Het aantal sectoren dat verplicht wordt om passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen en ernstige cyberincidenten moet melden, wordt uitgebreid. De verantwoordelijke EU-bewindspersonen, waaronder minister Stef Blok (Economische Zaken en Klimaat), hebben hierover in Brussel tijdens de Telecomraad een akkoord bereikt.

Het gaat bijvoorbeeld om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. Minister Stef Blok (EZK): “Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid. Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor de maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen. Deze regels richten zich op (middel)grote partijen en zijn veelal niet van toepassing op kleine organisaties.”

Nationale weerbaarheid
Minister Ferd Grapperhaus (JenV): “Dit is een belangrijke stap in het verder verhogen van onze nationale en Europese weerbaarheid tegen cyberdreigingen. Digitale incidenten hebben de potentie maatschappelijke ontwrichting en grote economische schade te veroorzaken. Uit het Cybersecuritybeeld Nederland blijkt daarbij dat ransomware inmiddels zo een groot probleem is, dat de nationale veiligheid in gevaar is. Daarom moeten we blijven investeren en is het versterken van onze digitale veiligheid een prioriteit van het kabinet.”

EU Netwerk- en Informatiebeveiligingsrichtlijn
Op dit moment worden aanbieders van essentiële diensten (zoals banken, drinkwater, energiesector) onder de huidige richtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen, vallen nu al onder de richtlijn. Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. Er vindt hierop ook toezicht plaats. In Nederland verleent het Nationaal Cyber Security Centrum (NCSC, ministerie van JenV) bijstand en advies aan deze aanbieders en het CSIRT DSP (Computer Security Incident Response Team, ministerie van EZK) doet dit voor de digitale dienstverleners.

Proactief of reactief toezicht
In de toekomstige situatie wordt het aantal sectoren fors uitgebreid. De herziene richtlijn kent dan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële, voornamelijk partijen uit vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aan aanbieders worden naast een meldplicht ook veiligheidsmaatregelen gesteld, zoals de beveiliging van de toeleveringsketen en de afhandeling van incidenten op orde brengen.

Wet beveiliging netwerk- en informatiesystemen (Wbni)
De EU-ministers zijn akkoord gegaan met het voorstel van de Europese Commissie om de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB) te herzien. Over deze herziening (de NIB2) wordt hierna nog onderhandeld met het Europees Parlement en de Europese Commissie. Streven is een definitief akkoord in 2022, waarna lidstaten de wetgeving in eigen land kunnen aanpassen. In Nederland is de huidige richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De minister van Justitie en Veiligheid is coördinerend bewindspersoon voor cybersecurity.