Veiligheid bij de Commissie

Nieuwe regels inzake informatiebeveiliging

Voorstel voor een verordening inzake informatiebeveiliging in de instellingen, organen en instanties van de Unie

Achtergrond

Door de steeds toenemende hoeveelheid gevoelige niet-gerubriceerde en gerubriceerde informatie van de Europese Unie die de instellingen, organen en instanties van de Unie onderling moeten delen en gezien de dramatische ontwikkeling van het dreigingscontext, kan de Europese overheid worden aangevallen op al haar werkterreinen. De informatie die door onze instellingen, organen, bureaus en agentschappen wordt verwerkt, is waardevol voor veel verschillende actoren die een bedreiging vormen, en moet op passende wijze worden beschermd.

De lidstaten hebben onze instellingen al opgeroepen om in deze richting te evolueren. Een belangrijk aspect van de door de Europese Raad in juni 2019 vastgestelde strategische agenda 2019-2024 is de bescherming van de door de Europese administratie verwerkte informatie tegen dreigingen. In zijn conclusies riep de Europese Raad de EU-instellingen op om samen met de lidstaten te werken aan maatregelen om de weerbaarheid en de veiligheidscultuur van de EU tegen cyber- en hybride dreigingen van buiten de EU te verbeteren, en om de informatie- en communicatienetwerken van de EU en haar besluitvormingsprocessen beter te beschermen tegen allerlei kwaadwillige activiteiten.

In juli 2020 heeft de Commissie haar EU-strategie voor de veiligheidsunie vastgesteld, waarin zij zich ertoe verbond de nationale inspanningen op het gebied van veiligheid aan te vullen. Een deel van deze verbintenis is het initiatief om de interne rechtskaders voor informatiebeveiliging in alle instellingen, organen en instanties van de Unie te harmoniseren.

Doelstellingen

De algemene doelstelling van dit voorstel is voor alle instellingen, organen en instanties van de Unie een reeks standaardregels voor informatiebeveiliging van hoog niveau vast te stellen om een betere en consistente bescherming tegen de steeds veranderende bedreigingen te waarborgen.

De algemene doelstelling omvat vier specifieke doelstellingen:

geharmoniseerde en alomvattende categorieën informatie vaststellen op basis van het vertrouwelijkheidsniveau
lacunes in de beveiliging in kaart brengen en de vereiste maatregelen uitvoeren
een efficiënt forum instellen voor samenwerking inzake informatiebeveiliging in de instellingen, organen, bureaus en agentschappen van de EU
het beleid inzake informatiebeveiliging moderniseren, rekening houdend met de huidige ontwikkelingen zoals digitale transformatie en telewerken

Vragen en antwoorden

Waarom komt de Commissie met een voorstel voor een verordening inzake informatiebeveiliging in de instellingen, organen, bureaus en agentschappen van de EU?

De instellingen, organen, bureaus en agentschappen van de EU hebben momenteel hun eigen regels inzake informatiebeveiliging of hebben dergelijke regels helemaal niet vastgesteld. De versnippering van het toepasselijke rechtskader heeft geleid tot aanzienlijke verschillen tussen de beveiligingsniveaus die deze organisaties kunnen waarborgen voor de informatie die zij verwerken. Deze situatie vergroot het risico dat aanvallers in de zwakste schakel de beveiliging doorbreken en dit als uitgangspunt gebruiken voor verdere aanvallen op andere instellingen of organen.

Door voor alle instellingen, organen, bureaus en agentschappen van de EU één enkele reeks regels inzake informatiebeveiliging vast te stellen, kan de Commissie zorgen voor een gemeenschappelijke basis van hoge normen voor de bescherming van de verwerkte informatie. Bovendien kunnen de geharmoniseerde regels de uitwisseling van informatie tussen de instellingen, organen, bureaus en agentschappen onderling, evenals met de lidstaten, vergemakkelijken.

Op wie zal de voorgestelde verordening van toepassing zijn?

De voorgestelde regels zouden van toepassing zijn op de administratie van de EU (instellingen, organen, bureaus en agentschappen). Dit kan indirect verplichtingen opleggen aan personen die taken uitvoeren namens deze administratie of op contractuele basis (met uitzondering van de commissarissen, de vertegenwoordigers van de lidstaten, handelend in het kader van de Raad, de leden van het Europees Parlement, de rechters van de rechterlijke instanties van de Unie of de leden van de Europese Rekenkamer).

Dit voorstel voor een verordening is niet van toepassing op de lidstaten.

Welke categorieën informatie vallen onder deze voorgestelde verordening?

Dit voorstel heeft betrekking op niet-gerubriceerde en gerubriceerde EU-informatie en omvat de volgende vertrouwelijkheidsniveaus:

drie niveaus van niet-gerubriceerde informatie: algemeen gebruik, normaal en gevoelig
vier niveaus van gerubriceerde EU-informatie: BEPERKT, VERTROUWELIJK, GEHEIM, TOP SECRET

Zullen de voorgestelde regels worden herzien?

Om de 5 jaar na de begindatum van de toepassing zal de Commissie de verordening evalueren om na te gaan wat de daadwerkelijke effecten ervan zijn en of verdere maatregelen nodig zijn.

Bovendien brengt de Commissie regelmatig aan het Europees Parlement en de Raad verslag uit over de tenuitvoerlegging van deze verordening.

Wat zijn de volgende stappen?

Voor de goedkeuring van het voorstel van de Commissie zal de gewone wetgevingsprocedure in het Europees Parlement en de Raad worden gevolgd.

Op de informele bijeenkomst van de ministers van Telecommunicatie in Nevers op 9 maart 2022 werden de EU-instellingen, -agentschappen en -organen opgeroepen om hun cyberbeveiliging en informatiebeveiliging verder te versterken, aangezien de EU een belangrijke strategische speler is geworden die op het internationale toneel haar gegevens en netwerken moet beveiligen tegen cyberdreigingen.

Documenten

Impact analysis accompanying the proposal

JRC study on information security in the age of EU institutions digitalisation

Links

Persbericht

Text of the proposal

The EU Security Union Strategy: European Security Union

Besluiten van de Commissie

De EU-strategie voor de veiligheidsunie: Europese veiligheidsunie | Europese Commissie (europa.eu)

Het doel van beveiliging bij de Commissie is de Commissie in staat te stellen in een veilige omgeving te werken. De Commissie moet dus zorgen voor de beveiliging van personen, goederen en informatie binnen de Commissie op basis van Besluit (EU, Euratom) 2015/443 van de Commissie betreffende veiligheid binnen de Commissie en Besluit (EU, Euratom) 2015/444 van de Commissie betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie. Dit omvat met name de fysieke integriteit van personen en goederen, de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en communicatie- en informatiesystemen, alsmede de onbelemmerde werking van de werkzaamheden van de Commissie.

In dit verband kan het zijn dat de Commissie persoonsgegevens moet verwerken. Dit gebeurt altijd in overeenstemming met Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG.

Privacyverklaringen over veiligheidsrelevante procedures worden hieronder vermeld:

Documents

9 AUGUSTUS 2019

Instructions for sensitive European Commission documents

19 APRIL 2022

Privacy statement on security - European Commission Physical Access Control System (PACS)

français
(731.92 KB - PDF)
Downloaden

6 MEI 2020

Privacy statements on security - European Commission Video Surveillance Policy (CCTV)

français
(495.62 KB - PDF)
Downloaden

19 APRIL 2022

Privacy statement - Security Investigations

2 MEI 2020

Privacy statement on security - Counter-Intelligence - Counter-Terrorism/Extremism - Threats against the Commission

7 APRIL 2022

Privacy statements on security - Background Checks for Contractor staff