De EU Cyber Solidarity Act komt eraan: dit betekent het

Door Phil Muncaster • 14 januari 2025

De EU heeft geen gebrek aan wetgeving op het gebied van cybersecurity. Het afgelopen jaar heeft de EU wetten geïntroduceerd die betrekking hebben op slimme apparaten, AI-veiligheid, financiële diensten, “belangrijk” en “essentieel” entiteitenen veiligheidscertificeringen. Toch is er tot nu toe geen strategie op continentniveau geweest om grootschalige cyberincidenten in de EU voor te bereiden, te detecteren en erop te reageren. EU-cybersolidariteitswet, die naar verwachting in 2025 een aanzienlijke impuls zal krijgen.

Het belooft veel, maar gelukkig vraagt het voor de meeste Britse organisaties weinig.

Waarom we het nodig hebben

Hoewel de Europese Commissie de Cyber Solidarity Act in april 2023 voorstelde, werden de zaden voor de oprichting ervan een jaar geleden geplant toen drie consortia van grensoverschrijdende Security Operations Centres (SOC's) werden geselecteerd. Het is geen toeval dat Rusland eerder dat jaar Oekraïne binnenviel. De dreiging van door de staat gesteunde digitale invallen en goed gefinancierde cybercrimegroepen die straffeloos opereren vanuit jurisdicties die buiten bereik liggen, zullen inderdaad de plannen voor de daad hebben verstevigd.

Zoals erkend door NIS 2, DORA, de Cybersecurity Act, de Cyber Resilience Act, de AI Act en andere statuten, vormen cyberaanvallen een groeiende maatschappelijke en economische bedreiging voor de EU. Ze kunnen de stabiliteit van het financiële systeem en levensreddende gezondheidszorgdiensten bedreigen, zoals blijkt uit de ransomware-gerelateerde IT-uitval bij ziekenhuizen in de regio. Ze dreigen ook desinformatie te verspreiden en verkiezingen te ondermijnen, om nog maar te zwijgen van de nationale veiligheid. En datalekken voeden een fraude-epidemie. Betalingsfraude alleen al was €2 miljard waard in de eerste helft van 2023, terwijl de EU schat dat cybercriminaliteit in het algemeen kosten jaarlijks € 5.5 biljoen. Dit laatste is meer dan een kwart van het totale BBP van de EU.

Volgens Microsoft komen deze trends samen. In zijn recente Digitaal Defensierapport 2024, waarschuwde de techgigant dat de grenzen tussen natiestaten en cybercriminaliteit steeds vager worden. Dit betekent dat er meer staatsactoren zijn die gemotiveerd worden door financieel gewin, zoals Noord-Korea en Iran. En door de staat gesponsorde groepen die cybercriminele tactieken, technieken en procedures (TTP's) gebruiken. Misschien wel het meest verontrustend is dat het ook betekent dat door de staat gesteunde hackers hun activiteiten uitbesteden aan cybercriminele groepen, vermoedelijk om ze geloofwaardig te kunnen ontkennen. Microsoft heeft al gezien dat Kremlin-hackers de hulp van Storm-0593 inroepen om Oekraïense organisaties aan te vallen.

Naarmate de dreigingssituatie verandert en de geopolitieke spanningen toenemen, is het logisch dat de EU een regionaal apparaat voor incidentrespons en cyberweerbaarheid wil opbouwen.

Wat zal de wet voorschrijven?

De wet bestaat uit drie hoofdelementen. Het wil het volgende introduceren:

Een Europees cyberbeveiligingsschild: Dit systeem, ook wel bekend als het Europees Cybersecurity Alert System, zal bestaan uit een reeks nationale en transnationale Security Operations Centres (SOC's) in de hele EU. Deze zijn ontworpen om de kracht van AI en analyses te benutten om waarschuwingen voor bedreigingen te detecteren en te delen.

Een cybernoodmechanisme: ontworpen om de paraatheid en respons op incidenten te verbeteren, voornamelijk via een EU Cybersecurity Reserve. Deze zal bestaan uit vooraf geselecteerde "vertrouwde aanbieders" uit de private sector die op verzoek van de EU of lidstaten kunnen worden ingezet om te helpen bij grote beveiligingsincidenten.

Het Cyber Emergency Mechanism belooft ook het idee van wederzijdse bijstand tussen lidstaten die getroffen zijn door incidenten te ondersteunen. En de selectie en periodieke kwetsbaarheidstests van kritieke infrastructuursectoren zoals gezondheidszorg en financiën. De te testen sectoren worden geselecteerd op basis van een gemeenschappelijke risicobeoordeling op EU-niveau.

Een mechanisme voor het beoordelen van cyberbeveiligingsincidenten: ontworpen om ernstige incidenten te beoordelen en te herzien op verzoek van de Europese Commissie of nationale autoriteiten. Veiligheidsagentschap ENISA zal de beoordeling uitvoeren en een document met geleerde lessen leveren met aanbevelingen voor verbetering van de veiligheidshouding van het blok.

Jeff Le, VP van wereldwijde overheidszaken en openbaar beleid bij het externe risicoplatform SecurityScorecard, vertelt ISMS.online dat het initiatief mogelijk meer nodig heeft dan de € 1.1 miljard (£ 920 miljoen) die er momenteel aan is toegewezen.

“In de VS is het systeem van wederzijdse hulp volwassener en verdient het aanzienlijke aandacht in de EU in het geval van een catastrofaal incident dat lidstaten verlamt”, voegt hij toe.

“ENISA zou een rol moeten spelen die verder gaat dan programma's en zou moeten proberen zijn aandeel in thought leadership te vergroten. Met name diepere partnerschappen met NIST en andere wereldwijde standaardisatie-instanties om zich te richten op supply chain resilience-metrieken, standaarden en beveiligingskaders zijn nodig nu een push voor harmonisatie in beeld komt.”

Le voegt eraan toe dat de incidentenrapportage in de EU ook zou kunnen profiteren van een nauwere afstemming op de wereldwijde rapportagesystemen voor incidenten in kritieke infrastructuur, zoals het Amerikaanse CIRCIA-proces.

“Rapportage zou beter op elkaar afgestemd moeten zijn en er zou een duidelijke focus moeten zijn op welke informatie essentieel is voor beleidsmakers en CISO's”, betoogt hij. “Gezien de recente problemen met Volt en Salt Typhoon in kritieke infrastructuur, zou er ook meer nadruk moeten liggen op het beoordelen van telecommunicatie. Hoewel andere sectoren worden genoemd, is dit kwetsbare gebied dat niet.”

Hoe je je erop voorbereidt

De wet zal voor de meeste Britse bedrijven weinig eisen.

"Na de Brexit zal het Verenigd Koninkrijk geen deel meer uitmaken van de samenwerkingsmechanismen die zijn geïntroduceerd door de Cyber Solidarity Act", vertellen Sarah Pearce en David Dumont, partners bij Hunton Andrews Kurth, aan ISMS.online.

“De wet is niet van toepassing op alle organisaties, alleen op organisaties die actief zijn in zeer kritische sectoren. Organisaties moeten op zijn minst op de hoogte blijven van de ontwikkelingen en beoordelen of ze binnen de reikwijdte van de wetgeving vallen. Organisaties die binnen de reikwijdte vallen, kunnen onderworpen worden aan 'gecoördineerde paraatheidstesten', dus de CISO en andere relevante interne teams zullen dergelijke testen moeten opnemen in hun governanceprogramma's.”

ISMS.online gaat er echter vanuit dat alleen organisaties met kritieke infrastructuur die actief zijn in de EU aan deze vereisten kunnen voldoen.

Edward Machin, advocaat bij Ropes & Gray, waarschuwt ook dat als deze tests kritieke kwetsbaarheden voor cyberdreigingen aan het licht brengen, dergelijke organisaties blootgesteld kunnen worden aan “bredere handhavings- en reputatierisico’s” die verband houden met de niet-naleving van andere EU-cyberwetten.

"CISO's in cruciale industriële sectoren die zich voorbereiden op de andere cyberwetten van de EU, zullen merken dat die voorbereidingen hen goed van pas komen bij het reageren op potentiële testverzoeken die worden gedaan onder de Cyber Solidarity Act", vertelt hij aan ISMS.online.

“Aangezien andere EU-cyberwetten een grotere impact hebben en zullen hebben op CISO's in het dagelijks leven, zou ik voorstellen om ons voorlopig op die wetten te concentreren, terwijl we de wet nauwlettend in de gaten houden.”

Het Europees Parlement en de Raad bereikten in maart 2024 een voorlopig akkoord over de wetgeving en de voorlopige tekst werd diezelfde maand gepubliceerd. Het is echter onduidelijk wanneer wetgevers deze formeel zullen aannemen. Verwacht in 2025 nog veel meer.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster