De Europese Commissie wil binnen het raamwerk van de NIS2- en CER-richtlijnen de cyberbeveiliging van Europese organisaties met kritieke infrastructuur maximaliseren. Om de weerbaarheid van dergelijke EU-ondernemingen te verhogen, kreeg de nieuwe organisatie CYSSDE het mandaat om kwetsbaarheden te onderzoeken en de methodiek ervan te verbeteren. De Commissie maakt een subsidiebudget vrij van meer dan 4 miljoen euro.
CYSSDE is een Europees consortium van cybersecurity-experts en werkt nauw samen met het Europese ECCC – European Cybersecurity Competence Centre and Network en met de nationale cybersecurity coördinatiecentra (NCC’s).
Partners in CYSSDE zijn onder meer het Spaanse NCC INCIBE en de Roemeense cybersecurity authoriteit DNSC. CYSSDE wordt geleid door de Belgische cybersecurity-expertenorganisatie LSEC.
Om de cyberweerbaarheid in Europa te meten, corrigerende maatregelen te nemen en sneller conform te zijn met NIS2, CER en de Cyber Resilience Act (CRA), wil de Europese Commissie door CYSSDE 230 pentests laten uitvoeren bij Europese bedrijven. Ze wees CYSSDE het beheer toe van een financieringsenveloppe van meer dan 4 miljoen euro.
Een pentest of penetratietest is een gesimuleerde cyberaanval op een computersysteem om kwetsbaarheden te identificeren. De test legt zwakke plekken in de beveiliging bloot. Met die informatie kunnen bedrijven hun verdediging versterken en de potentiële schade van aanvallen beperken.
Eerder bleek uit onderzoek dat 80 procent van de gekende kwetsbaarheden teruggevonden wordt bij ruim 60 procent van de Europese organisaties met essentiële diensten (NIS2) en bij 90 procent van de kmo’s die hun cyberweerbaarheid willen opkrikken. De geplande pentests zullen zwakheden in Europese infrastructuur kunnen helpen identificeren en daardoor efficiënter aanpakken.
Het CYSSDE-project vult de inspanningen van de verschillende EU-lidstaten aan met onder meer de volgende activiteiten:
- Organiseren van zogeheten open calls in de lidstaten, zowel bij de nationale cyberveiligheidscentra (NCC) als bij pentesting-dienstverleners om het bestaan van de financieringsenveloppe te promoten.
- De toewijzing van Financial Support to Third Parties-projecten: een selectiecomité van CYSSDE zal organisaties die pentesting activiteiten voorstellen, aanduiden wanneer die in aanmerking komen voor een enveloppe, met een tussenkomst tot maximaal 200.000 euro.
- Organisaties met kritieke infrastructuur ondersteunen bij het evalueren van hun mogelijke kwetsbaarheden in toepassingen, toestellen, systemen of cloudomgevingen waarover ze zich zorgen maken.
- De capaciteit en het vermogen van pentesting in de verschillende lidstaten in kaart brengen.
- Ondersteuning bieden bij het beter in kaart brengen van de verwachtingen bij NIS2, CER en de CRA in de verschillende lidstaten voor organisaties die kwetsbaarheden opzoeken.
- Methodes en gebruiksscenario’s voor pentests en kwetsbaarhedenonderzoek verbeteren.
“Met de steun van NCC’s in verschillende lidstaten willen we een selectie maken van een twintigtal pentesting-dienstverleners. Zij moeten ten minste 230 tests uitvoeren bij organisaties in heel de EU. CYSSDE zal het proces vereenvoudigen door noodzakelijke capaciteit te leveren en de zoektocht naar kandidaten voor pentests in de lidstaten te begeleiden. Zo wil de EU de capaciteit in alle lidstaten garanderen”,zegt Ulrich Seldeslachts, Managing Director LSEC en initiatiefnemer.
Naast LSEC zijn ook Ceeyu en Toreon betrokken als Belgische, technische partners, plus Cyber Ranges uit Cyprus. Het Poolse Fundingbox staat in voor de ondersteuning van de organisatie van de open calls.
Hoe deelnemen aan CYSSDE?
Een organisatie die valt onder de NIS2 of de CER (Critical Entities Resilience Directive), kan zich aanmelden bij CYSSDE. Daarbij kan op vertrouwelijke basis het opzet van het onderzoek worden overgemaakt aan de organisaties die de kwetsbaarheden-analyses kunnen uitvoeren.
Een bedrijf of onderzoekscentrum dat kwetsbaarheden onderzoekt, zal vanaf oktober kunnen deelnemen aan de open calls. Daarbij zal een selectieprocedure starten waarna CYSSDE hen financieel en met expertise zal ondersteunen bij de uitvoering van de pentests. Bedrijven kunnen zich nu al aanmelden via de website van CYSSDE om de uitnodiging voor de open calls te ontvangen en de informatiesessies die daarover georganiseerd zullen worden.
Andere Europese cybersecurity-organisaties of sectorvertegenwoordigingen zijn welkom als CYSSDE-partners, onder meer om de resultaten en bevindingen van de kwetsbaarheden te delen.
