Veel Europese instellingen zijn niet opgewassen tegen grootschalige cyberaanvallen, concludeert de Europese Rekenkamer in een rapport dat dinsdag is gepubliceerd. Als oplossing moet onder meer de Europese onderlinge samenwerking op het gebied van cyberveiligheid worden verbeterd.
Aan het onderzoek van de Rekenkamer deden 65 Europese overheidsinstellingen mee, waaronder de Europese Commissie (EC) en de Europese Centrale Bank.
De Rekenkamer schrijft in het rapport dat het aantal cyberincidenten bij Europese bestuursorganen tussen 2018 en 2021 meer dan vertienvoudigd is. Het gaat daarbij voornamelijk om hacks en cyberaanvallen. Volgens de Rekenkamer duurt het vaak “weken of maanden om deze incidenten te onderzoeken en ervan te herstellen”. Ook ziet de instantie dat thuiswerken “tot een forse toename van het aantal potentiële toegangspunten voor aanvallers heeft geleid.”
Een van de belangrijkste bevindingen van de Rekenkamer is dat Europese instellingen geen gezamenlijke, duidelijke aanpak hebben voor cyberdreigingen. Daarnaast verschilt de kwaliteit van de systeembeveiliging per bestuursorgaan. Zo heeft 20 procent respondenten geen versleutelde e-mailservice. Ook heeft 40 procent van de instellingen geen geschikte middelen voor handen om gevoelige informatie uit te wisselen.
Een ander probleem is dat niet alle EU-organen op tijd informatie uit over kwetsbaarheden en “andere grote beveiligingsincidenten die voor hen of andere instanties gevolgen hadden”. Verder vindt de Rekenkamer dat het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) en het Europese computercrisisresponsteam (CERT-EU) zich meer moeten richten op het ondersteunen van de EU-instanties die minder ervaring hebben met cyberbeveiliging.
Europese instellingen blijven zelf verantwoordelijk voor hun eigen beveiliging.
De EC heeft gereageerd op het rapport van de Rekenkamer. Het zegt dat het de aanbevelingen van de instantie serieus neemt en dat het onlangs nieuwe regels heeft voorgesteld omtrent de cyberbeveiliging van EU-instantanties. De Commissie benadrukt echter dat de individuele instellingen wel verantwoordelijk blijven voor hun eigen cyberveiligheid. ENISA en CERT-EU beloven naar aanleiding van het onderzoek dat ze EU-instanties die minder ervaring hebben met cyberbeveiliging beter gaan ondersteunen.
