Medio december presenteerde de Europese Commissie twee richtlijnvoorstellen om de cyber- en fysieke weerbaarheid van kritieke entiteiten en netwerken aan te pakken: een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie (herziene NIS-richtlijn of ''NIS 2''), en een nieuwe richtlijn betreffende de veerkracht van kritieke entiteiten. Ze bestrijken een breed scala aan sectoren en zijn bedoeld om de huidige en toekomstige online en offline risico's op coherente en complementaire wijze aan te pakken.
Toenemende dreiging cyberaanvallen het hoofd bieden
De NIS 2 scherpt de cyberbeveiligingsregels aan om de toenemende dreiging van cyberaanvallen het hoofd te bieden. De richtlijn is een herziening van de eerdere NIS-richtlijn die pas twee jaar geleden is geïmplementeerd. Reden voor deze snelle herziening zijn de toenemende dreigingen als gevolg van digitalisering en de onderlinge verbondenheid. Maar ook de wens van de Commissie om meer harmonisatie en samenwerking te realiseren in de EU op dit punt.
Meer sectoren vallen onder richtlijn
In vergelijking met de oorspronkelijke richtlijn wordt het aantal sectoren dat onder de reikwijdte van de NIS 2 wordt gebracht flink uitgebreid. Naast sectoren als energie, vervoer, bankwezen, financiële marktinfrastructuur, drinkwater, gezondheidszorg en digitale infrastructuur, waarbinnen zogenaamde ‘essential entities’ werkzaam zijn, wordt ook een nieuwe categorie met ‘important entities’ opgenomen. Hierbij gaat het o.a. om sectoren als post- en koeriersdiensten, voedselproductie en -distributie, afvalbeheer, productie en distributie van chemicaliën, productie van onder meer machines, motorrijtuigen en optische instrumenten en online aanbieders.
Verplichtingen voor lidstaten en bedrijven
De richtlijn bevat verplichtingen voor zowel lidstaten als bedrijven. Lidstaten moeten onder meer een nationale cybersecuritystrategie hebben met daarin aandacht voor o.a. de beveiliging van toeleveringsketens. Bedrijven die onder de richtlijn vallen krijgen een zorgplicht en een meldplicht opgelegd. Zij moeten proportionele- en bij het risicoprofiel passende technische en organisatorische maatregelen treffen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Bedrijven moeten verder incidenten melden die schade toebrengen aan netwerk- en informatiesystemen met (mogelijke) grote impact op de dienstverlening. Ook cyberdreigingen die hadden kunnen leiden tot een groot incident moeten worden gemeld.
Richtlijn met nadruk op risico’s
In de richtlijn “inzake de weerbaarheid van kritieke entiteiten” ligt de nadruk op zowel door de mens als door de natuur veroorzaakte risico’s. Het voorstel verbreedt de oorspronkelijke scope van de sectoren vervoer en energie naar onder meer de financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater en digitale infrastructuur. Naast een verbreding van het toepassingsgebied, worden ook de verplichtingen aangescherpt. Lidstaten worden onder meer verplicht om binnen de sectoren vitale aanbieders aan te wijzen. Vitale aanbieders moeten periodiek een risicoanalyse uitvoeren en op basis daarvan passende maatregelen treffen die worden vastgelegd in een weerbaarheidsplan.
Ons oordeel
Het is goed dat de Europese Commissie cybersecurity hoog op de agenda heeft staan. De toenemende digitale dreigingen en de interconnectiviteit vragen om een gezamenlijke Europese aanpak. Positief is de inzet op meer Europese samenwerking en informatie-uitwisseling. Het is daarbij wel belangrijk dat de regelgeving proportioneel is. De zorg- en meldplicht zijn zeer gedetailleerd en met name voor kleinere bedrijven behoorlijk ingrijpend.
