Woordenlijst · EU-cybersecurity Cyber Solidarity Act (EU Cyber Solidarity Act (Verordening 2024/2691))
EU-verordening, eind 2024 aangenomen, die een gecoördineerd mechanisme tussen lidstaten opzet voor het detecteren van, voorbereiden op en reageren op grootschalige cyberincidenten. Financiert het European Cybersecurity Shield, een Cyber Emergency Mechanism en een Cybersecurity Incident Review Mechanism.
## Wat de Cyber Solidarity Act feitelijk is
De Cyber Solidarity Act (Verordening EU 2024/2691) is het antwoord van de EU op het besef dat cybersecuritycapaciteit nog steeds versnipperd is over de lidstaten, terwijl de cyberdreiging dat niet is. De verordening werd begin 2024 politiek goedgekeurd als onderdeel van het Europese Cybersecuritypakket, naast wijzigingen op de Cybersecurity Act en een verordening voor managed services.
Waar [NIS2](/nl/glossary/nis2/) verplichtingen oplegt aan individuele entiteiten en de [Cyber Resilience Act](/nl/glossary/cyber-resilience-act/) productveiligheid reguleert, draait de Cyber Solidarity Act om *collectieve responscapaciteit op EU-niveau* — de coördinatielaag boven de nationale cybersecurityautoriteiten.
## De drie pijlers
De Act creëert drie operationele mechanismen, elk met een eigen budgetlijn.
### 1. European Cybersecurity Shield
Een federatief netwerk van nationale en grensoverschrijdende Security Operation Centres (SOC's). Het Shield combineert:
- **Nationale SOC's** — elke lidstaat wijst een of meer nationale SOC's aan die EU-cofinanciering ontvangen
- **Grensoverschrijdende SOC's** — groeperingen van drie of meer lidstaten die een gedeeld SOC-platform exploiteren
- **Threat intelligence delen** — realtime intelligence die via het Shield stroomt, ondersteund door AI-analyses
- **Publiek-private interface** — gecontroleerde toegang voor vertrouwde private partijen tot Shield-data
Het doel van het Shield is om cyberdreigingen eerder te detecteren, intelligence sneller grensoverschrijdend te delen en een EU-breed situationeel beeld te creëren dat vergelijkbaar is met wat grote landen nationaal hebben.
### 2. Cyber Emergency Mechanism
Het operationeel meest vernieuwende deel van de Act. Het Mechanism financiert:
- **Voorbereidingsacties** — testen van essentiële entiteiten in kritieke sectoren (energie, zorg, transport, digitale infrastructuur) op bekende dreigingen
- **Een nieuwe EU Cybersecurity Reserve** — vertrouwde private aanbieders die stand-by staan om te reageren op significante of grootschalige incidenten
- **Wederzijdse bijstand** — gecoördineerde grensoverschrijdende respons wanneer de middelen van één land tekortschieten
- **Financiële bijstand** aan lidstaten in herstel
De Reserve is operationeel vergelijkbaar met civiele bescherming-noodlijsten, maar dan voor cybersecuritybedrijven met EU-gevalideerde competenties.
### 3. Cybersecurity Incident Review Mechanism
Voor grote incidenten krijgt [ENISA](/nl/glossary/enisa/) nu de bevoegdheid om gestructureerde reviews uit te voeren na incidenten en lessons-learned-rapporten te publiceren. Conceptueel vergelijkbaar met onderzoeken naar luchtvaartveiligheid — institutioneel leren als regulatoire functie.
## Waarom dit een structurele verschuiving is
Drie redenen waarom de Cyber Solidarity Act ertoe doet — voorbij de specifieke bepalingen.
### Cybersecurity wordt EU-bevoegdheid op federaal niveau
Vóór 2024 ging EU-cybersecuritybeleid vooral over het harmoniseren van nationale verplichtingen. De Cyber Solidarity Act creëert *directe operationele capaciteit op EU-niveau* — gefinancierd uit het EU-budget, gecoördineerd door ENISA, uitgevoerd via SOC's en de Reserve. Dit lijkt meer op hoe de EU werkt rond munt of mededinging dan op hoe ze eerder op veiligheid opereerde.
### Vertrouwde private cybersecuritybedrijven krijgen regulatoire status
De Cybersecurity Reserve creëert een gevalideerde lijst van private cybersecurityaanbieders. Op de Reserve staan levert een aanzienlijk commercieel voordeel op — het is in feite een EU-erkend competentiestempel. Validatiecriteria omvatten vestigingsland, eigendomstransparantie en (belangrijk) afwezigheid van niet-EU juridische blootstelling.
### Solidariteit wordt verplicht, niet vrijblijvend
De "solidariteit" in de titel is niet aspirationeel. De verordening creëert juridische verplichtingen tot wederzijdse bijstand bij significante incidenten. Lidstaten kunnen niet zomaar weigeren te helpen — al worden de mechanismen voor kostenverdeling en operationeel commando nog uitgewerkt in uitvoeringshandelingen.
## Financiering
De Cyber Solidarity Act wordt begroot onder het Digital Europe Programme:
- **~€1,1 miljard** voor de uitvoeringsperiode 2024-2027
- Ongeveer **€400 miljoen voor het Shield**, met cofinanciering van nationale SOC's
- **€300+ miljoen voor het Cyber Emergency Mechanism**
- Resterend budget voor incident review, training en ondersteunende acties
Tegen 2027 worden deze bedragen herzien, met een brede verwachting van forse verhoging als de eerste operationele lessen dat rechtvaardigen.
## Implementatietijdlijn
- **Q4 2024**: Verordening aangenomen, in werking getreden
- **Q1-Q2 2025**: ENISA-uitvoeringshandelingen (SOC-eisen, Reserve-criteria, protocollen voor intelligence delen)
- **2025**: Eerste nationale SOC's aangewezen en gecofinancierd
- **2025-2026**: Eerste grensoverschrijdende SOC-consortia aangekondigd
- **2026**: Eerste raamcontracten voor de Cybersecurity Reserve ondertekend
- **2026-2027**: Eerste volwaardige operationele oefeningen
Per 2026 is het Shield deels operationeel. Verschillende grensoverschrijdende SOC-consortia draaien — waaronder een met Frankrijk-Duitsland-België en het Noord-Baltische cluster.
## Wat het in de praktijk betekent
### Voor Europese bedrijven
De meeste bedrijven zullen niet direct met de Cyber Solidarity Act in aanraking komen. De voordelen stromen door via de verbeterde threat intelligence van het Shield, die nationale CSIRT's verspreiden. Indirect creëert de Reserve een hoogwaardige private pool die autoriteiten van lidstaten snel kunnen mobiliseren tijdens grote incidenten.
Voor cybersecurityleveranciers is de Reserve een strategische kans. Op de Reserve-lijst staan is aanzienlijk waardevol. Dit wordt een pijler voor concurrentiedifferentiatie voor Europese cybersecuritybedrijven.
### Voor gereguleerde sectoren
Sectoren die onder NIS2 vallen (essentiële en belangrijke entiteiten) krijgen verbeterde threat intelligence via nationale CSIRT's. Het Shield is ontworpen om sectorale cyberincidentdetectie te vervroegen en grensoverschrijdende coördinatie te versnellen.
### Voor in de VS gevestigde cybersecuritybedrijven
De Reserve heeft expliciete eisen aan EU-jurisdictie. In de VS gevestigde bedrijven kunnen doorgaans niet direct deelnemen, al kunnen zij als onderaannemer optreden voor EU-gevalideerde hoofdaannemers. Dat sluit aan bij het bredere patroon van [SecNumCloud](/nl/glossary/secnumcloud/) en de omstreden [EUCS](/nl/glossary/eucs/) soevereiniteitscriteria.
### Voor publieke aanbesteders
Aanbestedingen door overheden voor cybersecuritycapaciteit zullen Reserve-deelname steeds vaker als kwalificerend criterium voorkeuren of vereisen. Verschillende lidstaten stellen al nationale aanbestedingsrichtlijnen op die Reserve-lidmaatschap tot verplicht of bijna-verplicht status verheffen.
## Cyber Solidarity Act vs NIS2 vs CRA
| Aspect | Cyber Solidarity Act | NIS2 | Cyber Resilience Act |
|--------|----------------------|------|----------------------|
| Onderwerp | Respons op EU-niveau | Verplichtingen op entiteitsniveau | Eisen op productniveau |
| Gefinancierde EU-actie? | Ja (€1,1 mrd) | Nee | Nee |
| Grensoverschrijdend mechanisme? | Kernkenmerk | Alleen coördinatie | Eengemaakte-markt-mechanisme |
| Private lijst? | Ja (Reserve) | Nee | Nee |
| Maakt ENISA operationeel? | Aanzienlijk | Bescheiden | Bescheiden |
| Van kracht vanaf | 2024 e.v. | 2024 (nationale omzetting) | 2027 volledige toepasselijkheid |
De drie verordeningen vormen samen de EU-cybersecurityarchitectuur na 2024: producten (CRA), entiteiten (NIS2), collectieve respons (Cyber Solidarity Act).
## Praktische implicaties
- **Voor de meeste Europese bedrijven**: achtergrondregelgeving die de threat intelligence van uw nationale CSIRT verbetert
- **Voor Europese cybersecurityleveranciers**: Reserve-lidmaatschap is een strategische kans die het waard is agressief na te streven
- **Voor in de VS gevestigde cybersecuritybedrijven**: structurele barrière voor directe inzet bij EU-overheden, alleen te mitigeren via EU-jointventures
- **Voor publieke aanbesteders**: Reserve-lidmaatschap wordt een betekenisvol aanbestedingssignaal
Was dit nuttig?
Bedankt voor je feedback!