Skip to main content
Shaping Europe’s digital future
News article | Publicatie

Nieuwe strengere cyberbeveiligingsregels voor een veiliger digitaal landschap in de EU

Vandaag zijn nieuwe EU-regels inzake cyberbeveiliging van de sectoren die het meest essentieel zijn voor de werking van de economie en de samenleving in werking getreden via de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn).

graphic showing a lock projected on a microchip

iStock photo Getty images Plus

De regels zullen zorgen voor een veiliger en sterker Europa door de sectoren en soorten entiteiten die onder het toepassingsgebied ervan vallen aanzienlijk uit te breiden en door de beveiligingsvereisten voor bedrijven aan te scherpen.

Recente dreigingen hebben ertoe geleid dat de cyberbeveiliging van de EU voor de bescherming van burgers en bedrijven snel en gezamenlijk moet worden versterkt. Het is ook van cruciaal belang dat kritieke sectoren en infrastructuur veilig en veerkrachtig blijven. Door deze uitdagingen aan te pakken, vervangt de NIS 2-richtlijn de regels inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), de eerste EU-brede wetgeving inzake cyberbeveiliging die de weg vrijmaakte voor een innovatievere regelgevingsaanpak van cyberbeveiliging in veel lidstaten.

Veiligstellen van andere cruciale sectoren

Meer interconnectie en digitalisering van bepaalde sectoren leiden tot meer cyberdreigingen. Door ervoor te zorgen dat meer sectoren en entiteiten risicobeheersmaatregelen op het gebied van cyberbeveiliging moeten nemen, zal het cyberbeveiligingsniveau in Europa toenemen. De NIS 2-richtlijn heeft nu betrekking op extra sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronische-communicatienetwerken en -diensten, datacentrumdiensten, afvalwater- en afvalbeheer, de productie van kritieke producten, post- en koeriersdiensten en overheidsinstanties. De regels hebben ook betrekking op de gezondheidszorg in ruimere zin, bijvoorbeeld door onderzoek en ontwikkeling van geneesmiddelen of de vervaardiging van farmaceutische producten op te nemen. De lidstaten zullen over een zekere beoordelingsmarge beschikken bij het identificeren van kleinere entiteiten met een hoog beveiligingsprofiel die onder het toepassingsgebied van de richtlijn moeten vallen.

Betere beveiligingseisen voor bedrijven

De NIS 2-richtlijn versterkt ook de vereisten inzake risicobeheer op het gebied van cyberbeveiliging waaraan bedrijven moeten voldoen.  Net als in het kader van de NIS-richtlijn zullen bedrijven passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de cyberbeveiligingsrisico’s te beheren en de gevolgen van potentiële incidenten te voorkomen en tot een minimum te beperken. Deze eis wordt veel concreter in NIS 2 met een lijst van gerichte maatregelen, waaronder respons op incidenten en crisisbeheersing, aanpak en bekendmaking van kwetsbaarheden, beleid en procedures om de doeltreffendheid van risicobeheersmaatregelen op het gebied van cyberbeveiliging te beoordelen, of hygiëne en opleiding op het gebied van cyberbeveiliging.

Om de informatie-uitwisseling en samenwerking op het gebied van cybercrisisbeheersing op zowel nationaal als EU-niveau te bevorderen, worden in de richtlijn de verplichtingen inzake melding van incidenten gestroomlijnd met preciezere bepalingen inzake rapportage, inhoud en tijdschema. Voorts zijn er strengere toezichtmaatregelen voor nationale autoriteiten en strengere handhavingsvereisten, samen met de lijst van administratieve sancties, waaronder boetes voor inbreuken op de verplichtingen inzake risicobeheer en rapportage op het gebied van cyberbeveiliging.

Volgende stappen

De lidstaten hebben 21 maanden de tijd om de NIS2-richtlijn in nationaal recht om te zetten. Gedurende deze periode stellen de lidstaten de maatregelen vast die nodig zijn om aan deze richtlijn te voldoen en maken zij deze bekend.

In december 2022 heeft de Raad een aanbeveling aangenomen over een EU-wijde coördinatieaanpak om de veerkracht van kritieke infrastructuur te versterken, waarbij de lidstaten wordt verzocht vaart te zetten achter de voorbereidende werkzaamheden voor de omzetting en toepassing van NIS 2 en van de richtlijn betreffende de veerkracht van kritieke entiteiten (CER). 

Achtergrond

Cyberbeveiliging is een prioriteit van de Commissie en een hoeksteen van het digitale en geconnecteerde Europa.

De eerste EU-brede wetgeving inzake cyberbeveiliging, de NIS-richtlijn, die in 2016 in werking is getreden, heeft bijgedragen tot een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen in de hele EU. De NIS-richtlijn had betrekking op verschillende sectoren, waaronder energie, vervoer, bankwezen en financiën, gezondheidszorg, drinkwatervoorziening en -distributie, alsook digitale infrastructuur. Het had ook betrekking op digitaledienstverleners, met name aanbieders van clouddiensten, onlinemarktplaatsen en onlinezoekmachines.

Als onderdeel van haar belangrijke beleidsdoelstelling „Europa klaarmaken voor het digitale tijdperk” heeft de Commissie in december 2020 een herziening van de NIS-richtlijn voorgesteld. Dankzij de EU-cyberbeveiligingsverordening, die in 2019 in werking is getreden, beschikt Europa over een kader voor cyberbeveiligingscertificering van producten, diensten en processen en is het mandaat van het EU-agentschap voor cyberbeveiliging versterkt. In september 2022 heeft de Commissie haar goedkeuring gehecht aan het voorstel voor een wet inzake cyberveerkracht, waarin cyberbeveiligingsvereisten worden vastgesteld voor producten met een digitaal element, die zowel betrekking hebben op hardware als op software.

Meer informatie

Factsheet over de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn)

Vragen en Antwoorden:  Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn)

Volledige wettekst van de richtlijn