Europese instellingen moeten hun digitale beveiliging verbeteren. Sommige essentiële goede praktijken op het gebied van IT-beveiliging waaronder sommige essentiële controles worden niet altijd goed toegepast. Ook trekken enkele EU-instellingen, -organen en -agentschappen te weinig middelen uit voor digitale beveiliging.
Dit concludeert de Europese Rekenkamer in een rapport. Er is op diverse vlakken ruimte voor verbetering. “Onze conclusie is dat het bereikte niveau van cyberparaatheid in de gemeenschap van EU-instellingen, -organen en -agentschappen niet in verhouding staat tot de dreigingen waaraan zij is blootgesteld”, schrijft de Europese Rekenkamer.
Geen deugdelijke cybersecurity-governance
In het rapport constateert de rekenkamer dat in sommige EU-instellingen, -organen en -agentschappen nog geen deugdelijke cybersecurity-governance voorhanden is. Zo ontbreekt het vaak aan IT-beveiligingsstrategieën, of worden deze niet onderschreven door het hogere management. Ook is niet altijd een geformaliseerd beveiligingsbeleid beschikbaar en bestrijken risicobeoordelingen niet de volledige IT-omgeving. Daarnaast meldt de Europese Rekenkamer dat niet alle EU-instellingen, -organen en -agentschappen hun cyberbeveiliging regelmatig aan een onafhankelijke waarborg onderwerpen.
De Europese Rekenkamer concludeert dat cybersecurityopleidingen niet altijd op systematische wijze worden georganiseerd. Meer dan de helft van de EU-instellingen, -organen en -agentschappen biedt cybersecurityopleidingen aan voor IT-personeel en IT-security professionals. Weinig instellingen, organen en agentschappen geven managers die verantwoordelijk zijn voor IT-systemen met gevoelige informatie een verplichte securityopleiding. De Europese Rekenkamer noemt phishingoefeningen een belangrijk hulpmiddel om personeel op te leiden en het cyberbewustzijn te vergroten. Niet alle partijen maken daarvan systematisch gebruik.
Mogelijkheden tot synergie niet optimaal benut
Wel beschikken veel EU-instellingen, -organen en -agentschappen over structuren om samen te werken en informatie uit te wisselen op het gebied van cybersecurity. De Europese Rekenkamer stelt echter vast dat mogelijkheden tot synergie hierbij niet optimaal worden benut. Zo wisselen organisaties onderling niet op systematische basisinformatie uit over security-gerelateerde projecten, beveiligingsbeoordelingen en dienstverleningsovereenkomsten. Basiscommunicatiemiddelen zoals oplossingen voor versleuteld e-mailen of videoconferencing zijn daarnaast niet volledig interoperabel. Dit kan leiden tot minder veilige informatie-uitwisseling, dubbel werk en hogere kosten, waarschuwt de Europese Rekenkamer.
Het computercrisisresponsteam voor EU-instellingen, -organen en -agentschappen (CERT-EU) en het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) zijn de twee voornaamste Europese instanties die partijen ondersteunen op het gebied van cybersecurity. Deze instanties kunnen echter niet alle nodige ondersteuning bieden, aangezien hun middelen zijn beperkt of de prioriteit op andere actiegebieden ligt. Dit geldt in het bijzonder bij de capaciteitsopbouw voor EU-instellingen, -organen en -agentschappen met een lager maturiteitsniveau, meldt de Europese Rekenkamer. “CERT-EU wordt zeer gewaardeerd door de EU-instellingen, -organen en -agentschappen, maar ziet zijn doeltreffendheid niet alleen in gevaar komen door een toenemende werklast en instabiele financiële en personele middelen, maar ook doordat sommige EU-instellingen, -organen en -agentschappen onvoldoende samenwerken en niet altijd tijdig informatie uitwisselen over kwetsbaarheden en significante cyberbeveiligingsincidenten die voor hen gevolgen hadden of die een weerslag op andere instanties kunnen hebben.”
Drie adviezen
De Europese Rekenkamer geeft drie adviezen:
- De Europese Commissie moet de cyberparaatheid van EU-instellingen, -organen en -agentschappen verbeteren door bindende gemeenschappelijke regels voor cyberbeveiliging in te stellen voor alle partijen, en de middelen die het CERT-EU beschikbaar heeft te vergroten.
- De Europese Commissie moet in het kader van het Interinstitutioneel Comité voor digitale transformatie (ICDT) verdere synergieën tussen EU-instellingen, -organen en -agentschappen bevorderen op welbepaalde gebieden.
- CERT-EU en ENISA moeten zich gaan richten op EU-instellingen, -organen en -agentschappen met een minder hoog niveau van cyberbeveiligingsmaturiteit.
Petra Claessen, CEO BTG en BTG Services: “Regelmatig worden we opgeschrikt door cyberaanvallen, ransomwarebesmettingen en datalekken. Het is dan ook van cruciaal belang dat organisaties hun digitale veiligheid op orde hebben. Belangrijk daarbij is ook dat EU-instellingen, -organen en -agentschappen het goede voorbeeld geven aan het bedrijfsleven.”