EU breidt meldplicht cyberincidenten uit naar meer sectoren

Netwerkkabels op een bundel

Vanaf 2024 zijn meerdere bedrijven verplicht om maatregelen te nemen on hun netwerk- en informatiesystemen te beveiligen. Ook krijgen ze te maken met een meldplicht als zij getroffen worden door een cyberaanval. Alle EU-lidstaten en het Europees Parlement hebben woensdag afspraken hierover vastgelegd in de vernieuwde Netwerk- en Informatiebeveiligingsrichtlijn (NIB2).

Dat meldt de Rijksoverheid in een persbericht.

Breder delen van dreigingsinformatie

Lange tijd werden alleen bedrijven die actief zijn in de vitale sector -zoals financiële instellingen, leveranciers van nutsvoorzieningen en internetserviceproviders- op de hoogte gebracht van digitale bedreigingen. Alle andere bedrijven moesten zichzelf informeren over en beschermen tegen deze gevaren. De Wet beveiliging netwerk- en informatiesystemen (Wbni) was een belangrijk obstakel. Daarin is vastgelegd dat het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) dergelijke informatie alleen mogen delen met bedrijven die onderdeel uitmaken van de vitale infrastructuur.

Zowel het bedrijfsleven als de overheid stoorde zich aan dit hiaat. Voor het bedrijfsleven was dit aanleiding om een eigen alarmeringssysteem te ontwikkelen en het Nederlands Security Meldpunt in het leven te roepen. De overheid werkte aan een wetsvoorstel om het delen van dreigingsinformatie met niet-vitale bedrijven en organisaties een juridische basis te geven. Inmiddels is de wet naar de Tweede Kamer gestuurd voor behandeling. Totdat de wet daadwerkelijk van kracht is, mag het NCSC dreigings- en incidentinformatie delen met niet-vitale bedrijven en organisaties.

“Bedrijven zijn in eerste instantie zelf verantwoordelijk voor digitale veiligheid. Maar de gevolgen van cyberincidenten kunnen erg groot zijn. Het kan leiden tot lege supermarktschappen of het stilvallen van industriële productie. Daarom wil ik Nederlandse bedrijven actiever en gerichter kunnen informeren en adviseren over actuele digitale dreigingen of incidenten, zodat zij sneller kunnen handelen”, zo zei minister van Economische Zaken en Klimaat Micky Adriaansens over het wetsvoorstel.

Europese richtlijn krijgt twee nieuwe bepalingen

Cyberaanvallen stoppen echter niet bij de grens. Daarom is het belangrijk dat Europese bedrijven en organisaties zich tijdig kunnen wapenen tegen digitale dreigingen. Dan moeten ze wel beschikken over deze dreigingsinformatie. De EU-lidstaten zijn zich bewust van de ernst van de situatie en hebben daarom ingestemd om de bestaande Netwerk- en Informatiebeveiligingsrichtlijn (NIB2) te herzien.

Daarin staan twee nieuwe bepalingen. Allereerst moeten meer bedrijven “passende cybermaatregelen” treffen. Het gaat om de belangrijkste spelers in de levensmiddelensector (industriële voedselproductie en distributie zoals grotere supermarktketens), maar ook partijen in de chemische- en maakindustrie, afvalverwerking, post- en koeriersdiensten en datacenters. Daarnaast geldt er voor deze partijen een meldplicht voor ernstige cyberincidenten.

‘Voorkomen dat digitale incidenten de maatschappij ontwrichten’

Nederland probeert al jaren om strengere afspraken voor cyberaanvallen en andere digitale dreigingen op Europees niveau te maken. Minister van Justitie en  Veiligheid Dilan Yeşilgöz-Zegerius is blij met de nieuwe afspraken. “We zijn steeds meer afhankelijk van digitale processen, zeker nu we sinds corona steeds meer thuiswerken. Daarnaast zien we een groeiende digitale dreiging van zowel criminelen als statelijke actoren die, met een oorlog aan de oostgrens van Europa, voorlopig nog niet af gaat nemen. Het is daarom nu noodzakelijk om een volgende stap te zetten om het niveau van cybersecurity in de EU te verhogen. Hiermee voorkomen we dat digitale incidenten onze maatschappij ontwrichten”, zegt ze in een reactie op de nieuwe afspraken.

Haar collega minister Andriaansens sluit zich daarbij aan. “We moeten alert zijn op de risico’s van cyberaanvallen. De impact kan groot zijn, zoals lege schappen in de winkels of uitval van industriële productie. Digitale veiligheid regelen, blijft een eigen verantwoordelijkheid van bedrijven en consumenten. Maar met deze wetgeving kunnen we wel een stap zetten om te zorgen dat het niveau van cyberbeveiliging omhoog gaat bij (middel)grote partijen in meer belangrijke sectoren.”

Na stemming in het Europees Parlement wordt de herziene richtlijn naar verwachting komende herfst gepubliceerd. Vanaf medio 2024 treedt hij dan in werking.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen