Europese instellingen zijn onvoldoende voorbereid op grote cyberaanvallen
Veel Europese instellingen zijn niet opgewassen tegen grootschalige cyberaanvallen, concludeert de Europese Rekenkamer in een dinsdag gepubliceerd rapport. Daarom moet volgens het adviesorgaan onder meer de Europese samenwerking op het gebied van cyberveiligheid worden verbeterd.
Aan het onderzoek van de Rekenkamer deden 65 EU-instellingen mee, waaronder de Europese Commissie (EC) en de Europese Centrale Bank (ECB).
De Europese Rekenkamer schrijft in het rapport dat het aantal cyberincidenten bij de bestuursorganen tussen 2018 en 2021 meer dan vertienvoudigd is. Het gaat daarbij voornamelijk om hacks en cyberaanvallen. Volgens de Europese Rekenkamer duurt het vaak "weken of maanden om deze incidenten te onderzoeken en ervan te herstellen". Ook ziet het adviesorgaan dat thuiswerken "tot een forse toename van het aantal potentiële toegangspunten voor aanvallers heeft geleid".
Een van de belangrijkste bevindingen van de Europese Rekenkamer is dat EU-instellingen geen gezamenlijke duidelijke aanpak van cyberdreigingen hebben. Daarnaast verschilt de kwaliteit van de systeembeveiliging per bestuursorgaan. Zo heeft 20 procent van de respondenten geen versleutelde e-mailservice. Bovendien heeft 40 procent van de instellingen geen geschikte middelen voorhanden om gevoelige informatie uit te wisselen.
Een ander probleem is dat niet alle EU-organen op tijd informatie uitwisselen over kwetsbaarheden en "andere grote beveiligingsincidenten die voor deze of andere instanties gevolgen hadden". Verder vindt de Europese Rekenkamer dat het agentschap van de Europese Unie voor cyberbeveiliging (ENISA) en het Europese computercrisisresponsteam (CERT-EU) zich meer moeten richten op het ondersteunen van de EU-instanties die minder ervaring hebben met cyberbeveiliging.
De EC zegt in een reactie de aanbevelingen van de Europese Rekenkamer serieus te nemen. De Europese Commissie laat ook weten onlangs nieuwe regels omtrent de cyberbeveiliging van EU-instanties te hebben voorgesteld. De Commissie benadrukt echter dat de individuele instellingen wel verantwoordelijk blijven voor de eigen cyberveiligheid. ENISA en CERT-EU beloven naar aanleiding van het onderzoek dat ze de EU-instanties die minder ervaring hebben met cyberbeveiliging beter gaan ondersteunen.