Overeenstemming EU over cybersecurity.

In Nieuws by EMCS

Stap voorwaarts in EU om online omgeving veiliger te maken

Door mr. Wilma van de Meerakker en ir. Ed Muylkens

Na jaren van onderhandelingen hebben onderhandelaars van het Europese Parlement, de Raad en de Commissie dinsdag 8 december 2015 in Brussel overeenstemming bereikt over de eerste EU-brede richtlijn voor cybersecurity. Deze richtlijn is bekend onder de naam Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn).

Achtergrond NIB-richtlijn

De Europese Unie wil een hoog maatschappelijk niveau waarborgen van netwerk- en informatiebeveiliging. Dit is alleen te bereiken door samenwerking binnen de EU op dit gebied en dat was dan ook de belangrijkste reden voor de totstandkoming van deze richtlijn.

Inhoud overeenstemming

Het EU persbericht vermeldt onder andere…

““Informatie Systemen – netwerken en databases die het mogelijk maken om essentiële diensten te leveren, zaken te doen en het internet te laten functioneren – worden in toenemende mate geraakt door beveiligingsincidenten.”

<…>

“Dit kan leiden tot verstoring van diensten waarvan we het gewoon vinden dat ze functioneren, zoals de watervoorziening, elektriciteitsopwekking, gezondheidszorg of transport. Het is een prioriteit voor de Europese Commissie om deze incidenten te vermijden, en als ze optreden, de meest efficiënte reactie te geven.”

<…>

“De overeenstemming betreft:

  1. Het verbeteren van cybersecurity vaardigheden in lidstaten
  2. Het verbeteren van de samenwerking tussen lidstaten op het gebied van cybersecurity
  3. Maatregelen zodat leveranciers van essentiële diensten in de energie, transport, bank en gezondheidszorg sectoren, en leveranciers van belangrijke digitale diensten als zoekmachines en cloud diensten, behoorlijke beveiligingsmaatregelen treffen en incidenten melden bij de nationale autoriteiten”.

Beveiligings- en meldplicht

De beveiligings- en meldplicht zal dus gaan gelden voor aanbieders van essentiële diensten. Dergelijke aanbieders zullen door de lidstaten worden aangewezen op basis van bepaalde criteria. Denk hierbij aan energieaanbieders, banken, ziekenhuizen maar ook grote aanbieders van online diensten, zoals bijvoorbeeld Google.

Alhoewel deze meldplicht voor beveiligingsincidenten mogelijk overlap vertoont met de Meldplicht datalekken die in Nederland per 1 januari 2016 van kracht zal zijn, staat deze hier in principe los van. Voor meer informatie over de Meldplicht datalekken en de consequenties hiervan zie http://nieuws.testnet.org/vak/bent-u-voorbereid-op-de-meldplicht-datalekken-in-2016/

Vervolg

Na dit politiek akkoord zal de tekst officieel moeten worden goedgekeurd door het Europese Parlement en de Raad van Ministers. Daarna dient de richtlijn te worden gepubliceerd in The Official Journal of the European Union (De Europese Staatscourant), zodat deze wettelijk van kracht wordt. De lidstaten hebben vervolgens 21 maanden de tijd om hun nationale wetgeving in lijn te brengen met deze richtlijn. Bovendien krijgen zij 6 extra maanden de tijd om leveranciers van essentiële diensten aan te wijzen.

Share this Post

Deel deze pagina