Hoe het Parlement cyberveiligheid in de EU wil verbeteren (interview)

EP-leden willen Europeanen en bedrijven beter beschermen tegen toenemende cyberaanvallen. Lees er meer over in ons interview met Europarlementslid Bart Groothuis.

Dit interview vond plaats voordat de richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS2) in november 2022 door het Parlement werd aangenomen.

Nu dat netwerk- en informatiesystemen een centraal kenmerk worden in ons dagelijkse leven, zijn de bedreigingen voor onze cyberveiligheid ook toegenomen. Ze kunnen voor financiële schade zorgen en zelfs water- en energietoevoer of de werkzaamheden van ziekenhuizen verstoren. Een robuuste cyberveiligheid is essentieel om burgers te beschermen, om de digitale transitie te bevorderen en om de economische, sociale en duurzame voordelen van digitalisering volledig te begrijpen.

Meer lezen over waarom cyberveiligheid belangrijk is in de EU.

Het Parlement nam op 11 november haar onderhandelingsstandpunt in over de herziening van de richtlijn voor de veiligheid van netwerk- en informatiesystemen (de NIS-richtlijn). De Europarlementariër die verantwoordelijk is voor het dossier licht toe wat het Europees Parlement wil.

Wat zijn de belangrijkste bedreigingen voor de cyberveiligheid?

Ransomware is veruit de grootste bedreiging. In 2020 verdrievoudigden de aanvallen en dit jaar zien we een nieuwe piek. Tien jaar geleden richtte ransomware zich tot individuen. Iemand moest dan €100 of €200 betalen aan een hacker. Tegenwoordig is de gemiddelde betaling €140.000. Niet alleen grote bedrijven, maar ook kleine ondernemingen worden slachtoffer en moeten betalen omdat ze anders niet kunnen functioneren.

Het is ook de voornaamste bedreiging omdat het door corrupte staten gebruikt wordt in hun buitenlands beleid.

Meer lezen over de voornaamste en nieuwe bedreigingen voor onze cyberveiligheid.

Ransomware

• Een soort malware dat het computersysteem infecteert, waardoor het slachtoffer het systeem en de bewaarde gegevens niet meer kan gebruiken. Het slachtoffer ontvangt via een pop-up een chantagemail voor losgeld om de toegang te herstellen.

Hoe beïnvloedt deze ransomware-pandemie het leven van een burger of een bedrijf?

We zien dat ransomware gericht is op bijna alles dat diensten levert aan burgers. Dit kan bijvoorbeeld een lokale gemeente zijn, een ziekenhuis of een lokale fabrikant.

Het Parlement en de Raad werken aan wetgeving voor cyberveiligheid. De doelstelling is om deze instanties beter te beschermen tegen hackers. EU-bedrijven die essentiële of belangrijke diensten leveren zullen maatregelen moeten nemen om cyberveiligheid te garanderen, en regeringen moeten de capaciteit hebben om deze bedrijven te helpen en hen en andere regeringen informatie te geven.

Wat wil het Parlement?

Het Parlement wil dat de wetgeving ambitieus is. Het moet een brede reikwijdte hebben en we moeten instanties die essentieel zijn voor onze manier van leven dekken en helpen. Europa moet een veilige plek zijn om te wonen en zaken te doen. En we mogen niet wachten, we hebben deze nieuwe wetgeving dringend nodig.

Waarom is het belangrijk om snel te zijn?

Wanneer het over cyberveiligheid gaat, moet je ervoor zorgen dat je niet de zwakste schakel bent. EU-bedrijven investeren al 41% minder dan bedrijven in de VS. En de VS gaat snel vooruit - Biden creëert momenteel noodwetgeving en je wil niet in een positie staan waar Europa aantrekkelijker is voor ransomware hackers in vergelijking met andere delen van de wereld. Investeringen in cyberveiligheid moeten nú gebeuren.

De tweede reden zijn de problemen in de cyberveiligheid-gemeenschap die zo snel mogelijk moeten worden opgelost. Cyberveiligheid-professionals zijn regelmatig bezorgd over GDPR - kunnen ze wel of niet gegevens op het vlak van cyberveiligheid delen? Er zou een soliede wettelijke basis moeten zijn om dergelijke gegevens te delen om cyberaanvallen te helpen voorkomen.

Wat zijn de uitdagingen voor het Parlement in de onderhandelingen?

Er zal een debat zijn over de reikwijdte, over welke instanties moeten worden opgenomen. En we zullen de administratieve impact op bedrijven moeten bespreken. Het Parlement gelooft dat de wetgeving bedrijven moet beschermen, maar het moet ook praktisch en haalbaar zijn; wat kunnen we redelijkerwijs vragen? Een andere kwestie is de kern van het internet, het basisniveau van domeinnaamdiensten. De Europese Commissie en de Raad willen deze toevoegen aan de regelgeving en het reguleren. Ik ben hier sterk tegen, want Rusland en China zullen hetzelfde willen doen en we moeten de kern vrij en open houden, en ons model met verschillende belanghebbenden behouden.

Waarom is het belangrijk om gezamenlijke cyberveiligheid-regels in alle EU-landen te hebben?

De basis van deze wetgeving is de werking van de interne markt. Het zou geen verschil mogen uitmaken of je nu in Slowakije, Duitsland of Nederland zakendoet, je moet ervoor zorgen dat er een gemeenschappelijk niveau van cyberveiligheid-vereisten is en dat het land waarin je vertoeft dergelijke infrastructuur heeft. We moeten de regels harmoniseren en het leven van onze burgers veiligstellen.

Een gemeenschappelijk niveau van cyberveiligheid in de EU

• Cyberveiligheid: EP-leden versterken EU-wijde vereisten tegen bedreigingen (28. 10. 2021)
• (open in nieuw tabblad) Bekijk de wettelijke procedure (Oeil)
• Wettelijke procedure (legislative train)
• Briefing EP Think Thank
• (open in nieuw tabblad) Europese Commissie
• (open in nieuw tabblad) Ransomware

Meer artikelen over dit onderwerp

• Bestrijding van cybercriminaliteit: nieuwe EU-wetgeving inzake cyberbeveiliging uitgelegd