Ontwerprichtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) aangenomen

Op 17 mei jl. is de ontwerprichtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) formeel aangenomen. Het Europees Parlement moet de richtlijn nog goedkeuren in de tweede lezing. Naar verwachting zal de richtlijn in augustus 2016 in werking treden. 

De voorgestelde richtlijn beoogt een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging te waarborgen. Lidstaten worden verplicht hun paraatheid te verbeteren en beter met elkaar samen te werken. Exploitanten van kritieke infrastructuur, essentiële aanbieders van informatiemaatschappijdiensten en overheden krijgen de verplichting opgelegd adequate maatregelen te nemen om beveiligingsrisico's te beheren en ernstige incidenten aan de nationale bevoegde autoriteiten te rapporten. 

Doel van het richtlijnvoorstel is in alle lidstaten een minimumniveau van beveiliging voor digitale technologieën, netwerken en diensten verplicht te stellen. Een ander doel is bepaalde ondernemingen en organisaties te verplichten tot melding van significante cyberincidenten. Die verplichting zou onder meer gelden voor zoekmachines, aanbieders van diensten voor cloudcomputing, sociale netwerken, overheden, onlinebetalingsdiensten zoals PayPal, en belangrijke websites voor e-handel, zoals Amazon.

Het voorstel betreffende de strategie is gepubliceerd op 7 februari 2013, en bestaat uit 2 delen. Het eerste deel is een mededeling van de Commissie en de hoge vertegenwoordiger van de EU voor buitenlandse zaken en veiligheidsbeleid, die een EU-strategie inzake cyberbeveiliging bevat. Het tweede deel is een voorstel van de Commissie voor een richtlijn inzake netwerk- en informatiebeveiliging, dat de strategie ondersteunt.

Achtergrond 

De ontwerprichtlijn inzake netwerk- en informatiebeveiliging (NIB) is een belangrijk element van de cyberbeveiligingsstrategie. Volgens die richtlijn zouden alle lidstaten van de EU, de belangrijkste internetbedrijven en exploitanten van internetinfrastructuur, zoals platforms voor e-handel, sociale netwerken en infrastructuur voor vervoer, bankdiensten en gezondheidszorg, een beveiligde en betrouwbare digitale omgeving in de hele EU tot stand moeten brengen. Aangezien de huidige aanpak van NIB gebaseerd is op vrijwillige maatregelen, zijn er tussen de lidstaten grote verschillen in de nationale capaciteit, de mate van betrokkenheid van de particuliere sector en het niveau van paraatheid. De ontwerprichtlijn moet gelijke voorwaarden garanderen door de invoering van geharmoniseerde regels die in alle EU-lidstaten gelden.

De voorgestelde maatregelen omvatten de volgende elementen:

  • elke EU-lidstaat moet een nationale NIB-strategie aannemen en een nationale NIB-autoriteit aanwijzen met toereikende middelen om NIB-risico's en NIB-incidenten te voorkomen, ermee om te gaan en erop te reageren
  • er wordt een samenwerkingsnetwerk tussen de lidstaten en de Commissie opgericht om vroegtijdige waarschuwingen over risico's en incidenten te delen, informatie uit te wisselen en zich tegen NIB-bedreigingen en -incidenten te wapenen
  • bepaalde digitale ondernemingen en diensten moeten risicobeheerspraktijken invoeren en significante IT-beveiligingsincidenten rapporteren aan de bevoegde nationale autoriteit

De verplichte melding van IT-beveiligingsincidenten helpt een cultuur van risicobeheer te ontwikkelen en te garanderen dat er tussen de particuliere en de openbare sector informatie wordt uitgewisseld. De meldingsplicht geldt voor:

  • exploitanten van kritieke infrastructuur in sectoren als de financiële dienstverlening, vervoer, energie en gezondheidszorg
  • IT-dienstverleningsondernemingen, waaronder appstores, platforms voor e-handel, internetbetalingsplatforms, cloudcomputingplatforms, zoekmachines en sociale netwerken
  • overheidsdiensten
     

Implementatie in Nederland 

De richtlijn wordt in Nederland geïmplementeerd in de Wet gegevensverwerking en meldplicht cybersecurity. Hiervoor is reeds een wetsvoorstel in behandeling bij de Tweede Kamer.

Dit wetsvoorstel introduceert een meldplicht voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen, ook wel ernstige ICT-inbreuken genoemd. Deze meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving. Daarnaast bevat het voorstel regels over het verwerken van gegevens ten behoeve van de taken van de Minister van Veiligheid en Justitie op het terrein van cybersecurity.

De meldplicht geldt uitsluitend voor bij Algemene Maatregel van Bestuur aan te wijzen (categorieën van) vitale aanbieders van daarbij aan te wijzen producten of diensten. Bij vitale aanbieders moet gedacht worden aan energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, banken en Rijkswaterstaat als beheerder van primaire waterkeringen. De melding moet worden gedaan aan de Staatssecretaris van Veiligheid en Justitie en wordt in behandeling genomen door het Nationaal Cyber Security Centrum (NCSC). De melding geeft het NCSC de mogelijkheid om hulp te verlenen aan de getroffen aanbieder en om andere aanbieders te waarschuwen en daarmee de schade te beperken.

Wat is de EU-cyberbeveiligingsstrategie?

In de EU-cyberbeveiligingsstrategie wordt uiteengezet hoe de EU verstoringen van en aanvallen op de Europese telecommunicatiesystemen wil voorkomen en hoe zij daarop zal reageren. 
 

EU-cyberbeveiligingsstrategie: een open, veilige en beveiligde cyberspace

De EU-cyberbeveiligingsstrategie bevat de aanpak van de EU voor een optimale preventie van en respons op verstoringen van de cyberbeveiliging en cyberaanvallen. De strategie omvat een reeks maatregelen voor het vergroten van de digitale veerkracht van IT-systemen, het terugdringen van cybercriminaliteit en het versterken van het internationale cyberbeveiligingsbeleid en de cyberdefensie van de EU.

De strategie omvat plannen voor het aanpakken van de uitdagingen op 5 prioritaire gebieden:

  • de digitale veerkracht vergroten
  • cybercriminaliteit drastisch terugdringen
  • cyberdefensiebeleid en -capaciteit ontwikkelen in het kader van het gemeenschappelijk veiligheids- en defensiebeleid (GVDB) van de EU
  • de industriële en technologische voorzieningen voor cyberbeveiliging ontwikkelen
  • een coherent internationaal cyberspacebeleid voor de EU ontwikkelen

De ontwerprichtlijn inzake netwerk- en informatiebeveiliging is een van de belangrijkste maatregelen in het kader van de strategie.
 

Waarom hebben we een strategie nodig?

Hedendaagse IT-systemen kunnen ernstige hinder ondervinden vanbeveiligingsincidenten, zoals technische storingen en virussen. Dit soort incidenten, ook wel netwerkinformatiebeveiligingsincidenten of NIB-incidenten genoemd, komen steeds vaker voor en ermee omgaan wordt steeds lastiger.

Tal van bedrijven en overheden in de EU vertrouwen op digitale netwerken en digitale infrastructuur voor het verlenen van hun essentiële diensten. NIB-incidenten kunnen dus enorme gevolgen hebben doordat zij de dienstverlening in het gedrang brengenen maken dat ondernemingen niet goed meer kunnen functioneren. Voorts is de interne markt van de EU zo ver ontwikkeld dat veel netwerk- en informatiesystemen grensoverschrijdend werken. Een NIB-incident in één land kan dan ook gevolgen hebben in andere landen en zelfs in de hele EU. Bovendien ondermijnen beveiligingsincidenten het vertrouwen van de consument in onlinebetalingssystemen en IT-netwerken.

Door de invoering van consistentere risicobeheersmaatregelen en het systematisch rapporteren van incidenten, kan de voorgestelde richtlijn ertoe bijdragen dat de van IT-systemen afhankelijke sectoren betrouwbaarder en stabieler worden. 

 

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF