Digitale veiligheidseisen en meldplicht cyberincidenten in meer sectoren
Het aantal sectoren dat verplicht wordt om passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen en ernstige cyberincidenten moet melden, wordt uitgebreid. Het gaat bijvoorbeeld om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. De verantwoordelijke EU-bewindspersonen, waaronder minister Stef Blok (Economische Zaken en Klimaat), hebben vandaag in Brussel tijdens de Telecomraad een akkoord bereikt over dit voorstel.
Minister Stef Blok (EZK): “Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid. Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen. Deze regels richten zich op (middel)grote partijen en zijn veelal niet van toepassing op kleine organisaties.”
Minister Ferd Grapperhaus (JenV): “Dit is een belangrijke stap in het verder verhogen van onze nationale en Europese weerbaarheid tegen cyberdreigingen. Digitale incidenten hebben de potentie maatschappelijke ontwrichting en grote economische schade te veroorzaken. Uit het Cybersecuritybeeld Nederland blijkt daarbij dat ransomware inmiddels zo een groot probleem is, dat de nationale veiligheid in gevaar is. Daarom moeten we blijven investeren en is het versterken van onze digitale veiligheid een prioriteit van het kabinet.”
Herziening van de EU Netwerk- en Informatiebeveiligingsrichtlijn
Op dit moment worden aanbieders van essentiële diensten (zoals banken, drinkwater, energiesector) onder de huidige richtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen, vallen nu al onder de richtlijn. Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. Er vindt hierop ook toezicht plaats. In Nederland verleent het Nationaal Cyber Security Centrum (NCSC, ministerie van JenV) bijstand en advies aan deze aanbieders en het CSIRT DSP (Computer Security Incident Response Team, ministerie van EZK) doet dit voor de digitale dienstverleners.
In de toekomstige situatie wordt het aantal sectoren fors uitgebreid. De herziene richtlijn kent dan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële, voornamelijk partijen uit vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aan aanbieders worden naast een meldplicht ook veiligheidsmaatregelen gesteld, zoals de beveiliging van de toeleveringsketen en de afhandeling van incidenten op orde brengen.
De EU-ministers zijn akkoord gegaan met het voorstel van de Europese Commissie om de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB) te herzien. Over deze herziening (de NIB2) wordt hierna nog onderhandeld met het Europees Parlement en de Europese Commissie. Streven is een definitief akkoord in 2022, waarna lidstaten de wetgeving in eigen land kunnen aanpassen. In Nederland is de huidige richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De minister van Justitie en Veiligheid is coördinerend bewindspersoon voor cybersecurity.