Europees Parlement en Raad bereiken politiek akkoord over cybersecurity richtlijn

Contentverzamelaar

Europees Parlement en Raad bereiken politiek akkoord over cybersecurity richtlijn

Het politiek akkoord betreft het voorstel van de Europese Commissie over de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn).

De Europese Commissie (zie persbericht) presenteerde in december 2020 een nieuwe EU-cyberbeveiligingsstrategie (EN) (zie ook dit factsheet (EN) en het vragen en antwoorden overzicht). Tegelijkertijd deed de Commissie (zie website Commissie) een richtlijnvoorstel voor nieuwe regels om fysieke en digitale kritieke entiteiten weerbaarder te maken; de NIS 2-richtlijn (COM (2020) 823) (zie ook dit factsheet).

De bestaande NIS-richtlijn (2016) 1148) met regels inzake de beveiliging van netwerk- en informatiesystemen trad in 2016 in werking en bevat het eerste stuk EU-brede wetgeving inzake cyberbeveiliging. De richtlijn heeft de weg vrijgemaakt voor een mentaliteitswijziging en een andere institutionele en regelgevende aanpak van cyberbeveiliging in EU-lidstaten. Vanwege de toenemende mate van digitalisering en interconnectiviteit van de samenleving en het toenemende aantal kwaadwillige cyberactiviteiten op mondiaal niveau moet de richtlijn worden geactualiseerd.

Nu het politiek akkoord tussen het Europees Parlement en de Raad is bereikt zal het eerst door de twee medewetgevers formeel dienen te worden goedgekeurd. Twintig dagen na de bekendmaking daarvan in het Publicatieblad van de EU zal de NIS 2-richtlijn dan in werking treden, waarna de lidstaten de nieuwe elementen ervan in nationaal recht moeten omzetten. De lidstaten hebben hiervoor 21 maanden de tijd.

De NIS 2 richtlijn
Om het hoofd te bieden aan de toenemende cyberdreigingen in Europa, is de NIS 2-richtlijn van toepassing op middelgrote en grote entiteiten uit meer sectoren die van cruciaal belang zijn voor de economie en de samenleving. Denk hierbij aan onder meer aanbieders van openbare elektronische-communicatiediensten, digitale diensten, afvalwater- en afvalbeheer, de vervaardiging van kritieke producten, post- en koeriersdiensten en overheidsdiensten, zowel op centraal als regionaal niveau. De richtlijn bestrijkt ook meer in het algemeen de gezondheidszorg, bijvoorbeeld fabrikanten van medische hulpmiddelen, gezien de toenemende veiligheidsdreigingen tijdens de coronapandemie. De uitbreiding van het toepassingsgebied van de nieuwe regels moet helpen het cyberbeveiligingsniveau in Europa te verhogen, door meer entiteiten en sectoren te verplichten maatregelen te nemen om cyberbeveiligingsrisico's te beheersen.

De herziene richtlijn maakt tevens de beveiligingsvoorschriften die aan ondernemingen worden opgelegd strenger, pakt de beveiliging van toeleveringsketens en betrekkingen tussen leveranciers aan en voert een strengere verantwoordingsplicht van het hoogste management in, voor niet-naleving van de cyberbeveiligingsverplichtingen. Verslagleggingsverplichtingen worden gestroomlijnd, er komen strengere toezichtmaatregelen voor nationale autoriteiten en strengere handhavingsvereisten, en de sanctieregelingen in de lidstaten worden geharmoniseerd.

In 2019 trad de EU-cyberbeveiligingsverordening in werking (zie ECER-bericht). Met deze verordening beschikt Europa al over een kader voor cyberbeveiligingscertificering van producten, diensten en processen en is het mandaat van het EU-agentschap voor cyberbeveiliging (ENISA) versterkt.

Meer informatie:
Persbericht Europese Commissie
ECER-dossier: Digitalisering, cybersecurity
ECER-bericht: Europese Rekenkamer brengt verslag uit over cyberbeveiliging van Europese instellingen (31 maart 2022)