Schriftelijke vragen aan EC: Cyberaanvallen in de Europese Unie

Vraag met verzoek om schriftelijk antwoord P-004398/2017
aan de Commissie
Artikel 130 van het Reglement
Esther de Lange (PPE)
Betreft: Cyberaanvallen in de Europese Unie
1. Bestaat er op dit moment een reële dreiging in de Europese Unie op black-outs van elektriciteitsnetwerken en/of andere kritische infrastructuur door grootschalige cyberaanvallen zoals WannaCry en die van 27 juni 2017 die Europese huishoudens, bedrijven en industrie schade toe kunnen brengen? ,
2. Welke actie onderneemt de Europese Commissie om ervoor te zorgen dat elektriciteitsnetwerken en andere kritische infrastructuur bestand zijn tegen dreigingen van deze aard zodat het risico op black-outs geminimaliseerd of vermeden kan worden?
3. Evalueert de Commissie de totale schade die is veroorzaakt door cyberaanvallen zoals WannaCry en die op 27 juni 2017 heeft plaatsgevonden en kan de Commissie aangeven hoeveel schade cyberaanvallen in Europa aanrichten ieder jaar?

NL P-004398/2017 Antwoord van mevrouw Gabriel namens de Commissie (22.8.2017)

Het aantal cyberaanvallen is de laatste tijd gestegen. Sinds 2016 hebben er meer dan 4 000 ransomware-aanvallen plaatsgevonden; een stijging van 300 % ten opzichte van 2015 . In 2016 zijn vooral de financiëlediensten-, de energie- en de defensiesector de dupe geworden van cyberaanvallen. De WannaCry-aanval , waardoor meer dan 150 landen en meer dan 230 000 systemen werden getroffen , had in dit verband met name een grote impact.

Om de cyberweerbaarheid van de EU te vergroten, is in 2016 de richtlijn netwerk- en informatiebeveiliging vastgesteld. Met deze richtlijn worden de nationale capaciteiten versterkt en samenwerkingsfora opgezet, zodat informatie tussen de lidstaten beter kan worden uitgewisseld en er een duidelijker beeld van de cyberrisico’s kan worden verkregen. De richtlijn bevat daarnaast meldingsvereisten voor aanbieders van essentiële diensten in verschillende sectoren (waaronder de energiesector). De omzettingstermijn is vastgesteld op 9 mei 2018 en de aanbieders van essentiële diensten moeten uiterlijk op 9 november 2018 zijn aangewezen.

Wat de energiesector betreft, wees de Commissie in haar wetgevingsvoorstel “Schone energie voor alle Europeanen” van november 2016 op het belang om innovatie te bevorderen door middel van digitalisering, cyberveiligheid en voorzieningszekerheid. Daarnaast buigt de Commissie zich samen met speciale deskundigengroepen over cyberveiligheid in de energiesector , over de vraag hoe de risico’s voor persoonsgegevens kunnen worden beperkt en over de beveiliging van slimmemetersystemen .

De richtlijn over aanvallen op informatiesystemen draagt eveneens bij tot de beoordeling van de totale impact van cyberaanvallen door lidstaten te verplichten gegevens te delen over het aantal gemelde aanvallen en het aantal vervolgde en veroordeelde personen. Overeenkomstig artikel 17 van deze richtlijn wordt in september 2017 bij het Parlement en de Raad een verslag over de omzetting van de richtlijn ingediend.