Strengere beveiligingsregels voor ICT van vitale organisaties
Het Europees Parlement stemde donderdag in met wetgeving die strengere cyberbeveiligingsverplichtingen oplegt voor risicobeheer, rapportageverplichtingen en het delen van informatie. Het gaat onder meer om incidentenbehandeling, beveiliging van de toeleveringsketen, encryptie en openbaarmaking van kwetsbaarheden.
Meer entiteiten en sectoren moeten maatregelen nemen om zich te beschermen. Essentiële sectoren, zoals energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart gaan onder de nieuwe veiligheidsbepalingen vallen.
Tijdens de onderhandelingen drongen de EP-leden aan op de noodzaak van duidelijke en precieze regels voor bedrijven. Ook drongen ze erop aan dat zoveel mogelijk overheids- en openbare instanties binnen het toepassingsgebied van de richtlijn zouden vallen.
Belangrijke sectoren
De nieuwe regels beschermen ook zogenaamde belangrijke sectoren, zoals postdiensten, afvalbeheer, chemicaliën, levensmiddelen, productie van medische apparatuur, elektronica, machines, motorvoertuigen en aanbieders van ICT-producten of -diensten. Alle middelgrote en grote ondernemingen in bepaalde sectoren gaan onder de wetgeving vallen. Ook wordt een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten en wordt een Europese kwetsbaarheidsdatabase opgezet.
Weerbaarder Europa
“Ransomware en andere cyberdreigingen hebben Europa veel te lang geteisterd. We moeten actie ondernemen om onze bedrijven, overheden en de samenleving weerbaarder te maken tegen vijandige cyberoperaties”, aldus Europarlementslid en rapporteur Bart Groothuis (Renew, NL). “Deze Europese richtlijn gaat ongeveer 160.000 entiteiten helpen hun greep op de veiligheid te versterken en van Europa een veilige plaats om te leven en om te werken maken. De wet moet ook het delen van informatie met de particuliere sector en partners over de hele wereld mogelijk maken. Als we op industriële schaal worden aangevallen, moeten we op industriële schaal reageren.”
Proactief
“Dit is de beste cyberbeveiligingswetgeving die dit continent ooit heeft gezien, omdat Europa hierdoor proactief en servicegericht zal omgaan met cyberincidenten”, vervolgt Groothuis. Het EP nam de tekst aan met 577 stemmen voor, zes stemmen tegen en 31 onthoudingen. Na de goedkeuring door het Parlement moet ook de Raad de wet formeel goedkeuren voordat deze in het Publicatieblad van de EU wordt gepubliceerd.
Achtergrond
De richtlijn inzake netwerk- en informatiebeveiliging (NIB) was het eerste stuk EU-wetgeving inzake cyberbeveiliging, en had specifiek tot doel een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten tot stand te brengen. Hoewel de richtlijn de cyberbeveiligingscapaciteit van de lidstaten vergrootte, bleek de uitvoering ervan moeilijk, met fragmentatie op verschillende niveaus binnen de interne markt als gevolg. Als reactie op de toenemende dreigingen die uitgaan van de digitalisering en de toename van het aantal cyberaanvallen heeft de Commissie een voorstel ingediend om de richtlijn inzake netwerk- en informatiebeveiliging te vervangen en daarmee de beveiligingseisen aan te scherpen, de beveiliging van toeleveringsketens aan te pakken, de rapportageverplichtingen te stroomlijnen en strengere toezichtsmaatregelen en handhavingseisen in te voeren, waaronder geharmoniseerde sancties in de hele EU.