Nieuwe regels inzake cyberbeveiliging van netwerken en informatiesystemen

Temps de lecture: 5 min |13 mei 2022 à 18:53

De Commissie is ingenomen met het politiek akkoord dat het Europees Parlement en de EU-lidstaten op 13 mei hebben bereikt over de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn), die de Commissie in december 2020 heeft voorgesteld.

Enkele reacties van leden van de Commissie:

Margrethe Vestager, uitvoerend vicevoorzitter voor een Europa dat klaar is voor het digitale tijdperk: "We hebben hard gewerkt aan de digitale transformatie van onze samenleving. De afgelopen maanden hebben we een aantal belangrijke stappen gezet, zoals de wet inzake digitale markten en de wet inzake digitale diensten. Vandaag hebben de lidstaten en het Europees Parlement ook overeenstemming bereikt over NIS 2. Dit is een andere belangrijke doorbraak voor onze Europese digitale strategie, deze keer om ervoor te zorgen dat burgers en bedrijven worden beschermd en kunnen rekenen op essentiële diensten."

Margaritis Schinas, vicevoorzitter voor de bevordering van onze Europese levenswijze: „Cyberbeveiliging was altijd essentieel om onze economie en onze samenleving te beschermen tegen cyberdreigingen; het wordt van cruciaal belang naarmate de digitale transitie vordert. De huidige geopolitieke situatie maakt het voor de EU nog dringender om ervoor te zorgen dat haar rechtskader geschikt is voor het beoogde doel. Door overeenstemming te bereiken over deze verder aangescherpte regels komen we onze toezegging na om de cyberbeveiligingsnormen in de EU te verbeteren. De EU toont vandaag dat zij vastberaden is prioriteit te geven aan paraatheid en weerbaarheid tegen cyberdreigingen van onze economieën, onze democratieën en vrede.”

Thierry Breton, commissaris voor de interne markt: "Cyberdreigingen zijn brutaler en complexer geworden. Het was absoluut noodzakelijk ons veiligheidskader aan de nieuwe realiteit aan te passen en ervoor te zorgen dat onze burgers en infrastructuur worden beschermd. In het cyberbeveiligingslandschap van vandaag zijn samenwerking en snelle informatie-uitwisseling van het allergrootste belang. Met het akkoord van NIS2 moderniseren we de regels om meer diensten die van vitaal belang zijn voor de samenleving en de economie te beschermen. Dit is dan ook een belangrijke stap voorwaarts. Wij zullen deze aanpak aanvullen met de komende cyberweerbaarheidswet, die ervoor zal zorgen dat digitale producten ook veiliger zijn wanneer ze worden gebruikt.”

Achtergrond

Cyberbeveiliging is een van de topprioriteiten van de Commissie en een hoeksteen van een digitaal en geconnecteerd Europa.

De eerste EU-brede wetgeving inzake cyberbeveiliging, de NIS-richtlijn, die in 2016 in werking is getreden, heeft bijgedragen tot een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen in de hele EU. Als onderdeel van haar belangrijke beleidsdoelstelling “Europa klaarmaken voor het digitale tijdperk” heeft de Commissie in december 2020 een herziening van de NIS-richtlijn voorgesteld. Dankzij de EU-cyberbeveiligingsverordening, die in 2019 in werking is getreden, beschikt Europa over een kader voor cyberbeveiligingscertificering van producten, diensten en processen en is het mandaat van het EU-agentschap voor cyberbeveiliging (ENISA) versterkt.

De bestaande regels inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) waren het eerste stuk EU-brede wetgeving inzake cyberbeveiliging en hebben de weg vrijgemaakt voor een aanzienlijke mentaliteitswijziging en een andere institutionele en regelgevende aanpak van cyberbeveiliging in veel lidstaten. Ondanks de opmerkelijke resultaten en het positieve effect van de regels moesten ze worden geactualiseerd vanwege de toenemende mate van digitalisering en interconnectiviteit van onze samenleving en het toenemende aantal kwaadwillige cyberactiviteiten op mondiaal niveau.

NIS 2- richtlijn

Om het hoofd te bieden aan de toenemende cyberdreigingen in Europa, is de NIS 2-richtlijn nu van toepassing op middelgrote en grote entiteiten uit meer sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronische-communicatiediensten, digitale diensten, afvalwater- en afvalbeheer, de vervaardiging van kritieke producten, post- en koeriersdiensten en overheidsdiensten, zowel op centraal als regionaal niveau.Zij bestrijkt ook meer in het algemeen de gezondheidszorg, bijvoorbeeld fabrikanten van medische hulpmiddelen, gezien de toenemende veiligheidsdreigingen die zich tijdens de coronapandemie hebben voorgedaan. De uitbreiding van het toepassingsgebied van de nieuwe regels, door meer entiteiten en sectoren te verplichten maatregelen te nemen om cyberbeveiligingsrisico's te beheersen, helpt het cyberbeveiligingsniveau in Europa op middellange en lange termijn te verhogen.

De herziene richtlijn verstrengt ook de beveiligingsvoorschriften die aan ondernemingen worden opgelegd, pakt de beveiliging van toeleveringsketens en betrekkingen tussen leveranciers aan en voert strengere verantwoordingsplicht van het hoogste management in, voor niet-naleving van de cyberbeveiligingsverplichtingen. De verslagleggingsverplichtingen worden gestroomlijnd, strengere toezichtmaatregelen voor nationale autoriteiten en strengere handhavingsvereisten worden ingevoerd, en de sanctieregelingen in de lidstaten worden geharmoniseerd. Dit zal bijdragen tot meer informatie-uitwisseling en samenwerking op het gebied van cybercrisisbeheer op nationaal en EU-nivea

Volgende stappen

Het politiek akkoord tussen het Europees Parlement en de Raad moet nu door de twee medewetgevers formeel worden goedgekeurd. 20 dagen na de bekendmaking ervan in het Publicatieblad treedt de richtlijn n werking, waarna de lidstaten de nieuwe elementen ervan in nationaal recht moeten omzetten. De lidstaten hebben 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving.