiele apparaten met nieuwe kwetsbaarheden waarvan misbruik kan worden gemaakt. Diensten voor toegang op afstand behoren tot de meestgebruikte routes waarlangs groepen die EU-IOA’s een gerichte APT bezorgen, aanvankelijk hun netwerken binnendringen5.

06 Het aantal cyberincidenten neemt toe. Bijzonder verontrustend is de dramatisch stijgende trend van significante incidenten in EU-IOA’s6, die van 2021 een recordjaar maakte. Significante incidenten zijn incidenten die noch repetitief noch fundamenteel zijn. Zij omvatten doorgaans het gebruik van nieuwe methoden en technologieën en het kan weken, zo niet maanden, duren om deze incidenten te onderzoeken en ervan te herstellen. Tussen 2018 en 2021 is het aantal significante incidenten meer dan vertienvoudigd7. De afgelopen twee jaar alleen al zijn 22 afzonderlijke EU-IOA’s getroffen door significante incidenten. Een recent voorbeeld is de cyberaanval op het Europees Geneesmiddelenbureau, waarbij gevoelige gegevens werden gelekt en gemanipuleerd met het doel het vertrouwen in vaccins te ondermijnen8.

07 EU-IOA’s vormen een zeer heterogene groep met onder meer instellingen, agentschappen en diverse organen. De zeven EU-instellingen zijn opgericht uit hoofde van de Verdragen. Gedecentraliseerde agentschappen en andere organen van de EU zijn opgericht bij een handeling van afgeleid recht en hebben elk een eigen rechtspersoonlijkheid. Er bestaan verschillende rechtsvormen voor agentschappen: er zijn zes uitvoerende agentschappen van de Commissie en 37 gedecentraliseerde agentschappen van de EU9. De EU-IOA’s omvatten ook bureaus van de Europese Unie, een corps diplomatique (de Europese Dienst voor extern optreden), gemeenschappelijke ondernemingen en andere organen. Alle EU-IOA’s zijn verantwoordelijk voor het definiëren van eigen cyberbeveiligingsvoorschriften en voor het uitvoeren van eigen beveiligingsmaatregelen.

08 In 2012 heeft de Commissie ter versterking van de cyberbeveiliging van EU-IOA’s het computercrisisresponsteam voor de EU-IOA’s (CERT-EU) ingesteld als permanente taskforce. CERT-EU treedt op als knooppunt voor informatie-uitwisseling over cyberbeveiliging en coördinatie van de respons op incidenten voor de EU-IOA’s, en werkt samen met andere computercalamiteitenteams (Computer Security Incident Response Teams, CSIRT’s) in de lidstaten en met gespecialiseerde IT-beveiligingsbedrijven. De organisatie en het functioneren van CERT-EU worden momenteel geregeld bij een in 2018 gesloten interinstitutionele regeling10 (IR) tussen de EU-IOA’s waaraan dit team ten dienste staat, gezamenlijk de “constituerende delen” genoemd. Momenteel zijn er 87 constituerende delen.

09 Een andere instantie die een sleutelrol speelt bij het ondersteunen van de EU-IOA’s is het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), dat zich inzet om een hoog gemeenschappelijk cyberbeveiligingsniveau te bereiken in de hele EU. Enisa is in 2004 opgericht met de taak, de betrouwbaarheid van producten, processen en diensten op het gebied van informatie- en communicatietechnologie (ICT) te verbeteren door regelingen voor cyberbeveiligingscertificering op te stellen, met de EU-IOA’s en de lidstaten samen te werken en ze bij te staan om hun paraatheid tegen cyberdreigingen te verbeteren. Enisa verleent de EU-IOA’s steun voor capaciteitsopbouw en operationele samenwerking.

10 Ondanks hun institutionele onafhankelijkheid zijn de EU-IOA’s onderling nauw verweven. Ze wisselen dagelijks informatie uit en delen gemeenschappelijke systemen en netwerken. Zwakke punten bij afzonderlijke EU-IOA’s kunnen ook andere instanties aan beveiligingsdreigingen blootstellen, want heel wat cyberaanvallers gaan in meerdere stappen te werk om in hun opzet te slagen of hun einddoel te bereiken11. Zo kan een geslaagde cyberaanval op een minder goed beveiligde EU-IOA als opstap dienen om andere instanties als doelwit te kiezen. De EU-IOA’s zijn ook verweven met openbare en particuliere organisaties in de lidstaten en kunnen deze, door onvoldoende cyberparaatheid, ook blootstellen aan cyberdreigingen.

11 Er bestaat momenteel geen juridisch kader voor informatiebeveiliging en cyberbeveiliging in de EU-IOA’s. Ze zijn niet onderworpen aan de meest uitgebreide EU-wetgeving inzake cyberbeveiliging, de NIS-richtlijn van 201612, noch aan de voorgestelde herziening daarvan, de NIS2-richtlijn13. Er is evenmin alomvattende informatie beschikbaar over hoeveel de EU-IOA’s uitgeven aan cyberbeveiliging.

12 In juli 2020 heeft de Commissie een mededeling gepubliceerd over de EU-strategie voor de veiligheidsunie14 voor de periode 2020‑2025. Een van de belangrijkste maatregelen is “dat er gemeenschappelijke regels gelden inzake informatiebeveiliging en cyberbeveiliging voor alle instellingen, organen en instanties van de EU”. Dit nieuwe kader moet de basis vormen voor krachtige en efficiënte operationele samenwerking, waarbij een sleutelrol is weggelegd voor CERT-EU. In de in december 2020 gepubliceerde EU-strategie inzake cyberbeveiliging voor het digitale tijdperk15 verplicht de Commissie zich ertoe een voorstel te doen voor een verordening inzake gezamenlijke cyberbeveiligingsregels voor alle EU-IOA’s. Voorts heeft de Commissie voorgesteld een nieuwe rechtsgrondslag voor CERT-EU in te voeren om zijn mandaat en financiering te versterken.

Reikwijdte en aanpak van de controle

13 Aangezien het aantal cyberaanvallen fors toeneemt en de zwakke punten bij een van de EU-IOA’s andere instanties aan beveiligingsdreigingen kunnen blootstellen, was het doel van deze controle te bepalen of de EU-IOA’s over het geheel genomen toereikende regelingen hebben doorgevoerd om zich tegen cyberdreigingen te beschermen. Om een antwoord te geven op deze hoofdcontrolevraag, hebben we drie subvragen gesteld:

  1. Worden er essentiële cyberbeveiligingspraktijken gehanteerd in de EU-IOA’s onderling?
  2. Werken de EU-IOA’s efficiënt samen op het gebied van cyberbeveiliging?
  3. Krijgen de EU-IOA’s adequate ondersteuning van Enisa en CERT-EU op het gebied van cyberbeveiliging?

14 De timing van de controle is afgestemd op de EU-strategie voor de veiligheidsunie. Door de huidige cyberbeveiligingsregelingen van de EU-IOA’s te beoordelen, willen we terreinen die voor verbetering vatbaar zijn in kaart brengen zodat de Commissie die in overweging kan nemen bij de opstelling van haar wetgevingsvoorstel voor bindende gemeenschappelijke regels inzake cyberbeveiliging ten behoeve van alle EU-IOA’s.

15 De controle was gericht op aan cyberbeveiliging gerelateerde ontwikkelingen en initiatieven van januari 2018 (ten tijde van de vaststelling van de interinstitutionele regeling betreffende CERT-EU) tot oktober 2021.

16 De reikwijdte van onze controle is beperkt gebleven tot cyberweerbaarheid en niet-gerubriceerde systemen. We hebben de nadruk gelegd op aspecten die verband houden met de paraatheid (activiteiten gericht op het “identificeren, beschermen, opsporen”). De activiteiten “reageren” en “herstellen” vielen buiten het bestek van onze controle. Niettemin hebben we sommige organisatorische aspecten van de respons op incidenten onderzocht. Aspecten in verband met gegevensbescherming, rechtshandhaving, cyberdefensie en cyberdiplomatie vallen verder buiten het bestek van onze controle (zie figuur 2).

Figuur 2 — Reikwijdte van de controle

Bron: ERK.

17 Onze controlebevindingen zijn gebaseerd op een uitgebreide analyse van beschikbare documentatie, aangevuld door vraaggesprekken. We hebben een zelfbeoordelingsenquête gehouden onder 65 EU-IOA’s om informatie te verzamelen over hun cyberbeveiligingsregelingen en standpunten ten aanzien van interinstitutionele samenwerking. Wij hebben een enquête gehouden onder alle EU-IOA’s die vallen onder de controlerechten van de ERK en die hun eigen IT-infrastructuur beheren, alsook in onze eigen instelling. Onze enquête betrof onder meer instellingen, gedecentraliseerde agentschappen, gemeenschappelijke ondernemingen en organen. Ook hebben we civiele missies geënquêteerd; dit zijn tijdelijke autonome entiteiten die door de EU-begroting worden gefinancierd en die vanuit IT-oogpunt onafhankelijk zijn. Bijlage I bevat de volledige lijst van geënquêteerde EU-IOA’s. De Europese Ombudsman en de Europese Toezichthouder voor gegevensbescherming werden niet opgenomen in deze controle.

18 De enquête had een responspercentage van 100 % en diende als uitgangspunt voor nadere analyse. Verder hebben we zeven EU-IOA’s geselecteerd voor een steekproef die representatief is voor de heterogeniteit van EU-IOA’s. We hebben follow-up gegeven aan hun antwoorden door vraaggesprekken te houden en documentatie op te vragen. In de selectiecriteria hebben we rekening gehouden met de rechtsgrondslag, de omvang (qua personeel en begroting) en sector. De steekproef van EU-IOA’s bestond uit de Europese Commissie, het Europees Parlement, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), de Europese Bankautoriteit (EBA), het Europees Agentschap voor maritieme veiligheid (EMSA), de adviesmissie van de Europese Unie in Oekraïne (EUAM Ukraine), en de Gemeenschappelijke Onderneming voor de uitvoering van het gezamenlijk technologie-initiatief inzake innovatieve geneesmiddelen (GO IMI).

19 We hebben ook videovergaderingen gehouden met CERT-EU, het ICT-adviescomité (ICTAC) van het Netwerk van agentschappen van de Europese Unie, het Interinstitutioneel Comité voor digitale transformatie (ICDT) en andere relevante belanghebbenden.

Opmerkingen

De EU-IOA’s hebben sterk uiteenlopende niveaus van cyberbeveiligingsmaturiteit en volgen niet altijd goede praktijken

20 In deze paragraaf onderzoeken we de individuele regelingen en cyberbeveiligingskaders van de EU-IOA’s. We hebben beoordeeld of de EU-IOA’s cyberbeveiliging op een consistente en adequate manier aanpakken vanuit het oogpunt van IT-beveiligingsgovernance, risicobeheersing, toewijzing van middelen, bewustmakingsopleiding, controles en onafhankelijke borging.

IT-beveiligingsgovernance in EU-IOA’s is vaak onvoldoende ontwikkeld en risicobeoordelingen zijn niet alomvattend

Talloze EU-IOA’s vertonen lacunes in IT-beveiligingsgovernance

21 Goed bestuur (“good governance”) is van cruciaal belang om een doeltreffend kader te scheppen ter beveiliging van informatie en IT-systemen, want hierdoor krijgen de doelstellingen van de organisatie vorm en wordt een koers uitgezet door prioriteiten te stellen en beslissingen te nemen. Volgens de Information Systems Audit and Control Association (ISACA)16 bestaat een kader voor IT-beveiligingsgovernance doorgaans uit diverse elementen:

  • een alomvattende beveiligingsstrategie die intrinsiek verbonden is met bedrijfsdoelstellingen;
  • bindende beveiligingsbeleidsregels die alle aspecten bestrijken van de strategie, controles en regulering;
  • een volledige reeks normen waarin voor elk beleid duidelijk wordt gemaakt welke operationele stappen nodig zijn om dit na te leven;
  • geïnstitutionaliseerde toezichtprocessen om de naleving te waarborgen en feedback over doeltreffendheid te geven;
  • een doeltreffende organisatiestructuur die vrij is van belangenconflicten.

22 In veel EU-IOA’s hebben we lacunes in IT-beveiligingsgovernance vastgesteld. Slechts 58 % van de EU-IOA’s (38 van de 65) heeft een IT-beveiligingsstrategie die, of op zijn minst een IT-beveiligingsplan dat door de raad van bestuur/het hogere management is goedgekeurd. Uit de opsplitsing per type EU-IOA komt naar voren dat dit percentage het laagst ligt bij civiele missies en gedecentraliseerde agentschappen (die samen 71 % van de geënquêteerde EU-IOA’s uitmaken) (zie tabel 1). Als er geen IT-beveiligingsstrategie of -plan door het hogere management is goedgekeurd, ontstaat het risico dat leidinggevenden zich niet bewust zijn van, of onvoldoende prioriteit verlenen aan IT-beveiligingskwesties.

Tabel 1 — Percentage EU-IOA’s met door het hogere management goedgekeurde IT-beveiligingsstrategieën of -plannen

Opsplitsing naar personeelsbezetting

< 100 personeelsleden
(22 EU-IOA’s)
100 tot 249 personeels-leden
(17 EU-IOA’s)
250 tot 1 000 personeels-leden
(16 EU-IOA’s)
> 1 000 personeels-leden
(10 EU-IOA’s)
45 % 53 % 69 % 80 %

Opsplitsing per type EU-IOA

Gedecentraliseerde agentschappen
(35 EU-IOA’s)
Civiele missies
(11 EU-IOA’s)
Organen
(4 EU-IOA’s)
Instellingen
(6 EU-IOA’s)
Gemeenschappelijke ondernemingen
(9 EU-IOA’s)
45 % 56 % 75 % 83 % 89 %

Bron: Enquête van de ERK.

23 We hebben de IT-beveiligingsstrategieën/-plannen onderzocht die de zeven EU-IOA’s uit de steekproef hebben overgelegd (zie paragraaf 18). Wij hebben vastgesteld dat de strategieën van de EU-IOA’s redelijk goed overeenkwamen met hun bedrijfsdoelstellingen. De IT-beveiligingsstrategie van de Commissie bestrijkt bijvoorbeeld de IT-beveiligingsdimensie in de digitale strategie van de Europese Commissie17 en is bedoeld ter ondersteuning van haar stappenplan en doelstellingen. Slechts drie EU-IOA’s uit onze steekproef hadden echter in hun IT-beveiligingsstrategieën/-plannen concrete doelstellingen vastgesteld met een termijn om die te verwezenlijken.

24 Het beveiligingsbeleid voorzag in de regels en procedures die de gebruikers of beheerders van informatie en IT-middelen moeten naleven. Het doel hiervan is cyberbeveiligingsrisico’s te beperken en informatie te verstrekken over hoe te handelen in geval van incidenten. We hebben vastgesteld dat 78 % van de EU-IOA’s over een formeel informatiebeveiligingsbeleid beschikt, maar dat slechts 60 % een formeel IT-beveiligingsbeleid heeft (zie de definities van informatie- en IT-beveiliging in figuur 1). Verder bleken vier van de zeven EU-IOA’s uit onze steekproef een beveiligingsbeleid te hebben dat overeenstemde met hun IT-beveiligingsstrategieën. In drie van die vier EU-IOA’s wordt het IT-beveiligingsbeleid echter slechts ten dele gecompleteerd door uitvoerige en actuele beveiligingsnormen die aangeven welke operationele stappen nodig zijn om het beleid ten uitvoer te leggen. Het gebrek aan formele beveiligingsnormen doet het risico toenemen dat IT-beveiligingskwesties binnen een en dezelfde EU-IOA niet op consistente en adequate wijze worden aangepakt. Dit maakt het bovendien moeilijker om na te gaan in welke mate de organisatie zich aan haar eigen IT-beveiligingsbeleid houdt. Van de zeven EU-IOA’s uit de steekproef beschikt alleen de Commissie over gestructureerde procedures om toe te zien op de naleving van haar IT-beveiligingsbeleid en -normen. Niettemin maakt slechts een beperkt aantal directoraten-generaal (DG’s) hiervan gebruik (zie kader 1).

Kader 1

Naleving van IT-beveiligingsvereisten bij de Commissie

Overeenkomstig de gedecentraliseerde IT-governance van de Commissie is het hoofd van elk DG er verantwoordelijk en aansprakelijk voor dat zijn systemen voldoen aan de IT-beveiligingsnormen. Het directoraat-generaal Informatica (DG DIGIT) en het directoraat-generaal Personele Middelen en Veiligheid (DG HR) zien toe op, en bevorderen de uitvoering van praktijken inzake nalevingsbeheer. DG DIGIT heeft een tool geïnstalleerd (“GRC” genoemd) waarmee DG’s door controles de mate van naleving van het IT-beveiligingsbeleid kunnen meten en er verslag over kunnen uitbrengen.

De 580 controles zijn verdeeld in drie groepen: algemene controles (voornamelijk wat governance betreft); DG-specifieke controles en systeemspecifieke controles. De tool is operationeel, maar wordt tot op heden door slechts vijf DG’s gebruikt. DG DIGIT heeft bijgevolg geen totaalbeeld van de naleving bij de Commissie als geheel. De Raad voor informatietechnologie en cyberbeveiliging (ITCB) van de Commissie kan DG DIGIT verzoeken de naleving aan een specifieke norm te toetsen (bijv. meervoudige authenticatie in 2021), en kan niet-bindende adviezen en aanbevelingen uitbrengen of, wat kritieke risico’s betreft, ook formele voorschriften vaststellen.

25 Ook de aanstelling van een centrale informatiebeveiligingsfunctionaris (Chief Information Security Officer, CISO) is van groot belang voor een goede cyberbeveiligingsgovernance. Ook al is dit niet uitdrukkelijk voorgeschreven in de reeks ISO 27000-normen18, het benoemen van een CISO of iemand met een gelijkwaardige functie is uitgegroeid tot een wijdverbreide praktijk in organisaties en maakt deel uit van de ISACA-richtsnoeren. De CISO draagt doorgaans de algemene verantwoordelijkheid voor de informatie en IT-beveiligingsprogramma’s van de organisatie. Om belangenconflicten uit te sluiten, moet de CISO een zekere mate van onafhankelijkheid genieten ten aanzien van de IT-functie/-afdeling19.

26 Uit onze enquête blijkt dat er in 60 % van de EU-IOA’s geen onafhankelijke CISO of persoon met een gelijkwaardige functie is aangesteld. En zelfs wanneer CISO’s (of personen met een gelijkwaardige functie) zijn aangesteld, vervullen zij rollen die tussen de EU-IOA’s onderling sterk uiteenlopen en taken die verschillend worden opgevat. Vooral in kleine en middelgrote EU-IOA’s worden CISO’s vaak gelijkgesteld met rollen die operationeler en niet functioneel onafhankelijk van de IT-afdeling zijn. Dit kan het vermogen van de CISO’s beperken om autonoom eigen beveiligingsprioriteiten toe te passen. Enisa werkt momenteel aan een EU-kader voor cyberbeveiligingsvaardigheden, dat onder meer tot doel heeft te komen tot een gemeenschappelijk inzicht in de rollen, competenties en vaardigheden.

IT-beveiligingsrisicobeoordelingen van EU-IOA’s bestrijken zelden hun volledige IT-omgeving

27 Alle internationale IT-beveiligingsnormen onderstrepen het belang van het vaststellen van een geschikte methode voor het beoordelen en hanteren van beveiligingsrisico’s voor IT-systemen en de daarin opgenomen gegevens. Er moeten periodiek risicobeoordelingen worden uitgevoerd om veranderingen aan te pakken in de vereisten op het gebied van informatiebeveiliging en de risico’s waarmee een organisatie te maken krijgt20. Aansluitend op de beoordelingen moet een risicobeperkingsplan (of IT-beveiligingsplan) worden uitgewerkt.

28 De meeste geënquêteerde EU-IOA’s (58 van de 65) volgen naar eigen zeggen een kader of methode om hun IT-systemen aan risicobeoordelingen te onderwerpen. Er wordt echter geen gemeenschappelijke methode gehanteerd voor alle EU-IOA’s. Ten minste 26 EU-IOA’s maken geheel of gedeeltelijk gebruik van de door de Commissie ontwikkelde methoden; zo gebruikte 31 % van de EU-IOA’s de in 2018 ontwikkelde IT Security Risk Management Methodology (ITSRM2). De andere EU-IOA’s passen methoden toe die gebaseerd zijn op welbekende industrienormen (zoals ISO 27001, ISO 27005, het cyberbeveiligingskader van het National Institute of Standards and Technology (NIST-CSF) of controles van het Center for Internet Security (CIS)), of maken gebruik van andere interne methoden.

29 Slechts twee van de zeven EU-IOA’s uit de steekproef voeren alomvattende risicobeoordelingen uit die hun volledige IT-omgeving (dat wil zeggen alle IT-systemen) bestrijken. De meeste EU-IOA’s onderwerpen alleen hun belangrijkste IT-systemen aan afzonderlijke risicobeoordelingen. We hebben in diverse gevallen vastgesteld dat voorafgaand aan de uitrol van nieuwe systemen risicobeoordelingen werden uitgevoerd. Wij hebben echter geen bewijs gevonden dat in het vervolgtraject risicobeoordelingen plaatsvonden, bijvoorbeeld aansluitend op veranderingen in hun systemen/infrastructuur.

EU-IOA’s volgen geen consistente aanpak van cyberbeveiliging en beschikken niet altijd over essentiële controles

Sterke verschillen in aan cyberbeveiliging toegewezen middelen tussen de EU-IOA’s

30 In het kader van onze enquête hebben we EU-IOA’s gevraagd gegevens over de totale IT-uitgaven in 2020 te verstrekken samen met een raming van de uitgaven aan cyberbeveiliging. Uit onze gegevens komt naar voren dat er tussen de afzonderlijke EU-IOA’s grote procentuele verschillen zijn in de IT-uitgaven voor cyberbeveiliging. Dit is zelfs het geval voor EU-IOA’s die qua personeelsbezetting van vergelijkbare omvang zijn. Uit figuur 3 blijkt dat vaak de verschillen met name het grootst zijn bij EU-IOA’s die minder personeel hebben.

Figuur 3 – Uitgaven voor cyberbeveiliging als percentage van de totale IT-uitgaven (EU-IOA’s gegroepeerd naar aantal personeelsleden)

NB: Vier EU-IOA’s hebben geen cijfers verstrekt over uitgaven voor cyberbeveiliging.

Bron: Enquête van de ERK.

31 Een optimaal niveau van uitgaven aan cyberbeveiliging laat zich moeilijk in absolute getallen uitdrukken. Dit hangt af van talloze factoren, zoals het aanvalsoppervlak van de organisatie, de gevoeligheid van de door haar verwerkte gegevens, haar risicoprofiel en risicobereidheid alsook sectorale vereisten in wet- en regelgeving. Onze gegevens tonen echter goed aan dat de verschillen aanzienlijk zijn en dat de redenen hiervoor niet altijd voor de hand liggen. Sommige EU-IOA’s besteden aanzienlijk minder aan cyberbeveiliging dan andere van vergelijkbare omvang, wat kan wijzen op onderbesteding als zij aan vergelijkbare bedreigingen en risico’s worden blootgesteld.

32 Gemeten naar personeelsbezetting en IT-uitgaven zijn de meeste EU-IOA’s klein tot middelgroot van omvang; twee derde van de EU-IOA’s heeft minder dan 350 personeelsleden. De kleinste EU-IOA telt slechts 15 personeelsleden. Cyberbeveiligingsbeheer houdt niet alleen meer uitdagingen in, maar vergt ook de inzet van meer middelen bij kleinere EU-IOA’s. Ze kunnen meestal niet van schaalvoordelen profiteren en hebben onvoldoende deskundigheid in huis. Volgens onze enquête en vraaggesprekken beschikken de grote instellingen, zoals de Commissie en het Europees Parlement, over deskundigenteams die zich voltijds bezighouden met cyberbeveiligingsbeheer. De kleinste EU-IOA’s daarentegen, waar de personele en financiële middelen bijzonder beperkt zijn, hebben helemaal geen deskundigen. Cyberbeveiliging wordt daar deeltijds beheerd door personeelsleden met een IT-achtergrond. Gezien de grote onderlinge verwevenheid tussen de EU-IOA’s wordt hierdoor een hoger risico gelopen (zie ook paragraaf 10).

33 In het kader van onze enquête hebben we EU-IOA’s gevraagd welke belangrijke uitdagingen ze moesten aanpakken om doeltreffende cyberbeveiliging door te voeren in hun organisatie (zie figuur 4). De belangrijkste uitdaging is dat cyberbeveiligingsdeskundigen bijzonder schaars zijn: heel wat EU-IOA’s ondervinden moeilijkheden om ze aan te trekken, als gevolg van zowel de concurrentie in de particuliere sector als die van andere EU-IOA’s. Terugkerende problemen zijn onder meer de tijdrovende aanwervingsprocedures, niet-concurrerende contractuele voorwaarden en het gebrek aan aantrekkelijke loopbaanvooruitzichten. Het tekort aan gespecialiseerd personeel vormt een significant risico voor de doeltreffende aanpak van cyberbeveiliging.

Figuur 4 – Uitdagingen bij de uitvoering van een doeltreffend cyberbeveiligingsbeleid in EU-IOA’s (meerdere factoren selecteerbaar)

Bron: Enquête van de ERK.

De meeste EU-IOA’s bieden een of andere opleiding in cyberbeveiligingsbewustzijn, zij het niet systematisch of voldoende doelgericht

34 Profiteren van kwetsbaarheden in systemen en apparaten is niet de enige manier waarop potentiële aanvallers schade aanrichten. Ze kunnen ook gebruikers ertoe aanzetten gevoelige informatie bekend te maken of malafide software (malware) te downloaden, bijvoorbeeld door middel van phishing of social engineering. Het personeel is de eerste verdedigingslinie voor elke organisatie. Cyberbewustzijn en daarmee samenhangende opleidingsprogramma’s zijn derhalve van cruciaal belang voor een doeltreffend cyberbeveiligingskader.

35 De overgrote meerderheid van geënquêteerde EU-IOA’s (95 %) geeft het voltallige personeel een vorm van algemene cyberbewustzijnsopleiding; drie EU-IOA’s doen dit echter niet. Slechts 41 % van de EU-IOA’s organiseert specifieke opleidings- of bewustzijnscursussen voor managers, en slechts 29 % geeft een verplichte opleiding in cyberbeveiliging aan managers die verantwoordelijk zijn voor IT-systemen met gevoelige informatie. Bewustwording en betrokkenheid van leidinggevenden zijn van essentieel belang voor de doeltreffendheid van cyberbeveiligingsgovernance. Van de elf EU-IOA’s waarvoor het ontbreken van managementondersteuning naar eigen zeggen een uitdaging vormde voor een doeltreffende cyberbeveiliging, waren er slechts drie die bewustmakingsopleidingen voor hun leidinggevenden organiseerden. De EU-IOA’s bieden aan slechts 58 %, respectievelijk 51 % van het IT-personeel en IT-beveiligingsspecialisten cyberbeveiligingsopleidingen aan.

36 Niet alle EU-IOA’s hebben mechanismen om de deelname van personeel aan opleidingen in cyberbeveiliging te monitoren alsmede de daardoor teweeggebrachte verandering in hun bewustzijn en gedrag. Met name in kleinere organisaties kunnen cyberbewustzijnscursussen plaatsvinden in het kader van informele personeelsvergaderingen. Organisaties meten het bewustzijn onder personeel voornamelijk door het gedrag van hun personeelsleden periodiek te toetsen, onder meer via maturiteitsenquêtes of phishingoefeningen. In de afgelopen vijf jaar heeft 55 % van de EU-IOA’s een of meer gesimuleerde phishingcampagnes (of soortgelijke oefeningen) georganiseerd. Phishing is een van de belangrijkste dreigingen waarmee het personeel van overheidsdiensten te maken krijgt21. Bijgevolg zijn phishingoefeningen een belangrijk instrument om personeel op te leiden en bewuster te maken van cyberbeveiligingsvraagstukken. Volgens ons zijn de op cyberbewustzijn gerichte acties van de Commissie aan te merken als goede praktijk en kunnen ook andere belanghebbende EU-IOA’s er hun voordeel mee doen (zie kader 2).

Kader 2

Cyberbewustzijnsopleiding bij de Commissie

Bij de Commissie heeft een specifiek “Cyber Aware”-team in DG DIGIT de leiding over het programma om het institutionele cyberbeveiligingsbewustzijn te vergroten. Dit programma staat onder gezamenlijk beheer van DG HR, het secretariaat-generaal, het directoraat-generaal Communicatienetwerken, Inhoud en Technologie (DG CNECT) en CERT-EU. Dit is een kwalitatief hoogstaande opleiding die in veel gevallen een interinstitutionele strekking heeft. Opleidingscursussen worden aangekondigd via het Learning Bulletin, dat ongeveer 65 000 EU‑personeelsleden bereikt. In de afgelopen vijf jaar heeft de Commissie via het “Cyber Aware”-platform 15 phishingoefeningen gehouden. Onlangs vond de eerste oefening in de hele Commissie plaats.

Essentiële controles worden niet altijd toegepast of niet geformaliseerd in normen

37 We hebben EU-IOA’s gevraagd de toepassing van een selectie van essentiële controles te onderwerpen aan een zelfbeoordeling22. Wij hebben een reeks beste praktijken geselecteerd die zelfs voor kleinere organisaties redelijkerwijs toepasbaar zijn23. De resultaten van de steekproef worden getoond in figuur 5. De meeste geënquêteerde EU-IOA’s hebben de geselecteerde essentiële controles aangenomen. De controles blijken op sommige gebieden echter hiaten te vertonen of beperkt te zijn bij ten minste 20 % van de EU-IOA’s.

Figuur 5 – Toepassing van essentiële controles in EU-IOA’s (resultaten zelfbeoordeling)

Bron: Enquête van de ERK.

38 We hebben de zeven EU-IOA’s uit de steekproef gevraagd bewijsstukken met bijbehorende normen/beleidsdocumenten te verstrekken voor elke controle die ze naar eigen zeggen hebben uitgevoerd. Voor 62 % van de controles hebben we deze documenten ontvangen. De vraaggesprekken hebben aan het licht gebracht dat er in verschillende gevallen wel technische controles voorhanden waren, maar dat die niet in — geactualiseerde — normen of beleidsdocumenten waren geformaliseerd. Hierdoor wordt het risico groter dat IT-beveiligingsvraagstukken niet op consistente wijze worden aangepakt binnen dezelfde EU-IOA (zie ook paragraaf 24).

Diverse EU-IOA’s onderwerpen hun cyberbeveiligingsregelingen niet regelmatig aan onafhankelijke borging

39 Volgens ISACA24 is interne audit een van de drie essentiële verdedigingslinies van een organisatie, naast beheer en risicobeheersing. Interne audits dragen bij tot de verbetering van informatie- en IT-beveiligingsgovernance. We hebben onderzocht hoe vaak EU-IOA’s zorgen voor onafhankelijke borging van hun IT-beveiligingskader door interne of externe audits uit te voeren en door hun cyberdefensie proactief te toetsen.

40 De dienst Interne Audit (Internal Audit Service, IAS) van de Commissie is onder meer belast met het uitvoeren van IT-audits bij de Commissie, gedecentraliseerde agentschappen, gemeenschappelijke ondernemingen en de EDEO. Het mandaat van deze dienst bestrijkt 46 (70 %) van de 65 EU-IOA’s die we hebben geënquêteerd. In de afgelopen vijf jaar heeft de IAS IT-beveiligingsaudits uitgevoerd bij 6 verschillende EU-IOA’s. Voorts is DG HR bevoegd om IT-beveiligingsinspecties uit te voeren die gericht zijn op technische informatiebeveiligingsaspecten25. Van de overige EU-IOA’s hebben er zeven naar eigen zeggen een interne auditfunctie die zich bezighoudt met IT-aspecten. Voor twaalf EU-IOA’s volstonden de antwoorden op onze enquête echter niet om uit te maken of zij over een dergelijke interne auditcapaciteit beschikken.

41 Onafhankelijke borging kan ook worden bewerkstelligd door externe IT-beveiligingsaudits te laten uitvoeren door onafhankelijke entiteiten. Ondanks het snel veranderende cyberlandschap is er in 34 % van de EU-IOA’s tussen begin 2015 en het eerste kwartaal van 2021 geen enkele interne of externe IT-beveiligingsaudit uitgevoerd. Splitsen we dit cijfer uit per soort EU-IOA, dan wordt duidelijk dat er sinds 2015 geen enkele interne of externe IT-beveiligingsaudit is uitgevoerd in 75 % van de EU-organen, 66 % van de gemeenschappelijke ondernemingen en 45 % van de civiele missies.

42 Afgezien van interne en externe audits kunnen organisaties hun IT-beveiligingskader ook borgen door de cyberdefensie proactief te toetsen om kwetsbaarheden aan het licht te brengen. Dat is onder meer mogelijk via penetratietests (ook wel “ethisch hacken” genoemd), waarbij geautoriseerde cyberaanvallen op afzonderlijke computersystemen worden gesimuleerd. Uit de antwoorden op de enquêtevragen komt naar voren dat 69 % van de EU-IOA’s in de afgelopen vijf jaar ten minste één penetratietest heeft uitgevoerd. In 45 % van de gevallen werden de penetratietests uitgevoerd door CERT-EU.

43 Red-teamoefeningen zijn een andere manier om de cyberdefensie te testen door aanvallen te simuleren met gebruikmaking van technieken die recentelijk bij echte aanvallen zijn toegepast. Dergelijke oefeningen zijn complexer en gaan verder dan penetratietests omdat meerdere systemen hierbij betrokken zijn en er diverse aanvalsroutes worden gebruikt. EU-IOA’s voeren dergelijke oefeningen minder vaak uit: 46 % van de EU-IOA’s heeft naar eigen zeggen in de afgelopen vijf jaar ten minste één red-teamoefening gehouden. CERT-EU heeft 75 % van die oefeningen uitgevoerd. Red-teamoefeningen vergen heel wat voorbereiding en nemen veel tijd in beslag. CERT-EU kan om capaciteitsredenen momenteel ten hoogste vijf tot zes dergelijke oefeningen per jaar uitvoeren.

44 Met uitzondering van twee recent opgerichte EU-IOA’s hebben 16 (25 %) van de geënquêteerde EU-IOA’s in de afgelopen vijf jaar geen penetratietests of red-teamoefeningen gehouden. Globaal genomen kennen zeven EU-IOA’s (10 %) geen enkele vorm van onafhankelijke borging van hun IT-beveiligingsregelingen; het gaat daarbij om één gemeenschappelijke onderneming, één gedecentraliseerd agentschap en vijf civiele missies.

EU-IOA’s hebben samenwerkingsmechanismen ingevoerd, maar er zijn tekortkomingen

45 In deze paragraaf presenteren we de actoren en comités die zijn ingesteld ter bevordering van de samenwerking tussen EU-IOA’s op het gebied van cyberbeveiliging. Verder bekijken we ook interinstitutionele governance- en coördinatieregelingen. We hebben meer in het bijzonder aandacht besteed aan twee interinstitutionele actoren, Enisa en CERT-EU, en aan twee interinstitutionele comités, het Interinstitutioneel Comité voor digitale transformatie (ICDT), met name de subgroep Cyberbeveiliging (CSSG), en het Information and Communication Technologies Advisory Committee (ICTAC). Ook hebben we beoordeeld in hoeverre dit synergieën heeft opgeleverd ter verbetering van de cyberbeveiligingsparaatheid van EU-IOA’s.

EU-IOA’s beschikken over een geformaliseerde structuur om hun activiteiten te coördineren, zij het met een aantal governancekwesties

46 Het ICDT en het ICTAC zijn de twee voornaamste comités die zich inzetten om de samenwerking tussen EU-IOA’s op IT-gebied te bevorderen. Het ICDT is samengesteld uit de IT-managers van de EU-instellingen en -organen, en fungeert als forum ter bevordering van informatie-uitwisseling en samenwerking. De subgroep Cyberbeveiliging (CSSG) van het ICDT brengt verslag uit aan het ICDT en kan aanbevelingen doen met het oog op de besluitvorming over specifieke kwesties. Het ICTAC is een subgroep van het Netwerk van EU-agentschappen (EUAN) dat door de hoofden van de EU-agentschappen is opgericht als informeel platform dat gericht is op de samenwerking tussen agentschappen en gemeenschappelijke ondernemingen. Het ICDT en het ICTAC hebben elk duidelijk afgebakende, complementaire taken: het ICTAC houdt zich bezig met gedecentraliseerde agentschappen en gemeenschappelijke ondernemingen, het ICDT met instellingen en organen. Het ICDT en het ICTAC zijn in wezen informele adviesgroepen en -fora voor de uitwisseling van informatie en beste praktijken. Meer informatie over deze interinstitutionele comités is te vinden in ‎bijlage II.

EU-IOA’s zijn niet altijd naar behoren vertegenwoordigd in relevante fora

47 De vertegenwoordigingsstructuren zijn weliswaar duidelijk, maar toch vinden niet alle EU-IOA’s dat ze voldoende vertegenwoordigd zijn. We hebben de EU-IOA’s in onze enquête gevraagd naar hun standpunt over de uitspraak dat er in de relevante interinstitutionele fora voldoende rekening wordt gehouden met hun behoeften en dat ze naar behoren vertegenwoordigd zijn in de besluitvormende organen; 42 % van de EU-IOA’s geeft aan het daar niet mee eens te zijn. Sommige van de kleinste EU-IOA’s zijn van mening dat ze onvoldoende middelen hebben om deel te nemen aan interinstitutionele fora.

48 Het CERT-EU-stuurcomité is het voornaamste besluitvormende orgaan, maar vertegenwoordigt ook niet alle constituerende delen. CERT-EU verleent diensten aan 87 EU-IOA’s en 3 niet-EU-IOA’s. Het CERT-EU-stuurcomité heeft alleen vertegenwoordigers van de elf ondertekenaars van de interinstitutionele regeling (de zeven EU-instellingen plus de EDEO, het Europees Economisch en Sociaal Comité, het Comité van de Regio’s en de Europese Investeringsbank), alsook een vertegenwoordiger van Enisa; elk van hen heeft één stem26.

49 De constituerende delen van CERT-EU bestaan voor meer dan de helft uit gedecentraliseerde agentschappen en gemeenschappelijke ondernemingen van de EU, samen goed voor ongeveer 12 000 personeelsleden. Enisa vertegenwoordigt formeel hun belangen binnen het CERT-EU-stuurcomité. Dit vertegenwoordigingsmandaat is echter beperkt, aangezien Enisa niet rechtstreeks door de agentschappen en gemeenschappelijke ondernemingen van de EU is aangesteld of verkozen. In de praktijk worden de standpunten van de gedecentraliseerde agentschappen en gemeenschappelijke ondernemingen op de vergaderingen van het stuurcomité kenbaar gemaakt door een vertegenwoordiger van het ICTAC, die aan deze bijeenkomsten mag deelnemen om Enisa te assisteren bij zijn vertegenwoordigende rol ten behoeve van de agentschappen. De vertegenwoordiger van het ICTAC vertolkt de standpunten van 48 EU-IOA’s en behartigt hun belangen, maar heeft momenteel geen zitting noch stemrecht in het stuurcomité. In april 2021 heeft het ICTAC de voorzitter van het CERT-EU-stuurcomité formeel verzocht om het recht zijn stem uit te brengen in het stuurcomité. Bij het opstellen van dit verslag was dit verzoek nog niet ingewilligd. Een overzicht van de vertegenwoordiging van de EU-IOA’s in besluitvormende organen en comités is te vinden in figuur 6.

Figuur 6 – Overzicht van cyberbeveiligingsgovernance en vertegenwoordiging in besluitvormende organen en comités

Bron: ERK.

50 De interinstitutionele cyberbeveiligingsgovernance bij de EU-IOA’s is versnipperd. Geen enkele instantie heeft een compleet beeld van de cyberbeveiligingsmaturiteit van de EU-IOA’s, of de bevoegdheid om een leidende rol op zich te nemen of om bindende gemeenschappelijke regels te handhaven. Zowel Enisa als CERT-EU kan de EU-IOA’s slechts “ondersteunen” en “assisteren”. De relevante comités hebben geen beslissingsbevoegdheid en kunnen slechts aanbevelingen formuleren ten behoeve van de EU-IOA’s. Bovendien is het voor een vijfde van de geënquêteerde EU-IOA’s niet duidelijk waar ze terechtkunnen voor een specifieke dienst, tool of oplossing.

Er bestaan memoranda van overeenstemming tussen de belangrijkste actoren, maar die hebben tot dusver nog geen concrete resultaten opgeleverd

51 In mei 2018 hebben Enisa, CERT-EU, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) bij Europol en het Europees Defensieagentschap (EDA) een memorandum van overeenstemming ondertekend. Vijf samenwerkingsgebieden staan daarin centraal: informatie-uitwisseling; onderwijs en opleiding; cyberoefeningen; technische samenwerking; strategische en bestuurlijke aangelegenheden. Dit memorandum voorziet in een gemeenschappelijk werkprogramma en kan bijgevolg dubbel werk helpen voorkomen. Niettemin hebben we geen bewijsmateriaal gevonden waaruit blijkt dat dit memorandum concrete resultaten en gezamenlijke acties heeft opgeleverd.

52 De in juni 2019 van kracht geworden cyberbeveiligingsverordening voorziet in de ondertekening van een nieuwe, specifieke samenwerkingsregeling tussen CERT-EU en Enisa. Opmerkelijk is dat het meer dan anderhalf jaar heeft geduurd voordat dit memorandum definitief werd ondertekend in februari 2021. Met dit memorandum wordt beoogd een gestructureerde samenwerking in te stellen tussen CERT-EU en Enisa. Het memorandum brengt de samenwerkingsgebieden in kaart (capaciteitsopbouw, operationele samenwerking, kennis en informatie), en schetst ruwweg de taakverdeling tussen beide instanties: CERT-EU neemt het initiatief om de EU-IOA’s bij te staan, terwijl Enisa daaraan een bijdrage levert. De praktische regelingen worden niet in het memorandum vastgesteld, maar in een jaarlijks samenwerkingsplan nader uitgewerkt. Het eerste jaarlijkse samenwerkingsplan voor 2021 werd in juli 2021 goedgekeurd door de raad van bestuur van Enisa, en in september 2021 door het CERT-EU-stuurcomité. Bijgevolg is het nog te vroeg om binnen het bestek van deze controle te bepalen of dit plan tastbare resultaten heeft opgeleverd.

53 Er bestaat een risico op overlappingen en doublures, aangezien de in de paragrafen 51 en 52 genoemde memoranda van overeenstemming betrekking hebben op gemeenschappelijke doelstellingen en samenwerkingsgebieden, zoals opleiding, oefeningen of informatie-uitwisseling.

Potentiële synergievoordelen door samenwerking worden nog niet optimaal benut

Er zijn positieve stappen gezet om synergieën tot stand te brengen

54 De werkprogramma’s van de comités van het ICTAC en van de subgroep Cyberbeveiliging (CSSG) van het ICDT brengen relevante thema's in kaart waarvoor efficiëntiewinsten te behalen zijn door samen te werken. Hier volgen enkele praktijkvoorbeelden van initiatieven waardoor EU-IOA’s hebben kunnen profiteren van synergieën:

  • interinstitutionele raamovereenkomsten;
  • een gemeenschappelijk Disaster Recovery Center, sinds 2019 ondergebracht bij het Bureau voor intellectuele eigendom van de Europese Unie (EUIPO) voor de gedecentraliseerde agentschappen, goed voor een kostenbesparing van ten minste 20 % vergeleken met de marktprijzen (negen agentschappen hebben deze oplossing voor herstel na rampen gekozen);
  • overeenkomsten tussen zes gemeenschappelijke ondernemingen in hetzelfde gebouw om gemeenschappelijke infrastructuur en een gemeenschappelijk IT-beveiligingskader te delen (sinds 2014).

55 Een ander belangrijk voorbeeld is “GovSec”, een systeem dat EU-IOA’s helpt bij het uitvoeren van risicobeoordelingen om cloudoplossingen in te voeren. Volgens onze enquête maakt 75 % van de EU-IOA’s al gebruik van enkele publieke cloudplatforms. Verschillende EU-IOA’s die dat niet doen, zijn ook niet van plan naar de cloud te migreren. De Commissie volgt sinds 2019 de “cloud first”-benadering, gericht op het aanbieden van een pakket beveiligde hybride clouddiensten27. De Commissie fungeert ook als cloudbroker voor alle EU-IOA’s in het kader van de “Cloud II”-raamovereenkomst. De beheersing van aan beveiliging en gegevensbescherming gerelateerde risico’s op cloudplatforms vergt nieuwe vaardigheden en een andere aanpak dan in een traditionele IT-infrastructuur “ter plaatse”. Een doeltreffende risicobeheersing op het gebied van informatiebeveiliging in de cloud is een uitdaging waarmee alle EU-IOA’s worden geconfronteerd. GovSec is een voorbeeld van een oplossing die tegemoet kan komen aan de behoeften van veel, zo niet alle EU-IOA’s.

Nog steeds geen optimale samenwerking en uitwisseling van praktijken tussen EU-IOA’s

56 Het bestaan van interinstitutionele comités leidt niet automatisch tot synergieën, en EU-IOA’s delen niet altijd beste praktijken, deskundigheid, methoden en ervaringslessen. Bovendien is het aan elke EU-IOA om te beslissen over zijn mate van betrokkenheid bij de werkzaamheden van de CSSG van het ICDT. Leden van de subgroep Cyberbeveiliging (CSSG) van het ICDT kunnen, zelfs wanneer ze vergaderingen bijwonen, hieraan slechts bijdragen voor zover hun reguliere taken bij de EU-IOA’s dat toelaten. Hierdoor is er minder snel vooruitgang geboekt bij het toepassen van door sommige taskforces afgesproken acties.

57 We hebben specifieke gebieden aangetroffen waar EU-IOA’s geen regelingen hebben voor het delen van ervaring en initiatieven. Zo kunnen EU-IOA’s uit hoofde van de raamovereenkomst “Network Defence Capability” (NDC) een onderzoek aanvragen om de cyberbeveiligingsvoorschriften te consolideren en oplossingen te vinden. Er bestaat echter geen register van door andere EU-IOA’s uitgevoerde of aangevraagde onderzoeken, wat wil zeggen dat EU-IOA’s hetzelfde onderzoek vaker kunnen aanvragen. Bovendien delen EU-IOA’s elkaar niet systematisch mee dat ze contractuele relaties onderhouden met specifieke leveranciers of gebruikmaken van een specifieke softwareoplossing. Deze kenniskloof kan leiden tot extra kosten en gemiste synergieën.

58 De EU-IOA’s wisselen evenmin systematisch informatie met elkaar uit over door hen opgezette cyberbeveiligingsprojecten, ook niet als die interinstitutionele gevolgen kunnen hebben. In het mandaat van de subgroep Cyberbeveiliging (CSSG) van het ICDT is een bepaling voor EU-IOA’s opgenomen inzake het delen van informatie over nieuwe projecten die gevolgen kunnen hebben voor de cyberbeveiliging van andere EU-IOA’s en/of de bescherming van informatie die van hen afkomstig is. De subgroep wordt echter niet op de hoogte gesteld van dergelijke projecten.

59 Bij de oprichting moet een nieuw agentschap zijn eigen IT-infrastructuur en IT-beveiligingskader van de grond af opbouwen. Er bestaat geen “dienstencatalogus” of toolbox voor nieuwe agentschappen en er zijn geen duidelijke richtsnoeren/voorschriften. Dit verklaart de aanzienlijke heterogeniteit in IT-omgevingen tussen EU-IOA’s, waarbij elke organisatie in potentie de vrije keus heeft eigen software, hardware, infrastructuur en diensten autonoom aan te schaffen. Bij gebrek aan gemeenschappelijke vereisten en normen geldt dit ook voor het IT-beveiligingskader. Deze situatie leidt niet alleen tot potentieel dubbel werk en ondoelmatige besteding van EU-middelen, maar ook wordt de ondersteunende taak van CERT-EU hierdoor verder bemoeilijkt.

Praktische tekortkomingen in de uitwisseling van gevoelige informatie

60 Sommige EU-IOA’s beschikken nog steeds niet over adequate oplossingen om gevoelige niet-gerubriceerde informatie uit te wisselen. De EU-IOA’s die daar wel over beschikken, hebben doorgaans hun eigen verschillende producten en systemen ingevoerd, wat problematisch is vanuit het oogpunt van de interoperabiliteit. Er bestaan gemeenschappelijke beveiligde platforms, zij het alleen voor specifieke doeleinden, zoals de platforms die alle constituerende delen van CERT-EU aangeboden krijgen om gevoelige informatie uit te wisselen over incidenten, dreigingen en kwetsbaarheden.

61 Zo heeft meer dan 20 % van de EU-IOA’s geen versleutelde e-mailservice. De EU-IOA’s die dat wel hebben, krijgen vaak te maken met problemen op het gebied van interoperabiliteit en wederzijdse erkenning van beveiligingscertificaten. Het ICDT en het ICTAC hebben gesprekken gevoerd om te bekijken welke opties mogelijk zijn voor een jarenlang houdbare, schaalbare en interoperabele oplossing; in 2018 was er een proefproject. Deze kwestie is echter nog steeds niet opgelost.

62 Een ander probleem is het gebrek aan gemeenschappelijke markeringen voor gevoelige niet-gerubriceerde informatie. Markeringen zijn rubriceringen die de houders van informatie duidelijk maken welke specifieke beschermingsvoorschriften voor die informatie gelden. Ze verschillen tussen de EU-IOA’s onderling, wat het moeilijker maakt om informatie uit te wisselen en correct te behandelen.

63 In 2020 hebben de EU-IOA’s zich door de COVID-19-pandemie genoodzaakt gezien op grote schaal communicatie- en videoconferencingtools in te voeren om de continuïteit van de activiteiten te waarborgen. We hebben vastgesteld dat er bij EU-IOA’s ten minste 15 verschillende softwareoplossingen voor videoconferencing in gebruik zijn. Zelfs in diverse EU-IOA’s die met dezelfde oplossingen/platforms werken, is er vaak een gebrek aan interoperabiliteit wanneer alle partijen dezelfde softwareoplossing gebruiken. Er zijn ook verschillen tussen de EU-IOA’s onderling in de richtsnoeren over welke informatie (wat betreft de mate van gevoeligheid) ze kunnen delen of op een bepaald platform kunnen bespreken. Dergelijke kwesties leiden tot economische en operationele ondoelmatigheid en kunnen tot potentiële veiligheidsproblemen leiden.

Enisa en CERT-EU hebben de EU-IOA’s nog niet alle nodige ondersteuning verleend

64 In deze paragraaf komt ons onderzoek aan bod van de twee voornaamste instanties die belast zijn met de ondersteuning van de EU-IOA’s op het gebied van cyberbeveiliging: Enisa en CERT-EU. We gaan na of de door beide instanties verleende ondersteuning de EU-IOA’s heeft bereikt en tegemoetkomt aan wat ze nodig hebben. Waar sprake is van tekortkomingen, geven we duidelijk de redenen daarvoor aan.

Enisa vervult een sleutelrol in het EU-cyberbeveiligingslandschap, maar heeft tot dusver slechts zeer weinig EU-IOA’s ondersteund

65 In juni 2019 is de cyberbeveiligingsverordening28 in werking getreden, die in de plaats kwam van de eerdere rechtsgrondslag29 van Enisa. Bij deze nieuwe verordening is het mandaat van het agentschap versterkt. De cyberbeveiligingsverordening bepaalt meer in het bijzonder dat Enisa zowel de lidstaten als de EU-IOA’s actief moet ondersteunen ter versterking van de cyberbeveiliging door in capaciteitsopbouw te voorzien, de operationele samenwerking te verbeteren en synergieën te creëren. Wat capaciteitsopbouw betreft, heeft Enisa voortaan een mandaat om bijstand te verlenen aan EU-IOA’s “bij hun inspanningen ter verbetering van de preventie, opsporing en analyse van cyberdreigingen en -incidenten […], met name door passende ondersteuning voor het CERT-EU”30. Enisa moet ook bijstand verlenen aan de EU-instellingen bij de ontwikkeling en evaluatie van EU-strategieën inzake cyberbeveiliging, door de verspreiding van die strategieën te bevorderen en de voortgang van de uitvoering ervan te volgen.

66 De CSA bepaalt duidelijk dat Enisa bijstand moet verlenen aan de EU-IOA’s ter verbetering van hun cyberbeveiliging. Niettemin heeft Enisa nog geen actieplannen voltooid met betrekking tot zijn doelstelling om EU-IOA’s te helpen bij hun capaciteitsopbouw (zie kader 3 voor nadere bijzonderheden).

Kader 3

Onvoldoende afstemming tussen doelstelling en outputs van Enisa met betrekking tot EU-IOA’s

Onder doelstelling 3.2 (bijstand verlenen aan capaciteitsopbouw van EU-instellingen) van het meerjarig werkprogramma voor de periode 2018‑2020 worden enkele van de driejarige prioriteiten van Enisa opgesomd:

  • proactief adviseren van de instellingen van de Unie ter versterking van hun netwerk- en informatiebeveiliging (NIB) (prioriteiten vaststellen voor EU-agentschappen en -organen die het meest behoefte hebben aan capaciteitsopbouw op het gebied van NIB door regelmatig interacties met hen aan te gaan (bijv. jaarlijkse workshops) en zich op deze prioriteiten richten);
  • EU-instellingen assisteren en ondersteunen bij de aanpak van NIB (partnerschappen opbouwen met CERT-EU en instellingen met sterke NIB-capaciteiten ter ondersteuning van de acties die onder deze doelstelling vallen).

In de werkprogramma’s 2018, 2019 en 2020 van Enisa staan er onder doelstelling 3.2 slechts twee operationele doelstellingen (outputs) vermeld:

  • deelnemen aan het CERT-EU-stuurcomité en vertegenwoordigen van EU-agentschappen die een beroep doen op de diensten van CERT-EU;
  • samenwerken met de bevoegde EU-organen aan initiatieven waarvan de NIB-dimensie betrekking heeft op hun opdrachten (waaronder EASA, CERT-EU, EDA, EC3).

In de operationele doelstellingen staan geen activiteiten die verband houden met proactief advies. Voorts is de doelstelling om prioriteiten vast te stellen voor agentschappen met de grootste behoeften niet vertaald in operationele outputs, aangezien die is vervangen door de doelstelling om contacten met agentschappen te onderhouden ter behartiging van hun belangen binnen het CERT-EU-stuurcomité.

67 Het voornaamste besluitvormende orgaan van Enisa is de raad van bestuur, die bestaat uit één lid per lidstaat dat door elk van de 27 lidstaten is benoemd en twee door de Commissie benoemde leden31 (zie figuur 6). Elk lid heeft één stem en besluiten worden bij meerderheid van stemmen genomen32. Dit wil zeggen dat de acties die lidstaten betreffen een hogere prioriteit kunnen hebben dan acties ten behoeve van EU-IOA’s. Zo heeft de raad van bestuur in het werkprogramma 2018 van Enisa bij gebrek aan voldoende middelen besloten om prioriteit te geven aan bepaalde activiteiten en er drie te schrappen, waaronder de ondersteuning ter beoordeling van bestaande beleidslijnen/procedures/praktijken inzake NIB binnen EU-instellingen. Deze activiteit moest Enisa in staat stellen de praktijken en indicatieve cyberbeveiligingsmaturiteit van EU-IOA’s inzichtelijk te maken als basis voor gerichte acties in de toekomst.

68 De in de strategische doelstellingen vervatte ambitie van Enisa om proactief bijstand te verlenen aan EU-IOA’s krijgt geen vorm in operationele doelstellingen of concrete acties. Op het gebied van capaciteitsopbouw en operationele samenwerking is tot nu toe slechts in beperkte mate en op verzoek ondersteuning geboden aan enkele specifieke EU-IOA’s.

69 De CSA bepaalt ook dat Enisa passende ondersteuning moet bieden aan CERT-EU om de EU-IOA’s bijstand te verlenen bij capaciteitsopbouw. Ten tijde van de controle was deze ondersteuning beperkt gebleven tot enkele specifieke acties. Zo heeft Enisa CERT-EU in 2019 onderworpen aan collegiale toetsing (“peer review”) in het kader van het lidmaatschap van het (bij de NIS-richtlijn ingestelde) CSIRT-netwerk van de EU.

70 Uit de antwoorden op onze enquête blijkt dat Enisa kwalitatief hoogstaande verslagen en richtsnoeren inzake cyberbeveiliging publiceert, waarvan een aantal door de EU-IOA’s wordt gebruikt. Niettemin zijn er geen richtsnoeren die specifiek op EU-IOA’s en hun eigen omgeving en behoeften gericht zijn. EU-IOA’s, in het bijzonder die welke minder ver gevorderd zijn op het gebied van cyberbeveiliging, hebben praktische begeleiding nodig, niet alleen inzake “wat” ze moeten doen, maar ook over “hoe” dat moet gebeuren. Tot op heden hebben Enisa en CERT-EU dergelijke steun in beperkte mate en op niet-systematische wijze verleend.

71 Enisa heeft een aantal cursussen over cyberbeveiliging georganiseerd die voornamelijk op de autoriteiten van de lidstaten waren gericht, maar ook door een beperkt aantal deelnemers van EU-IOA’s werden bijgewoond. Er werden slechts twee cursussen voor zelfstudie aangeboden die specifiek op EU-IOA’s waren gericht. Op de website van Enisa is opleidingsmateriaal voor EU-IOA’s beschikbaar. Tot nu toe gaat het echter voornamelijk om cursussen voor technische deskundigen van CSIRT’s en als zodanig heeft dit materiaal weinig of geen nut voor de meeste EU-IOA’s.

72 Afgezien van opleiding kan Enisa de EU-IOA’s ondersteunen door cyberbeveiligingsoefeningen te houden. In oktober 2020 heeft Enisa, in samenwerking met CERT-EU, geholpen bij het uitvoeren van een cyberbeveiligingsoefening voor het ICTAC. Dit was de enige door Enisa georganiseerde oefening die specifiek op deelnemers van EU-IOA’s was gericht. Afgezien daarvan heeft Enisa op verzoek van enkele EU-IOA’s (bijv. eu-LISA, EMSA, het Europees Parlement en Europol) een aantal oefeningen helpen organiseren, voornamelijk ten behoeve van hun belanghebbenden bij autoriteiten van de lidstaten. Ook hebben sommige personeelsleden van EU-IOA’s hieraan deelgenomen.

73 De CSA introduceerde ook een nieuwe rol voor Enisa bij het op vrijwillige basis bijstaan van EU-IOA’s bij hun beleid inzake de openbaarmaking van kwetsbaarheden. Enisa heeft echter nog steeds geen inzicht in de beleidsvoorschriften inzake de openbaarmaking van kwetsbaarheden van de afzonderlijke EU-IOA’s, en verleent hun evenmin bijstand om die vast te stellen en toe te passen.

CERT-EU wordt zeer gewaardeerd door de constituerende delen, maar haar middelen zijn niet berekend op de cyberbeveiligingsuitdagingen van vandaag

74 Aansluitend op een reeks initiatieven (zie figuur 7) heeft de Commissie in september 2012 bij besluit33 het computercrisisresponsteam (CERT-EU) opgericht als permanente taskforce voor de EU-IOA’s (zie paragraaf 08).

Figuur 7 — Geschiedenis van CERT-EU

Bron: ERK.

75 Ook al functioneert CERT-EU onafhankelijk, het blijft een taskforce zonder rechtspersoonlijkheid. Het maakt bestuurlijk deel uit van, en wordt administratief en logistiek ondersteund door de Europese Commissie (DG DIGIT). CERT-EU beoogt de ICT-infrastructuur van de EU-IOA’s veiliger te maken door hun capaciteit te versterken om het hoofd te bieden aan cyberdreigingen en kwetsbaarheden en om cyberaanvallen te voorkomen, op te sporen en erop te reageren. CERT-EU heeft een veertigtal personeelsleden, georganiseerd in teams van specialisten die zich onder meer bezighouden met inlichtingen over cyberbedreigingen, digitaal forensisch onderzoek en respons op incidenten.

CERT-EU is een gewaardeerde partner en kent een toenemende werklast

76 CERT-EU vraagt de constituerende delen feedback en suggesties te geven tijdens driemaandelijkse workshops en jaarlijkse bilaterale vergaderingen alsook via tevredenheidsonderzoeken. Uit de tevredenheidsonderzoeken en onze enquête komt naar voren dat de constituerende delen in hoge mate tevreden zijn over de door CERT-EU verleende diensten. Dat CERT-EU inspanningen levert om zich sterker te richten op de behoeften van de EU-IOA’s, blijkt uit de ontwikkeling van zijn dienstencatalogus.

77 Grote EU-IOA’s die over aanzienlijke interne capaciteit beschikken, doen voornamelijk een beroep op CERT-EU als knooppunt voor informatie-uitwisseling en als bron van inlichtingen over dreigingen. Kleinere EU-IOA’s schakelen CERT-EU in voor een ruimer scala aan diensten, zoals toezicht op logboeken, penetratietests, red-teamoefeningen en ondersteuning voor respons op incidenten. De diensten van CERT-EU zijn bijzonder nuttig voor kleinere EU-IOA’s omdat hun interne deskundigheid beperkt is en zij niet van schaalvoordelen kunnen profiteren (zie de paragrafen 31 en 33).

78 In het licht van de drastische toename van dreigingen en incidenten heeft CERT-EU zijn capaciteiten en procedures de afgelopen jaren uitgebreid. Het aantal voorlichtingsproducten van CERT-EU, in het bijzonder dreigingswaarschuwingen en -nota’s, neemt voortdurend toe (zie figuur 8). In 2020 heeft CERT-EU 171 dreigingsnota’s en 53 dreigingswaarschuwingen gepubliceerd (wat aanzienlijk meer is dan de aanvankelijk geplande 80 nota’s en 40 waarschuwingen).

Figuur 8 — Toename van producten voor inlichtingen over dreigingen

Bron: ERK, op basis van door CERT-EU verstrekte gegevens.

79 CERT-EU helpt de EU-IOA’s ook omgaan met cyberincidenten. Van de EU-IOA’s heeft 52 % een eigen responsteam of op zijn minst een incidentcoördinator; de overige 48 % doet bij incidenten een beroep op CERT-EU en/of andere externe dienstverleners. Zelfs grote EU-IOA’s met interne responscapaciteit kunnen bij CERT-EU ondersteuning vragen om het hoofd te bieden aan complexe incidenten.

80 Het aantal door CERT-EU aangepakte incidenten is gestegen van 561 in 2019 naar 884 in 2020. Vooral het aantal significante incidenten is toegenomen, van slechts 1 in 2018 tot 13 in 2020. In 2021 hadden zich 17 significante incidenten voorgedaan, tegenover 13 in 2020, dat op zichzelf al een recordjaar was. Deze significante incidenten zijn doorgaans het gevolg van uiterst geavanceerde dreigingen. Ze kunnen meerdere EU-IOA’s treffen. Dergelijke incidenten vergen contacten met autoriteiten en kosten de betrokken partijen en CERT-EU doorgaans weken tot maanden werk om ze te onderzoeken en te verhelpen.

81 CERT-EU levert ook de voornaamste bijdrage aan proactieve beoordelingen en tests van de cyberdefensie van EU-IOA’s. Een overzicht van daarmee samenhangende activiteiten van CERT-EU is te vinden in figuur 9 hieronder. Vanaf 2020 voert CERT-EU ook externe netwerkscans uit.

Figuur 9 – Door CERT-EU uitgevoerde tests en beoordelingen

Bron: ERK, op basis van door CERT-EU verstrekte gegevens.

Constituerende delen maken relevante informatie niet tijdig aan CERT-EU bekend

82 Op grond van de IR34 dienen constituerende delen CERT-EU op de hoogte te stellen van significante cyberbeveiligingsincidenten. In de praktijk is dit echter niet altijd het geval geweest. De IR voorziet niet in een mechanisme ter handhaving van de verplichte en tijdige melding van “significante” incidenten door de constituerende delen van CERT-EU. Gezien de algemene definitie die in de IR aan “significante incidenten” wordt gegeven, mogen de EU-IOA’s naar eigen inzicht bepalen of een incident wordt gemeld. Volgens de leidinggevenden van CERT-EU hebben sommige constituerende delen informatie over significante incidenten niet tijdig uitgewisseld en CERT-EU daardoor belemmerd bij het vervullen van zijn rol als knooppunt voor informatie-uitwisseling en coördinatie van de respons op incidenten voor alle EU-IOA’s. Zo was er bijvoorbeeld één constituerend deel dat met een uiterst geavanceerde dreiging werd geconfronteerd, maar CERT-EU daarvan niet op de hoogte heeft gesteld en evenmin ondersteuning heeft gevraagd. Dit belette CERT-EU om inlichtingen over cyberdreigingen te verzamelen die nuttig zouden zijn geweest bij de ondersteuning van andere constituerende delen die met dezelfde dreiging worden geconfronteerd. Ten minste zes EU-IOA’s hebben gevolgen van deze aanval ondervonden.

83 Verder hebben constituerende delen nagelaten om tijdig actief informatie met CERT-EU uit te wisselen over cyberbeveiligingsdreigingen en kwetsbaarheden waarmee ze te maken kregen, ondanks de in de IR35 neergelegde verplichting om dat te doen. Het team van CERT-EU voor digitaal forensisch onderzoek en respons op incidenten heeft geen meldingen ontvangen van kwetsbaarheden of tekortkomingen in controles die werden ontdekt buiten het kader van de actief onderzochte incidenten. Relevante bevindingen naar aanleiding van interne of externe beveiligingsaudits worden niet proactief uitgewisseld door de constituerende delen.

84 Bovendien legt de IR EU-IOA’s niet te verplichting op om significante veranderingen van hun IT-omgeving kenbaar te maken aan CERT-EU. Bijgevolg hebben de constituerende delen CERT-EU niet systematisch op de hoogte gesteld van relevante veranderingen. Zo stellen de EU-IOA’s CERT-EU niet altijd in kennis van veranderingen van hun IP-bereiken (bijv. de lijst internetadressen van hun infrastructuur). CERT-EU heeft geactualiseerde IP-bereiken nodig om bijvoorbeeld scans uit te voeren wanneer belangrijke kwetsbaarheden worden ontdekt. Het feit dat de EU-IOA’s dergelijke veranderingen niet doorgeven aan CERT-EU gaat ten koste van zijn vermogen om ondersteuning te bieden. Het verzuim van kennisgeving tast ook het vermogen van CERT-EU aan om systemen te monitoren, en betekent meer werk om onjuiste gegevens in de toezichtinstrumenten te corrigeren. Volgens zijn leidinggevenden krijgt CERT-EU bij het aanpakken van een incident soms te maken met niet eerder bekende IT-infrastructuur. Afgezien van specifieke gevallen heeft CERT-EU momenteel geen compleet beeld van de IT-systemen en -netwerken van de gezamenlijke EU-IOA’s.

85 Bij gebrek aan handhavingsmechanisme in de IR zal er verder sprake zijn van niet-systematische kennisgevingen van EU-IOA’s aan CERT-EU, terwijl kennisgevingen juist van cruciaal belang zijn om een gemeenschap van EU-IOA’s met een hoog niveau van cyberparaatheid tot stand te brengen waarin CERT-EU centraal staat.

Aan CERT-EU toegewezen middelen zijn onstabiel en staan niet in verhouding tot het huidige dreigingsniveau

86 De IR36 bepaalt het volgende: “CERT-EU moet duurzame financiering en duurzaam personeel krijgen, maar ook waar voor zijn geld bieden met een adequate kern van vast personeel; tegelijk moeten zijn administratieve overheadkosten zo laag mogelijk blijven”. De belangrijkste troef van CERT-EU is zijn hoogopgeleide en gespecialiseerde personeel. Figuur 10 toont de verandering in personeelsbezetting van CERT-EU, vanaf de oprichting in 2011 tot vandaag.

87 Het personeel van CERT-EU bestaat voor meer dan twee derde uit medewerkers met tijdelijke contracten. Hun salaris is niet echt concurrerend te noemen vergeleken met de salariëring op de markt van cyberbeveiligingsdeskundigen. Volgens de leidinggevenden van CERT-EU wordt het steeds moeilijker om ze aan te werven en in dienst te houden. Als de salariëring niet aantrekkelijk genoeg is voor senior kandidaten, moet CERT-EU junior medewerkers in dienst nemen en de nodige tijd uittrekken om die op te leiden. De arbeidsovereenkomsten hebben een looptijd van ten hoogste zes jaar, wat wil zeggen dat CERT-EU na afloop van die termijn geen andere keuze heeft dan de arbeidscontractanten te laten vertrekken terwijl ze dan juist het hoogtepunt van hun deskundigheid bereiken. Het personeelsverloop in 2020 was bijzonder hoog: 21 % van het personeel heeft CERT-EU verlaten en er kon niet altijd een plaatsvervanger in dienst worden genomen. In 2019 is 9 % van het personeel uit dienst getreden en in 2018 was dit 13 %.

Figuur 10 – Middelen en uitdagingen van CERT-EU

Bron: ERK, op basis van door CERT-EU verstrekte gegevens.

88 De leidinggevenden van CERT-EU benadrukken dat het team van CERT-EU voor digitaal forensisch onderzoek en respons op incidenten tegenwoordig vaak overbelast is, terwijl de andere teams de vraag niet kunnen bijhouden. Daardoor zag CERT-EU zich genoodzaakt zijn activiteiten af te schalen. Zo voert CERT-EU momenteel geen maturiteitsbeoordelingen voor zijn constituerende delen uit vanwege een gebrek aan middelen. Ook de dienst van CERT-EU voor de melding van verdachte activiteiten werd, ook vanwege een tekort aan middelen, later dan verwacht operationeel. Bovendien hebben diverse constituerende delen tijdens de vraaggesprekken met ons kritiek geuit op de lange wachttijden om toegang te krijgen tot de diensten van CERT-EU.

89 Door de beperkte middelen heeft CERT-EU zich tot dusver moeten richten op het beschermen van klassieke IT-infrastructuur “ter plaatse” tegen geavanceerde aanhoudende dreigingen van groepen (doorgaans met de steun van een natiestaat). Volgens de leidinggevenden van CERT-EU is er gezien de uitbreiding van de IT-grenzen (met de cloud, mobiele apparaten en instrumenten voor telewerken) meer toezicht en bescherming noodzakelijk, en moet er ook nadrukkelijker aandacht worden besteed aan dreigingen op een lager niveau (zoals cybercriminaliteit en ransomware).

90 De IR bepaalt niet dat CERT-EU vierentwintig uur per dag, zeven dagen per week operationeel moet zijn. CERT-EU beschikt momenteel niet over de nodige middelen of het passende HR-kader om buiten kantoortijden op permanente en gestructureerde basis te functioneren, ook al kunnen cyberaanvallen op elk moment plaatsvinden. Slechts 35 van de 65 geënquêteerde EU-IOA’s beschikken over een IT-functionaris die ook buiten kantoortijden bereikbaar is.

91 Ter financiering van de werkzaamheden van CERT-EU heeft het stuurcomité in 2012 een model van een overeenkomst inzake het dienstverleningsniveau (Service Level Agreement, SLA) goedgekeurd. Alle constituerende delen krijgen gratis basisdiensten en kunnen door een SLA te sluiten tegen betaling gebruikmaken van ruimere diensten. CERT-EU beschikte in 2020 over een begroting van 3 745 000 EUR, waarvan 6 % gefinancierd uit de EU-begroting en 94 % door inkomsten uit SLA’s. De constituerende delen zijn echter zeer heterogeen: sommige hebben beproefde voorschriften op het gebied van IT-beveiliging, andere hebben een bescheiden IT-begroting en een zeer laag niveau van cyberbeveiligingsmaturiteit. Het gevolg hiervan is dat gesprekken over SLA’s resulteren in een combinatie van strenge beveiligingsvoorschriften voor sommige EU-IOA’s, terwijl andere niet bereid of niet in staat zijn een bijdrage te leveren.

92 Bovendien moet elke SLA jaarlijks worden vernieuwd. Dit leidt niet alleen tot administratieve lasten, maar veroorzaakt ook kasstroomproblemen, aangezien CERT-EU de van alle SLA’s afkomstige inkomsten niet ineens ontvangt. Verder kunnen agentschappen SLA’s te allen tijde opzeggen. Zo dreigt een vicieuze cirkel te ontstaan, waarbij CERT-EU door de gederfde inkomsten zijn diensten moet afschalen en de vraag niet kan bijhouden, wat andere EU-IOA’s er weer toe aanzet hun SLA op te zeggen en particuliere dienstverleners in te schakelen. Op grond van het voorgaande is het huidige financieringsmodel niet ideaal om een stabiel en optimaal dienstverleningsniveau te waarborgen.

93 Gelet op het zich snel ontwikkelende cyberdreigingslandschap (zie de paragrafen 06 en 80) heeft het CERT-EU-stuurcomité op zijn vergadering van 19 februari 2020 een strategisch voorstel goedgekeurd om de cyberbeveiligingsdiensten van CERT-EU uit te breiden en “volledig operationeel vermogen” te ontwikkelen. Dit voorstel ging gepaard met een analyse van de behoeften van CERT-EU aan personele en financiële middelen. Uit deze analyse is opgemaakt dat CERT-EU 14 vast benoemde administrateurs extra nodig heeft, die geleidelijk over de periode 2021‑2023 in dienst zouden moeten treden. CERT-EU zou dan vanaf 2023 op volle capaciteit kunnen functioneren. Wat de financiële middelen betreft, moet CERT-EU volgens dit voorstel zijn begroting over de periode 2021‑2023 met 7,6 miljoen EUR verhogen tot 11,3 miljoen EUR tegen 2024.

94 De EU-IOA’s hebben zich geschaard achter het strategisch voorstel om extra middelen voor CERT-EU uit te trekken. Niettemin hebben ze nog geen overeenstemming bereikt over de praktische uitvoeringsbepalingen, ten eerste voor de overgangsperiode 2021‑2023 en ten tweede op lange termijn, na de inwerkingtreding van de toekomstige cyberbeveiligingsverordening (zie paragraaf 12).

Conclusies en aanbevelingen

95 Onze conclusie is dat het bereikte niveau van cyberparaatheid in de gemeenschap van EU-instellingen, -organen en -agentschappen (EU-IOA’s) niet in verhouding staat tot de dreigingen waaraan zij is blootgesteld. Uit onze werkzaamheden blijkt dat EU-IOA’s verschillende niveaus van cyberbeveiligingsmaturiteit hebben. Aangezien zij vaak onderling en met publieke en particuliere organisaties in de lidstaten verweven zijn, kunnen zwakke punten op het gebied van cyberbeveiliging bij een van de EU-IOA’s verscheidene andere instanties aan cyberdreigingen blootstellen.

96 We hebben geconstateerd dat de essentiële goede praktijken op het gebied van cyberbeveiliging, waaronder sommige essentiële controles, niet altijd worden toegepast. Deugdelijke cyberbeveiligingsgovernance is van essentieel belang voor de beveiliging van informatie en IT-systemen, maar is in sommige EU-IOA’s nog niet voorhanden: IT-beveiligingsstrategieën en -plannen ontbreken vaak of worden niet onderschreven door het hogere management, er is niet altijd een geformaliseerd beveiligingsbeleid en risicobeoordelingen bestrijken niet de volledige IT-omgeving. De uitgaven op het gebied van cyberbeveiliging zijn ongelijk verdeeld: sommige EU-IOA’s trekken hier duidelijk te weinig middelen voor uit vergeleken met andere instanties van soortgelijke omvang (zie de paragrafen 21-33, 37 en 38).

97 Cyberbewustzijn en daarmee samenhangende opleidingsprogramma’s zijn van cruciaal belang om het cyberbeveiligingskader doeltreffend te houden. Niettemin geeft slechts 29 % van de EU-IOA’s een verplichte cyberbeveiligingsopleiding aan managers die verantwoordelijk zijn voor IT-systemen met gevoelige informatie. Bovendien heeft de aangeboden opleiding vaak een informeel karakter. In de afgelopen vijf jaar heeft 55 % van de EU-IOA’s een of meer gesimuleerde phishingcampagnes (of soortgelijke exercities) georganiseerd. Dergelijke exercities zijn weliswaar een belangrijk hulpmiddel om het personeel op te leiden en het cyberbewustzijn te vergroten, maar toch maken niet alle EU-IOA’s er systematisch gebruik van (zie de paragrafen 34-36). Bovendien zorgen niet alle EU-IOA’s voor regelmatige onafhankelijke borging van hun cyberbeveiliging (zie de paragrafen 39-44).

98 CERT-EU wordt zeer gewaardeerd door de diensten van EU-IOA’s, maar zijn capaciteit is overbelast. CERT-EU heeft sinds 2018 te maken met een toenemende werklast wat betreft inlichtingen over cyberbedreigingen en incidentenbehandeling. Significante cyberbeveiligingsincidenten zijn meer dan vertienvoudigd. Tegelijkertijd wisselen EU-IOA’s niet altijd tijdig informatie uit over significante incidenten, kwetsbaarheden en belangrijke veranderingen van hun IT-infrastructuur. Hierdoor wordt de doeltreffendheid van CERT-EU belemmerd, waardoor het andere mogelijk getroffen EU-IOA’s niet kan waarschuwen. Dit kan ertoe leiden dat significante incidenten onopgemerkt blijven. De middelen waarover CERT-EU beschikt, zijn bovendien onstabiel en staan niet in verhouding tot het huidige dreigingsniveau of de behoeften van de EU-IOA´s. Het CERT-EU-stuurcomité heeft in 2020 een strategisch voorstel onderschreven om CERT-EU de nodige aanvullende middelen beschikbaar te stellen. De constituerende delen hebben echter nog geen overeenstemming bereikt over de praktische uitvoeringsbepalingen voor de beschikbaarstelling van die middelen. Het gevolg hiervan is dat het personeel van CERT-EU de vraag niet aankan en zich genoodzaakt ziet activiteiten af te schalen (zie de paragrafen 74-93).

Aanbeveling 1 — Verbeter de paraatheid op het gebied van cyberbeveiliging van alle EU-IOA’s door bindende gemeenschappelijke regels en uitbreiding van de middelen voor CERT-EU

De Commissie moet de volgende beginselen opnemen in haar komende voorstel voor een verordening inzake maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in alle EU-IOA’s:

  1. Het hogere management moet de verantwoordelijkheid voor cyberbeveiligingsgovernance nemen door cyberbeveiligingsstrategieën en de belangrijkste beveiligingsbeleidslijnen te onderschrijven en door een onafhankelijke centrale informatiebeveiligingsfunctionaris (Chief Information Security Officer, CISO) of iemand met een gelijkwaardige functie te benoemen.
  2. EU-IOA’s moeten beschikken over een kader voor IT-beveiligingsrisicobeheersing dat hun volledige IT-infrastructuur bestrijkt, en moeten regelmatig risicobeoordelingen uitvoeren.
  3. EU-IOA’s moeten alle personeelsleden, met inbegrip van kaderleden, systematisch bewustmakingsopleiding geven.
  4. EU-IOA’s moeten hun cyberdefensie regelmatig onderwerpen aan audits en tests. De audits moeten ook gericht zijn op de toereikendheid van de middelen die voor cyberbeveiliging worden uitgetrokken.
  5. EU-IOA’s moeten CERT-EU onverwijld in kennis stellen van significante cyberbeveiligingsincidenten en relevante veranderingen en kwetsbaarheden wat hun IT-infrastructuur betreft.
  6. De EU-IOA’s moeten de aan CERT-EU toegewezen middelen in hun begrotingen verhogen en oormerken in overeenstemming met de behoeften die zijn vastgesteld in het strategisch voorstel dat door het CERT-EU-stuurcomité is goedgekeurd.
  7. De verordening moet bepalingen bevatten voor de benoeming van een entiteit die representatief is voor alle EU-IOA’s en die over het passende mandaat en de passende middelen beschikt om te controleren of alle EU-IOA’s voldoen aan de gemeenschappelijke cyberbeveiligingsregels en om richtsnoeren, aanbevelingen en oproepen tot acties uit te brengen.

Streefdatum voor de uitvoering: eerste kwartaal van 2023

99 EU-IOA’s hebben mechanismen opgezet om samen te werken op het gebied van cyberbeveiliging. Niettemin stelden we vast dat de synergiemogelijkheden niet optimaal worden benut. Er is een geformaliseerde structuur voor informatie-uitwisseling, met actoren en comités die complementaire rollen vervullen. De deelname van kleinere EU-IOA’s aan interinstitutionele fora wordt belemmerd door een gebrek aan middelen. Gedecentraliseerde agentschappen en gemeenschappelijke ondernemingen zijn niet optimaal vertegenwoordigd in het CERT-EU-stuurcomité. Ook hebben we vastgesteld dat EU-IOA’s niet systematisch informatie met elkaar uitwisselen over aan cyberbeveiliging gerelateerde projecten, beveiligingsbeoordelingen en dienstverleningsovereenkomsten. Dit kan tot dubbel werk leiden en tevens de kosten doen toenemen. We hebben vastgesteld dat zich operationele moeilijkheden voordoen bij het uitwisselen van gevoelige niet-gerubriceerde informatie via versleutelde e-mailberichten of op videoconferenties. De redenen hiervoor zijn het gebrek aan interoperabiliteit van IT-oplossingen, onsamenhangende richtsnoeren over het toegestane gebruik ervan en het ontbreken van gemeenschappelijke markeringen en voorschriften voor de behandeling van informatie (zie de paragrafen 45-63).

Aanbeveling 2 — Streef naar verdere synergieën tussen EU-IOA’s op specifieke gebieden

De Commissie moet in het kader van het Interinstitutioneel Comité voor digitale transformatie (ICDT) de volgende acties bij EU-IOA’s ondersteunen:

  1. oplossingen vaststellen voor de interoperabiliteit van beveiligde communicatiekanalen, van versleuteld e-mailverkeer tot videoconferenties, en streven naar gemeenschappelijke markeringen en voorschriften voor de behandeling van gevoelige niet-gerubriceerde informatie;
  2. systematisch uitwisselen van informatie over aan cyberbeveiliging gerelateerde projecten die interinstitutionele gevolgen kunnen hebben, over beveiligingsbeoordelingen van software en over bestaande overeenkomsten met externe dienstverleners, en
  3. vaststellen van specificaties voor gemeenschappelijke aanbestedingen en raamovereenkomsten voor cyberbeveiligingsdiensten, waaraan alle EU-IOA’s kunnen deelnemen om schaalvoordelen te bevorderen.

Streefdatum voor de uitvoering: vierde kwartaal van 2023

100 Het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en CERT-EU zijn de twee voornaamste instanties die belast zijn met de ondersteuning van de EU-IOA’s op het gebied van cyberbeveiliging. Aangezien de middelen echter beperkt zijn of de prioriteit uitgaat naar andere actiegebieden, hebben deze instanties de EU-IOA’s niet alle nodige ondersteuning kunnen verlenen, in het bijzonder met het oog op capaciteitsopbouw voor EU-IOA’s met een lager maturiteitsniveau (zie de paragrafen 64-93).

Aanbeveling 3 — Laat CERT-EU en Enisa meer aandacht besteden aan EU-IOA’s met een minder hoog maturiteitsniveau

CERT-EU en Enisa moeten:

  1. prioritaire gebieden vaststellen waar EU-IOA’s het meest ondersteuning nodig hebben, bijvoorbeeld door maturiteitsbeoordelingen uit te voeren;
  2. acties voor capaciteitsopbouw uitvoeren die aansluiten bij hun memorandum van overeenstemming.

Streefdatum voor de uitvoering: vierde kwartaal van 2022

Dit verslag werd door kamer III onder leiding van mevrouw Bettina Jakobsen, lid van de Rekenkamer, te Luxemburg vastgesteld op 22 februari 2022.

 

Voor de Rekenkamer

Klaus-Heiner Lehne
President

Bijlagen

Bijlage I – Lijst van geënquêteerde EU-IOA’s

Naam EU-IOA Type
Europees Parlement (EP) Instelling (artikel 13, lid 1, VEU)
Raad van de Europese Unie en Europese Raad Instelling (artikel 13, lid 1, VEU)
Europese Commissie (EC) Instelling (artikel 13, lid 1, VEU)
Hof van Justitie van de Europese Unie (HvJ-EU) Instelling (artikel 13, lid 1, VEU)
Europese Centrale Bank (ECB) Instelling (artikel 13, lid 1, VEU)
Europese Rekenkamer (ERK) Instelling (artikel 13, lid 1, VEU)
Europese Dienst voor extern optreden (EDEO) Orgaan (artikel 27, lid 3, VEU)
Europees Economisch en Sociaal Comité (EESC) en Europees Comité van de Regio’s (CvdR)37 Organen (artikel 13, lid 4, VEU)
Europese Investeringsbank (EIB) Orgaan (artikel 308, VWEU)
Europese Arbeidsautoriteit (ELA) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor de samenwerking tussen energieregulators (ACER) Gedecentraliseerd agentschap
Bureau van het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec-Bureau) Gedecentraliseerd agentschap
Communautair Bureau voor plantenrassen (CPVO) Gedecentraliseerd agentschap
Europees Agentschap voor de veiligheid en de gezondheid op het werk (EU-OSHA) Gedecentraliseerd agentschap
Europees Grens- en kustwachtagentschap (Frontex/EBCGA) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) Gedecentraliseerd agentschap
Asielagentschap van de Europese Unie (EUAA) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) Gedecentraliseerd agentschap
Europese Bankautoriteit (EBA) Gedecentraliseerd agentschap
Europees Centrum voor ziektepreventie en -bestrijding (ECDC) Gedecentraliseerd agentschap
Europees Centrum voor de ontwikkeling van de beroepsopleiding (Cedefop) Gedecentraliseerd agentschap
Europees Agentschap voor chemische stoffen (ECHA) Gedecentraliseerd agentschap
Europees Milieuagentschap (EEA) Gedecentraliseerd agentschap
Europees Bureau voor visserijcontrole (EFCA) Gedecentraliseerd agentschap
Europese Autoriteit voor voedselveiligheid (EFSA) Gedecentraliseerd agentschap
Europese Stichting tot verbetering van de levens- en arbeidsomstandigheden (Eurofound) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor het ruimtevaartprogramma [vervangt: Europees GNSS-Agentschap (GSA)] (EUSPA) Gedecentraliseerd agentschap
Europees Instituut voor gendergelijkheid (EIGE) Gedecentraliseerd agentschap
Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) Gedecentraliseerd agentschap
Europees Agentschap voor maritieme veiligheid (EMSA) Gedecentraliseerd agentschap
Europees Geneesmiddelenbureau (EMA) Gedecentraliseerd agentschap
Europees Waarnemingscentrum voor drugs en drugsverslaving (EMCDDA) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol) Gedecentraliseerd agentschap
Europese Politiedienst (Europol) Gedecentraliseerd agentschap
Spoorwegbureau van de Europese Unie (ERA) Gedecentraliseerd agentschap
Europese Autoriteit voor effecten en markten (ESMA) Gedecentraliseerd agentschap
Europese Stichting voor opleiding (ETF) Gedecentraliseerd agentschap
Bureau van de Europese Unie voor de grondrechten (FRA) Gedecentraliseerd agentschap
Bureau voor intellectuele eigendom van de Europese Unie [tot 23 maart 2016 bekend als het BHIM] (EUIPO) Gedecentraliseerd agentschap
Gemeenschappelijke Afwikkelingsraad (GAR) Gedecentraliseerd agentschap
Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust) Gedecentraliseerd agentschap
Vertaalbureau voor de organen van de Europese Unie (CdT) Gedecentraliseerd agentschap
Europees Openbaar Ministerie (EOM) Gedecentraliseerd agentschap
Europees Instituut voor innovatie en technologie (EIT) Orgaan opgericht in het kader van O&O
Gemeenschappelijke Onderneming voor de realisering van het Europese nieuwe generatie luchtverkeersbeveiligingssysteem (Sesar) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming elektronische componenten en systemen voor Europees leiderschap (Ecsel) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming brandstofcellen en waterstof (FCH 2) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming voor het initiatief innovatieve geneesmiddelen 2 (IMI 2) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming Clean Sky 2 (CleanSky 2) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming biogebaseerde industrieën (BBI) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming voor de uitvoering van het gezamenlijke technologie-initiatief inzake Shift2Rail (S2R) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Gemeenschappelijke Onderneming Europese high-performance computing (EuroHPC) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Europese Gemeenschappelijke Onderneming voor ITER en de ontwikkeling van fusie-energie — Fusion for Energy (F4E) Krachtens het VWEU opgerichte gemeenschappelijke onderneming
Adviesmissie van de Europese Unie in Oekraïne (EUAM Ukraine) Civiele missie (GVDB)
Adviesmissie van de Europese Unie in Libië (EUBAM Libya) Civiele missie (GVDB)
Missie voor capaciteitsopbouw van de EU in Niger (EUCAP Sahel Niger) Civiele missie (GVDB)
EU-waarnemingsmissie in Georgië (EUMM Georgia) Civiele missie (GVDB)
Coördinatiebureau van de EU voor de ondersteuning van de Palestijnse politie (EUPOL COPPS) Civiele missie (GVDB)
Adviesmissie van de EU in de Centraal-Afrikaanse Republiek (EUAM RCA) Civiele missie (GVDB)
EU-adviesmissie in Irak (EUAM Iraq) Civiele missie (GVDB)
Missie van de Europese Unie voor bijstandsverlening inzake grensbeheer aan de grensovergang bij Rafah (EUBAM Rafah) Civiele missie (GVDB)
Missie voor capaciteitsopbouw van de Europese Unie in Mali (EUCAP Sahel Niger) Civiele missie (GVDB)
Missie van de Europese Unie voor de opbouw van capaciteit in Somalië (EUCAP Somalia) Civiele missie (GVDB)
Rechtsstaatmissie van de Europese Unie in Kosovo (EULEX Kosovo) Civiele missie (GVDB)

Bijlage II – Aanvullende informatie over de belangrijkste interinstitutionele comités

Interinstitutioneel Comité voor digitale transformatie (ICDT)

Het ICDT is een forum om informatie uit te wisselen en de samenwerking op IT-gebied te bevorderen. Dit comité werd in mei 2020 opgericht ter vervanging van het voormalige Interinstitutioneel Comité automatisering (Comité Interinstitutionnel de l’Informatique, CII). Het ICDT bestaat uit de managers van IT-afdelingen in EU-IOA’s. Het ICDT heeft een subgroep Cyberbeveiliging (CSSG), die als taak heeft EU-IOA’s nauwer te doen samenwerken op het gebied van cyberbeveiliging, en die fungeert als forum voor de uitwisseling van informatie.

De beslissingsbevoegdheid van het ICDT is beperkt tot aangelegenheden die geen invloed hebben op de wijze waarop instellingen hun opdracht vervullen, noch afbreuk doen aan het deugdelijk bestuur van elke instelling. Voor beslissingen die buiten het bestek van zijn opdracht vallen, mag het ICDT aanbevelingen geven aan het college van secretarissen-generaal van de EU-instellingen en -organen.

Volgens het mandaat van het ICDT zijn de leden vertegenwoordigers van EU-instellingen en -organen, terwijl één vertegenwoordiger wordt aangesteld door de EU-agentschappen (ICTAC). Het secretariaat-generaal van de Raad (SGR) bekleedt momenteel het voorzitterschap van het ICDT.

Subgroep Cyberbeveiliging (CSSG) van het ICDT

In zijn huidige vorm is de subgroep Cyberbeveiliging (CSSG) van het ICDT in september 2020 opgericht ter vervanging van de vaste subgroep Beveiliging van het gewezen CII. Vergeleken met zijn voorganger volgt de subgroep Cyberbeveiliging (CSSG) een beter gestructureerde, ambitieuzere en meer resultaatgerichte benadering. De activiteiten worden uitgevoerd door taskforces (TF’s) die regelmatig bijeenkomen en die zich richten op de belangrijkste gemeenschappelijke kwesties:

  • TF1 “Common standards, benchmarking and maturity”
  • TF2 “Sharing platform methods and tool and contracts”
  • TF3 “Cloud security”
  • TF4 “Cyberskills talent development”
  • TF5 “CyberAwareness”
  • TF6 “Security of videoconferences”

Volgens het mandaat van de subgroep Cyberbeveiliging is het secretariaat ermee belast periodiek toezicht uit te oefenen op, en verslag uit te brengen over de voortgang van de activiteiten van de taskforces. Het brengt regelmatig verslag uit aan de voorzitter en ondervoorzitter van de subgroep Cyberbeveiliging van het ICDT en verzamelt op gezette tijden input bij coördinatoren van de taskforces. Aan het einde van het jaar moet de subgroep Cyberbeveiliging ook een beknopt activiteitenverslag voorleggen.

De subgroep Cyberbeveiliging (CSSG) van het ICDT wordt momenteel voorgezeten door de Commissie, terwijl een vertegenwoordiger van het ICTAC ondervoorzitter is. De subgroep heeft geen beslissingsbevoegdheid, maar kan het ICDT aanbevelen beslissingen over relevante kwesties te nemen.

Netwerk van agentschappen

Het Netwerk van agentschappen van de Europese Unie (EUAN) is een informeel netwerk dat in 2012 is ingesteld door de hoofden van EU-agentschappen. EUAN bestaat momenteel uit 48 gedecentraliseerde agentschappen en gemeenschappelijke ondernemingen van de EU. EUAN heeft tot doel de leden van het netwerk een platform aan te reiken voor uitwisseling en samenwerking op gebieden van gemeenschappelijk belang. Het ICT-adviescomité (ICTAC) is als subgroep van EUAN belast met het bevorderen van samenwerking op ICT-gebied en ook wat cyberbeveiliging betreft.

ICT-adviescomité (Information and Communications Technology Advisory Committee, ICTAC)

Het ICTAC bevordert de samenwerking tussen agentschappen en gemeenschappelijke ondernemingen op ICT-gebied. Het ICTAC stelt zich ten doel levensvatbare en economische oplossingen te vinden voor gemeenschappelijke problemen, informatie uit te wisselen en waar nodig gemeenschappelijke standpunten vast te stellen. Overeenkomstig het mandaat van het ICTAC worden tweemaal per jaar algemene vergaderingen gehouden die door alle leden worden bijgewoond. Voorts worden ook regelmatig maandelijkse vergaderingen gehouden voor de vertegenwoordigers van het ICTAC in CSSG Task Forces, de vertegenwoordiger van het ICTAC in CSSG en de “trojka” van het ICTAC. De trojka bestaat uit de zittende, de gewezen en de toekomstige voorzitter van het ICTAC (elke voorzitter blijft één jaar aan). De taak van de trojka bestaat erin de zittende voorzitter waar nodig te ondersteunen in alle aangelegenheden die verband houden met zijn/haar taak en vervanging.

Acroniemen en afkortingen

APT: geavanceerde aanhoudende dreiging (Advanced Persistent Threat)

CERT-EU: computercrisisresponsteam (Computer Emergency Response Team) voor de EU-IOA’s

CIS: communicatie- en informatiesystemen

CISO: centrale informatiebeveiligingsfunctionaris (Chief Information Security Officer)

CSA: cyberbeveiligingsverordening (Cybersecurity Act)

CSIRT: computercalamiteitenteam (Computer Security Incident Response Team)

DG HR: directoraat-generaal Personele Middelen en Veiligheid

DG DIGIT: directoraat-generaal Informatica

Enisa: Agentschap van de Europese Unie voor cyberbeveiliging

EUAN: Netwerk van agentschappen van de Europese Unie (European Union Agencies’ Network)

EU-IOA’s: instellingen, organen en agentschappen van de Europese Unie

eu-LISA: Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht

ICDT CSSG: subgroep Cyberbeveiliging (Cyber Security Sub-Group) van het ICDT

ICDT: Interinstitutioneel Comité voor digitale transformatie

ICT: informatie- en communicatietechnologie

ICTAC: ICT-adviescomité (Information and Communications Technology Advisory Committee)

IR: interinstitutionele regeling

ISACA: Information Systems Audit and Control Association

ITCB: Raad voor informatietechnologie en cyberbeveiliging (Information Technology and Cybersecurity Board)

MoU: memorandum van overeenstemming (Memorandum of Understanding)

NIB: netwerk- en informatiebeveiliging

SLA: overeenkomst inzake het dienstverleningsniveau (Service Level Agreement)

vte: voltijdequivalent

Woordenlijst

Advanced Persistent Threat: geavanceerde aanhoudende dreiging, een aanval waarbij een onbevoegde gebruiker toegang verkrijgt tot een systeem of netwerk en daar gedurende een langere periode blijft — zonder te worden opgemerkt — om gevoelige gegevens te stelen.

Computercrisisresponsteam voor de EU-IOA’s (CERT-EU): knooppunt voor informatie-uitwisseling en coördinatie van de respons op incidenten voor alle EU-instellingen, -organen en agentschappen (“constituerende delen”).

Cyberbeveiliging: alle maatregelen om IT-netwerken en -infrastructuur en de daarin opgenomen gegevens te beschermen tegen externe dreigingen.

Cyberspace: de wereldwijde onlineomgeving waarin onlinecommunicatie plaatsvindt tussen mensen, software en diensten via computernetwerken en andere verbonden apparaten.

Cyberspionage: de handeling of praktijk van het verkrijgen van geheimen en informatie zonder toestemming of medeweten van de houder van de informatie, met gebruikmaking van het internet, netwerken of afzonderlijke computers.

Penetratietest: methode om de mate van beveiliging van een IT-systeem te beoordelen door te proberen de beveiligingswaarborgen te omzeilen met instrumenten en technieken die doorgaans door tegenstanders worden ingezet.

Phishing: de praktijk van het verzenden van e-mails die zogenaamd van een betrouwbare afzender komen om ontvangers onder valse voorwendselen aan te moedigen om op malafide links te klikken of persoonsgegevens te delen.

Red teaming: realistische simulatie van cyberaanvallen door gebruik te maken van het verrassingselement en in de realiteit waargenomen technieken en daarbij de nadruk te leggen op specifieke doelstellingen door middel van meerdere aanvalspatronen.

Social engineering: in de informatiebeveiliging: psychologische manipulatie om mensen onder valse voorwendselen over te halen iets te doen of vertrouwelijke informatie te delen.

Voetnoten

1 Verordening (EU) 2019/881.

2 ISO/IEC 27000:2018.

3 ERK — Evaluatie nr. 02/2019: Uitdagingen voor een doeltreffend EU-beleid inzake cyberbeveiliging (Briefingdocument).

4 CERT-EU, Threat Landscape Report, juni 2021.

5 Ibid.

6 Ibid.

7 Ibid.

8 Cyberattack on EMA – update 6, 25 januari 2021.

9 Speciaal verslag nr. 22/2020 van de ERK: De toekomst van EU-agentschappen — mogelijkheden tot meer flexibiliteit en samenwerking, paragraaf 01.

10 PB C 12 van 13.1.2018, blz. 1.

11 Enisa, Threat Landscape 2020, Sectoral/thematic threat analysis.

12 Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.

13 Voorstel voor een richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie.

14 COM(2020) 605 final.

15 JOIN(2020) 18 final.

16 ISACA, Certified Information System Auditor review manual, 2019.

17 Mededeling aan de Commissie, European Commission Digital Strategy: A digitally transformed, user-focused and data-driven Commission, C(2018) 7118 final van 21 november 2018.

18 ISO/IEC-norm 27000:2018, hoofdstuk 5.

19 COBIT 5 for Information Security, punt 4.2.

20 Zie bijvoorbeeld ISO/IEC 27000:2018, punt 4.5.

21 Enisa, Thread Landscape 2020, Sectoral/thematic threat analysis.

22 Reeks controles afgeleid van CIS Controls 7.1, een kader voor beste praktijken dat wordt beheerd door het Center for Internet Security (CIS).

23 Implementation Group 1 (IG1) van de CIS Controls.

24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

25 Besluit (EU, Euratom) 2017/46 van de Commissie van 10 januari 2017 over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie.

26 Artikel 7 van de op 20 december 2017 ondertekende interinstitutionele regeling (IR).

27 Europese Commissie, The European Commission Cloud Strategy, 2019.

28 De taken van Enisa worden opgesomd in hoofdstuk II (artikelen 5-12) van Verordening (EU) 2019/881.

29 Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad; de taken van Enisa uit hoofde van deze verordening zijn te vinden in artikel 3.

30 Artikel 6 van Verordening (EU) 2019/881.

31 Artikel 14 van de cyberbeveiligingsverordening.

32 Artikel 18 van de cyberbeveiligingsverordening.

33 Persbericht van de Europese Commissie: Betere cyberbeveiliging in EU-instellingen door geslaagd proefproject.

34 Artikel 3, lid 3, van de op 20 december 2017 ondertekende interinstitutionele regeling (IR).

35 Artikel 3, lid 2, van de interinstitutionele regeling (IR).

36 Overweging 7 van de interinstitutionele regeling (IR).

37 Het EESC en het CvdR worden als één EU-IOA gerekend.

Contact

EUROPESE REKENKAMER
12, rue Alcide De Gasperi
L-1615 Luxemburg
LUXEMBURG

Tel. +352 4398-1
Inlichtingen: eca.europa.eu/nl/Pages/ContactForm.aspx
Website: eca.europa.eu
Twitter: @EUAuditors

Meer gegevens over de Europese Unie vindt u op internet via de Europaserver (https://europa.eu).

Luxemburg: Bureau voor publicaties van de Europese Unie, 2022

PDF ISBN 978-92-847-7612-2 ISSN 1977-575X doi:10.2865/49939 QJ-AB-22-003-NL-N
HTML ISBN 978-92-847-7589-7 ISSN 1977-575X doi:10.2865/129914 QJ-AB-22-003-NL-Q

AUTEURSRECHT

© Europese Unie, 2022

Het beleid van de Europese Rekenkamer (ERK) inzake hergebruik is uiteengezet in Besluit nr. 6-2019 van de ERK over het opendatabeleid en het hergebruik van documenten.

Tenzij anders aangegeven (bijv. in afzonderlijke auteursrechtelijke mededelingen), wordt voor inhoud van de ERK die eigendom is van de EU een licentie verleend in het kader van de Creative Commons Attribution 4.0 International (CC BY 4.0)-licentie. Als algemene regel geldt derhalve dat hergebruik is toegestaan mits de bron correct wordt vermeld en eventuele wijzigingen worden aangegeven. De hergebruiker van ERK-inhoud mag de oorspronkelijke betekenis of boodschap niet wijzigen. De ERK is niet aansprakelijk voor mogelijke gevolgen van hergebruik.

Aanvullende toestemming moet worden verkregen indien specifieke inhoud personen herkenbaar in beeld brengt, bijvoorbeeld op foto’s van personeelsleden van de ERK, of werken van derden bevat.

Indien dergelijke toestemming wordt verkregen, wordt de bovengenoemde algemene toestemming opgeheven en zullen beperkingen van het gebruik daarin duidelijk worden aangegeven.

Wilt u inhoud gebruiken of reproduceren die geen eigendom van de EU is, dan dient u de auteursrechthebbende mogelijk rechtstreeks om toestemming te vragen.

Software of documenten waarop industriële-eigendomsrechten rusten, zoals octrooien, handelsmerken, geregistreerde ontwerpen, logo’s en namen, zijn uitgesloten van het beleid van de ERK inzake hergebruik.

De groep institutionele websites van de Europese Unie met de domeinnaam “europa.eu” bevat links naar sites van derden. Aangezien de ERK geen controle heeft over deze sites, wordt u aangeraden kennis te nemen van hun privacy- en auteursrechtbeleid.

Gebruik van het ERK-logo

Het logo van de ERK mag niet worden gebruikt zonder voorafgaande toestemming van de ERK.

Hoe neemt u contact op met de EU?

Kom langs
Er zijn honderden Europe Direct-informatiecentra overal in de Europese Unie. U vindt het adres van het dichtstbijzijnde informatiecentrum op: https://europa.eu/european-union/contact_nl

Bel of mail
Europe Direct is een dienst die uw vragen over de Europese Unie beantwoordt. U kunt met deze dienst contact opnemen door:

  • te bellen naar het gratis nummer: 00 800 6 7 8 9 10 11 (bepaalde telecomaanbieders kunnen wel kosten in rekening brengen),
  • te bellen naar het gewone nummer: +32 22999696, of
  • een e-mail te sturen via: https://europa.eu/european-union/contact_nl

Waar vindt u informatie over de EU?

Online
Informatie over de Europese Unie in alle officiële talen van de EU is beschikbaar op de Europa-website op: https://europa.eu/european-union/index_nl

EU-publicaties
U kunt publicaties van de EU downloaden of bestellen op: https://op.europa.eu/nl/publications (sommige zijn gratis, andere niet). Als u meerdere exemplaren van gratis publicaties wenst, neem dan contact op met Europe Direct of uw plaatselijke informatiecentrum (zie https://europa.eu/european-union/contact_nl).

EU-wetgeving en aanverwante documenten
Toegang tot juridische informatie van de EU, waaronder alle EU-wetgeving sinds 1951 in alle officiële talen, krijgt u op EUR-Lex op: http://eur-lex.europa.eu

Open data van de EU
Het opendataportaal van de EU (http://data.europa.eu/nl) biedt toegang tot datasets uit de EU. Deze gegevens kunnen gratis worden gedownload en hergebruikt, zowel voor commerciële als voor niet-commerciële doeleinden.