Ondanks de opmerkelijke resultaten ervan, heeft de richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), die de weg vrijmaakte voor een aanzienlijke verandering in de aanpak van cyberbeveiliging op het gebied van cyberbeveiliging, op het gebied van de instelling en de regelgeving, inmiddels ook zijn beperkingen bewezen. De digitale transformatie van de samenleving (versterkt door de COVID-19-crisis) heeft het dreigingslandschap uitgebreid en brengt nieuwe uitdagingen met zich mee, waarvoor aangepaste en innovatieve antwoorden nodig zijn.
Nu kan elke verstoring, zelfs in eerste instantie beperkt tot één entiteit of één sector, meer in het algemeen cascade-effecten hebben, wat kan leiden tot verreikende en langdurige negatieve gevolgen voor de dienstverlening op de gehele interne markt.
Om deze uitdagingen aan te pakken, zoals aangekondigd in de mededeling over de digitale toekomst van Europa, heeft de Commissie de herziening van de richtlijn tot eind 2020 versneld en een effectbeoordeling uitgevoerd en een nieuw wetgevingsvoorstel ingediend.
Kernelementen van het Commissievoorstel
Het nieuwe voorstel van de Commissie beoogt de tekortkomingen van de vorige NIS-richtlijn aan te pakken, deze aan te passen aan de huidige behoeften en deze toekomstbestendig te maken.
Daartoe breidt het Commissievoorstel het toepassingsgebied van de huidige NIS-richtlijn uit door nieuwe sectoren toe te voegen op basis van hun kritiek op de economie en de samenleving, en door een duidelijk omvangsplafond in te voeren, wat betekent dat alle middelgrote en grote ondernemingen in geselecteerde sectoren in het toepassingsgebied zullen worden opgenomen. Tegelijkertijd laat het de lidstaten enige flexibiliteit om kleinere entiteiten met een hoog veiligheidsrisicoprofiel te identificeren.
Het voorstel maakt ook een einde aan het onderscheid tussen aanbieders van essentiële diensten en aanbieders van digitale diensten. Entiteiten zouden worden ingedeeld op basis van hun belang, respectievelijk verdeeld in essentiële en belangrijke categorieën, met als gevolg dat zij aan verschillende toezichtregelingen zouden worden onderworpen.
Het voorstel versterkt de beveiligingseisen voor de ondernemingen door een risicobeheerbenadering op te leggen met een minimumlijst van basisbeveiligingselementen die moeten worden toegepast. Het voorstel bevat preciezere bepalingen over het proces voor de melding van incidenten, de inhoud van de verslagen en de tijdschema’s.
Voorts stelt de Commissie voor om de veiligheid van toeleveringsketens en leveranciersrelaties aan te pakken door individuele bedrijven te verplichten cyberbeveiligingsrisico’s in toeleveringsketens en leveranciersrelaties aan te pakken. Op Europees niveau versterkt het voorstel de cyberbeveiliging van de toeleveringsketen voor belangrijke informatie- en communicatietechnologieën. De lidstaten zullen in samenwerking met de Commissie en Enisa gecoördineerde risicobeoordelingen van kritieke toeleveringsketens uitvoeren, voortbouwend op de succesvolle aanpak die is gevolgd in de context van de aanbeveling van de Commissie over cyberbeveiliging van 5G-netwerken.
Het voorstel voorziet in strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingsvereisten en harmonisering van sanctieregelingen in de lidstaten.
Het voorstel versterkt ook de rol van de samenwerkingsgroep bij het vormgeven van strategische beleidsbeslissingen over opkomende technologieën en nieuwe trends, en vergroot de informatie-uitwisseling en samenwerking tussen de autoriteiten van de lidstaten. Het versterkt ook de operationele samenwerking, onder meer op het gebied van cybercrisisbeheersing.
Het voorstel van de Commissie voorziet in een basiskader met verantwoordelijke sleutelactoren voor de gecoördineerde openbaarmaking van kwetsbaarheden voor nieuw ontdekte kwetsbaarheden in de hele EU en het opzetten van een EU-register voor het door het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) beheerde EU-register.
Volgende stappen
Relevante volgende stappen zijn:
- Over het voorstel worden onderhandelingen gevoerd tussen de medewetgevers, met name de Raad van de EU en het Europees Parlement.
- Zodra het voorstel is goedgekeurd en bijgevolg is aangenomen, moeten de lidstaten de NIS2-richtlijn binnen 18 maanden omzetten.
- De Commissie moet de NIS2-richtlijn periodiek herzien en 54 maanden na de inwerkingtreding voor het eerst verslag uitbrengen over de evaluatie.
- De Europese Commissie ziet uit naar de uitvoering van de nieuwe cyberstrategie in de komende maanden.
Related content
Policy and legislation | 16 December 2020
-