Strengere securityeisen en meldplicht voor datalekken op komst

Een nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging moet de digitale veiligheid in de Europese Unie (EU) naar een hoger niveau tillen. De nieuwe richtlijn brengt voor de chemische- en maakindustrie onder meer de verplichting met zich mee ‘passende cybermaatregelen’ te nemen vanaf medio 2024. Onderdeel is ook een meldplicht voor cyberincidenten.

Zowel de lidstaten van de EU als het Europees Parlement zijn akkoord met een herziening van de zogenoemde EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). De richtlijn is niet alleen van invloed op de chemische- en maakindustrie. Ook andere sectoren waaronder belangrijkste spelers in de levensmiddelensector (industriële voedselproductie en distributie zoals grotere supermarktketens), afvalverwerking, post- en koeriersdiensten en datacenters krijgen met de richtlijn te maken.

Van toepassing op fors meer sectoren

De hernieuwde richtlijn zorgt dat fors meer sectoren met verplichte maatregelen en een meldplicht te maken krijgen. Onder de huidige richtlijn geldt deze verplichting al langer voor aanbieders van essentiële diensten. Denk hierbij aan banken, drinkwater- en energiebedrijven. Dat geldt ook voor digitale partijen, waaronder aanbieders van clouddiensten en online marktplaatsen. Zij zijn eerder al door de Rijksoverheid aangewezen om maatregelen te nemen voor hun digitale veiligheid en ernstige cyberincidenten te melden.

Op de naleving van deze richtlijn is in Nederland ook toezicht. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, geeft bijstand en advies aan essentiële diensten. Voor digitale dienstverleners zijn deze taken de verantwoordelijkheid van het Computer Security Incident Response Team (CSIRT DSP), dat onderdeel uitmaakt van het ministerie van EZK.

Essentiële en belangrijke aanbieders

De herziene versie van de NIB2-richtlijn kent voortaan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Essentiële aanbieders zijn voornamelijk partijen die actief zijn in Nederlandse vitale sectoren. Het toezicht op deze partijen is onder de hernieuwde richtlijn proactief.

Bij belangrijke aanbieders vindt het toezicht juist achteraf plaats. Indien er aanwijzingen zijn dat er sprake is van een incident, wordt toezicht toegepast. Belangrijke aanbieders zijn voornamelijk (middel)grote partijen waarbij verstoring geen ‘zeer ernstige maatschappelijke of economische gevolgen’ kent.

Zorgplicht

Naast de meldplicht moeten alle aanbieders die onder de herziene richtlijn vallen veiligheidsmaatregelen nemen. Dit wordt ook wel de ‘zorgplicht’ genoemd. Concreet gaat het onder andere om het verhogen van de beveiliging van hun toeleveringsketen. Ook moeten partijen de wijze waarop zij cyberincidenten afhandelen op orde brengen.

Minister Dilan Yeşilgöz-Zegerius (Justitie en Veiligheid) wijst op het grensoverschrijdende karakter van cyberincidenten. “We zijn steeds meer afhankelijk van digitale processen, zeker nu we sinds corona steeds meer thuiswerken. Daarnaast zien we een groeiende digitale dreiging van zowel criminelen als statelijke actoren die, met een oorlog aan de oostgrens van Europa, voorlopig nog niet af gaat nemen. Het is daarom nu noodzakelijk om een volgende stap te zetten om het niveau van cybersecurity in de EU te verhogen. Hiermee voorkomen we dat digitale incidenten onze maatschappij ontwrichten”, aldus de minister.

‘Impact kan groot zijn’

Minister Micky Adriaansens (Economische Zaken en Klimaat): “We moeten alert zijn op de risico’s van cyberaanvallen. De impact kan groot zijn, zoals lege schappen in de winkels of uitval van industriële productie. Digitale veiligheid regelen, blijft een eigen verantwoordelijkheid van bedrijven en consumenten. Maar met deze wetgeving kunnen we wel een stap zetten om te zorgen dat het niveau van cyberbeveiliging omhoog gaat bij (middel)grote partijen in meer belangrijke sectoren.”

Het Europees Parlement stemt nog over de richtlijn. Na deze stemming vindt de publicatie van de NIB2-richtlijn naar verwachting in de herfst van dit jaar plaats. EU-lidstaten kunnen vervolgens medio 2024 de richtlijn omzetten in nationale wetgeving.

Auteur: Wouter Hoeffnagel
Foto: Pixabay / pixelcreatures