De EU breidt haar wetgeving over cyberveiligheid uit. Het aantal sectoren dat verplicht is om hun netwerk- en informatiesystemen te beveiligen en ernstige cyberincidenten zoals datadiefstal of gijzelingssoftware te melden, wordt uitgebreid. Dat zijn de EU-ministers van Telecommunicatie in Brussel overeengekomen. Het gaat bijvoorbeeld om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten.

“Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid”, aldus demissionair minister Stef Blok (Economische Zaken) na afloop van de Telecomraad. “Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen.”

Meldingsplicht

Aanbieders van essentiële diensten zoals banken, drinkwater en de energiesector worden al onder de huidige richtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en onlinemarktplaatsen moeten al zorgen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. In de herziene richtlijn komt naast de categorie essentiële aanbieders nu ook een categorie belangrijke aanbieders.

De belangrijke aanbieders moeten ook maatregelen tegen cyberaanvallen treffen, zoals de beveiliging van de toeleveringsketen. Ze krijgen een meldplicht voor incidenten. De nieuwe regels zijn voor (middel)grote partijen bedoeld, niet voor kleine organisaties, aldus Blok.

Definitief akkoord in 2022

Over de herziening van de richtlijn zal nu worden onderhandeld met het Europees Parlement dat ermee moet instemmen. Streven is een definitief akkoord in 2022, waarna lidstaten de wetgeving in eigen land kunnen aanpassen.

