De Europese Unie streeft ernaar haar digitale defensie te versterken op een moment dat cyberaanvallen en hybride acties dagelijkse praktijken zijn geworden tegen essentiële diensten en democratische instellingen. Op 20 januari 2026 presenteerde de Europese Commissie een nieuw pakket cyberveiligheidsmaatregelen met een duidelijk doel: de weerbaarheid en capaciteiten van de EU te vergroten in een steeds geavanceerdere dreigingsomgeving, waarin staatssponsors en criminele groepen samenkomen.
Het kernpunt van het pakket draait om twee elementen: enerzijds, een herziening van de Cybersecurity Verordening (Cybersecurity Act) om de focus te verscherpen op digitaletransportketens en het Europese certificeringsproces te vereenvoudigen; anderzijds, specifieke aanpassingen aan NIS2 om regulatoire frictie te verminderen, juridische duidelijkheid te verbeteren en de coördinatie te versterken, met een meer uitgesproken rol voor ENISA, het EU-agentschap voor cyberveiligheid.
Een centraal concept: de supply chain is niet langer slechts een “technisch onderwerp”
De Commissie baseert zich op de premisse die in 2026 niet meer ter discussie staat: veel van de ernstigste beveiligingsgaten ontstaan niet uit een “point fault”, maar uit afhankelijkheden, derden en toeleveringsketens. In de communautaire taal is supply chain security niet langer alleen de robuustheid van een product of dienst, maar omvat het ook risico’s gekoppeld aan de leverancier, strategische afhankelijkheden en zelfs externe inmenging in een geopolitieke context.
In dat kader streeft de herziening van de Cybersecurity Verordening naar het vaststellen van een “vertrouwde supply chain cybersecurity raamwerk”, gestandaardiseerd en op risico gebaseerd, om risico’s geïdentificeerd en gemitigeerd te krijgen op een coördinerende manier in de 18 kritieke sectoren van de EU, inclusief het economische aspect en marktvoorziening.
Wat stelt het pakket voor, praktisch gezien?
Tabel — De 4 pijlers van het Europese pakket
| Pijler | Wat verandert er | Welke belanghebbenden worden het meest geraakt | Doel |
|---|---|---|---|
| Digitaletransportketen | Vertrouwensraamwerk, gestandaardiseerd en op risico gebaseerd; focus op leveranciers uit derde landen met cyberveiligheidsrisico’s | Operators, publieke sector, ICT-leveranciers, kritieke sectoren | Afhankelijkheid verminderen en systeemrisico’s beperken |
| Europese certificering | Eenvoudigere procedures en standaardtijdslijnen (schema’s binnen 12 maanden) | Fabricanten, serviceproviders, MSSP’s, overheidsopdrachten | “Cyberveilig door ontwerp” en verifieerbare vertrouwenssignalen |
| Vereenvoudiging van naleving | Aanpassingen in NIS2 om jurisdictie te verduidelijken en lasten te verlichten | Bedrijven die onder NIS2 vallen (incl. kleine en middelgrote ondernemingen) | Lagere complexiteit en betere grensoverschrijdende toezicht |
| Versterkte ENISA | Vroegtijdige waarschuwingen, ondersteuning bij ransomware, kwetsbaarhedemanagement en coördinatie | Lidstaten, CSIRT’s, bedrijven en kritieke entiteiten | Snellere respons en echte Europese coördinatie |
(Samenvatting gebaseerd op door de Commissie gepubliceerde documentatie.)
“Derisking” in mobiele netwerken: het pakket bouwt voort op het 5G-toolbox
Een bijzonder gevoelig punt betreft mobiele netwerken. De Commissie geeft aan dat de herziening van de Cybersecurity Verordening een “verplichte derisking” mogelijk maakt voor leveranciers uit derde landen die als hoog risico worden beschouwd in mobiele netwerken, gesteund door de reeds ontwikkelde 5G security toolbox.
In de praktijk betekent dit dat Brussel een sterker juridisch instrument wil om te voorkomen dat het beleid enkel van aanbevelingen of ongelijke snelheden tussen lidstaten afhangt, maar dat er een gezamenlijk vermogen is om exposure te verminderen wanneer er relevante risico’s bestaan.
Certificering: minder bureaucratie, meer marktvertrouwen
De tweede pijler betreft certificering. De Commissie stelt voor het European Cybersecurity Certification Framework (ECCF) te vernieuwen zodat het duidelijker en operationeler wordt, met eenvoudigere procedures en een principe van snelheid: doorgaans moeten schema’s binnen 12 maanden ontwikkeld worden.
De onderliggende ideeën zijn tweeledig:
- Voor bedrijven is certificering een praktisch en vrijwillig instrument om aan te tonen dat ze voldoen aan de Europese normen, en om kosten en administratieve lasten te verlichten.
- Voor de markt is het ECCF een concurrentievoordeel: het verhoogt het vertrouwen en de veiligheid in complexe ketens waar kopers (en overheidsopdrachten) verifizierbare criteria nodig hebben.
Bovendien suggereert de Commissie dat het bereik verruimd wordt: niet alleen ICT-producten en -diensten, maar ook processen en beheerde veiligheidsdiensten, en zelfs de mogelijkheid om de “cyberveiligheidshouding” van een organisatie te certificeren wanneer de markt dit vraagt.
NIS2: aanpassingen voor minder frictie en betere coördinatie
Het pakket bevat ook amendementen op NIS2 om de juridische duidelijkheid te vergroten en de naleving te vergemakkelijken. De Commissie mikt erop de lasten te verminderen voor 28.700 bedrijven, inclusief 6.200 micro- en kleine ondernemingen, en een nieuwe categorie small mid-cap te creëren om nalevingskosten te drukken voor 22.500 organisaties.
De aangekondigde wijzigingen omvatten onder meer de vereenvoudiging van jurisdictieregels, verbeteringen in dataverzameling over ransomware, en een efficiëntere supervisie van grensoverschrijdende entiteiten, met ENISA die een sterkere coördinerende rol krijgt.
ENISA: meer dan een technische instantie – vroegtijdige waarschuwingen, ransomware en kwetsbaarheidgebruik
Sinds de invoering van de Cybersecurity Verordening van 2019 neemt ENISA in belang toe binnen het Europese ecosysteem. Met het pakket van januari 2026 stelt de Commissie voor haar verder te versterken om de EU en lidstaten te ondersteunen bij het begrijpen van gemeenschappelijke dreigingen en het verbeteren van paraatheid en responsie.
Enkele belangrijke functies:
- Uitgifte van vroegtijdige waarschuwingen over dreigingen en incidenten.
- Ondersteuning aan organisaties bij de respons en herstel van ransomware, in samenwerking met Europol en CSIRT’s.
- Ontwikkeling van een EU-benadering voor betere kwetsbaarhedemanagement.
- Stimulering van talentcapaciteit via de Cybersecurity Skills Academy en Europese accreditatieschema’s voor vaardigheden.
Politiek gezien beschouwde vicevoorzitter Henna Virkkunen het pakket als een antwoord op strategische risico’s die democratie en economie bedreigen, en als een stap naar het verzekeren van de soberanie technologische EU.
Tijdlijn: voorstel vandaag, bespreking morgen
De Commissie stuurt nu het pakket naar het Europees Parlement en de Raad. Volgens de plannen zou de Herzieningswet Cyberveiligheid van kracht worden nadat deze is goedgekeurd, terwijl de amendementen op NIS2 binnen een jaar geïmplementeerd moeten worden door de lidstaten, die hiervoor 1 jaar de tijd krijgen na invoering van de gewijzigde richtlijn.
Veelgestelde vragen
Wat betekent het dat de EU de “digitaletransportketen” wil beveiligen?
Dit betekent dat cyberveiligheid wordt beschouwd als een systeemrisico: niet alleen de software of hardware telt, maar ook afhankelijkheden, leveranciers, onderaannemers en geopolitieke risico’s die verbonden zijn aan bepaalde toeleveranciers in kritieke sectoren.
Wat verandert er voor bedrijven die technologie of diensten in Europa verkopen?
De nadruk ligt op een snellere, duidelijkere certificering en een “secure by design”-benadering. Voor fabrikanten, integrators en serviceproviders kan de Europese certificering een teken van vertrouwen worden met commerciële waarde, vooral in overheidsopdrachten en gereguleerde sectoren.
Beïnvloedt de herziening van de Cybersecurity Verordening 5G en telecomnetwerken?
Ja. De Commissie verbindt het nieuwe kader met de mogelijkheid om hoog-risico leveranciers te beperken (“derisking”) in mobiele netwerken, gesteund door het eerdere werk met de 5G toolbox.
Wanneer zal de echte impact van deze maatregelen zichtbaar zijn?
Niet onmiddellijk: eerst moeten ze worden onderhandeld en aangenomen. Desalniettemin geven ze de richting aan: meer eisen voor supply chain, meer nadruk op certificering en een sterker rol voor ENISA in coördinatie en respons.