Europese richtlijn voor cybersecurity aangenomen

Bedrijven die 'essentiële diensten' aanbieden - zoals energie, transport, bankdiensten of diensten in de gezondheidssector - of bedrijven die online diensten aanbieden zoals zoekmachines of cloudcomputerdiensten, moeten zich wapenen om cyber-aanvallen te kunnen weerstaan. Dat staat in de regels voor cybersecurity die het EP woensdag goedkeurde.

Gezamenlijke standaarden voor cybersecurity en meer samenwerking tussen de lidstaten moeten bedrijven helpen om zich beter te beschermen en om aanvallen op informatienetwerken te voorkomen.

"Incidenten hebben heel vaak een grensoverschrijdend element, er is dus meer dan één EU-lidstaat bij betrokken. Versnipperde bescherming tegen online dreigingen maakt ons allemaal kwetsbaar en vormt een grote bedreiging voor Europa als geheel. Deze richtlijn zal eenzelfde netwerk- en informatiebeveiliging creëren en samenwerking tussen de EU-lidstaten verbeteren, wat cyberaanvallen op de onderling verbonden infrastructuur zal helpen voorkomen.", zei rapporteur Andreas Schwab (EPP, DE).

De richtlijn over netwerk- en informatiebeveiliging "is ook een van de eerste wettelijke kaders die van toepassing is op platforms. In lijn met de Single Digital Market-strategie, creëert ze geharmoniseerde vereisten voor platforms en zorgt ervoor dat bedrijven soortgelijke regels kunnen verwachten, waar ook in de EU ze actief zijn. Dit is een grote eerste stap naar de oprichting van een alomvattend regelgevend kader voor platforms in de EU.", voegde hij eraan toe.

Lijst met "aanbieders van essentiële diensten"

De nieuwe Europese wetgeving legt verplichtingen in verband met beveiliging en melding van incidenten op aan "aanbieders van essentiële diensten" in sectoren zoals energie, transport, gezondheidszorg, banksector en watervoorziening. De lidstaten moeten een lijst van bedrijven opstellen aan de hand van criteria zoals het belang voor de samenleving en economie en de mogelijke impact van een incident.

Sommige aanbieders van online diensten zoals online marktplaatsen, zoekmachines en cloudcomputerdiensten moeten ook maatregelen nemen om veiligheid van hun infrastructuur te waarborgen en ze moeten incidenten melden. Voor hen zijn de vereisten echter kleiner dan voor de aanbieders van essentiële diensten. Kleine en micro-ondernemingen zijn vrijgesteld van deze verplichtingen.

EU-brede samenwerking

De nieuwe regels creëren een strategische samenwerkingsgroep om de informatie-uitwisseling tussen de lidstaten te ondersteunen en de lidstaten te helpen bij het uitwerken van hun cybersecurity. Elke lidstaat moet een strategie voor netwerk- en informatiebeveiliging hebben.

De lidstaten moeten ook een netwerk van Computer Security Incident Response Teams (CSIRTs) opzetten om incidenten en risico's te behandelen, grensoverschrijdende veiligheidskwesties te bespreken en gecoördineerde reacties te bepalen. Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) zal een belangrijke rol spelen bij de uitvoering van de richtlijn, vooral op het gebied van de samenwerking tussen de lidstaten. De richtlijn wijst ook op het belang van bescherming van persoonsgegevens.

Volgende stappen

De richtlijn verschijnt binnenkort in het Publicatieblad van de EU, 20 dagen later wordt ze van kracht. De lidstaten hebben dan 21 maanden om de richtlijn om te zetten naar hun nationaal recht en nog eens 6 maanden om een lijst op te stellen van aanbieders van essentiële diensten.

Bron: Europees Parlement

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF