Sterkere cyberbeveiliging in de EU door nieuwe cyberbeveiligingsrichtlijn
/Een nieuwe EU-richtlijn voorziet in maatregelen die erop gericht zijn een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bereiken. Het doel van de richtlijn is een veerkrachtigere publieke en particuliere sector, en een grotere responscapaciteit bij incidenten. De nieuwe richtlijn zal de huidige richtlijn over beveiliging van netwerk- en informatiesystemen vervangen.
Op 27 december 2022 is de richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU (NIS2-richtlijn) in het Publicatieblad van de EU gepubliceerd. De nieuwe richtlijn zal de huidige richtlijn netwerk- en informatiebeveiliging (NIS-richtlijn) vervangen.
Sterkere risico- en incidentenbeheersing en samenwerking
De NIS2-richtlijn vormt de basis voor risicobeheersings- en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen, zoals energie, vervoer, gezondheid en digitale infrastructuur. De nieuwe richtlijn actualiseert de lijst van sectoren en activiteiten waarvoor cyberbeveiliging verplicht is, en bevat rechtsmiddelen en sancties om handhaving te waarborgen.
Ook wordt het Europees Netwerk van verbindingsorganisaties voor cybercrises (CyCLONe) opgericht, dat het gecoördineerde beheer van grootschalige cyberincidenten en -crises zal ondersteunen.
Uitbreiding toepassingsgebied
Terwijl de lidstaten onder de oude NIS-richtlijn zelf bepaalden welke entiteiten aan de criteria van aanbieder van essentiële diensten voldeden, voert de NIS2-richtlijn als algemene regel een ‘size cap’-regel in. Dit houdt in dat alle middelgrote en grote entiteiten die actief zijn in sectoren of diensten verlenen die onder de richtlijn vallen, aangemerkt worden als aanbieders van essentiële diensten.
Naast die algemene regel zijn er aanvullende bepalingen om te zorgen voor evenredigheid, een verbeterd risicobeheer en duidelijke criteria voor de nationale autoriteiten om te bepalen welke andere entiteiten onder het toepassingsgebied van de NIS2-richtlijn vallen.
De tekst verduidelijkt ook dat de NIS2-richtlijn niet van toepassing is op entiteiten die actief zijn op gebieden als defensie, nationale of openbare veiligheid en wetshandhaving. Ook voor justitie, parlementen en centrale banken geldt de richtlijn niet.
De NIS2-richtlijn zal ook van toepassing zijn op overheidsdiensten op centraal en regionaal niveau. Daarnaast kunnen de lidstaten besluiten dat de richtlijn ook geldt voor lokale overheidsinstanties.
Andere wijzigingen
De nieuwe richtlijn is bovendien afgestemd op sectorspecifieke wetgeving, met name de verordening digitale operationele veerkracht voor de financiële sector en de richtlijn veerkracht van kritieke entiteiten. Dat moet juridische duidelijkheid bieden en zorgen voor samenhang tussen NIS2 en deze wetten.
De invoering van een vrijwillig mechanisme voor peer learning moet zorgen voor meer wederzijds vertrouwen en leren van goede praktijken en ervaringen in de EU, en zo leiden tot een sterke gemeenschappelijke cyberbeveiliging.
De nieuwe richtlijn stroomlijnt ook de rapportageverplichtingen, om overrapportage en buitensporige lasten voor de betrokken entiteiten tegen te gaan.