iStock photo Getty images plus
Recente bedreigingen voor de kritieke infrastructuur van de EU hebben geprobeerd onze collectieve veiligheid te ondermijnen. Reeds in 2020 had de Commissie voorgesteld de EU-regels inzake de veerkracht van kritieke entiteiten en de beveiliging van netwerk- en informatiesystemen aanzienlijk te verbeteren.
De 2 richtlijnen die in werking treden, zijn:
- Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn)
- Richtlijn betreffende de veerkracht van kritieke entiteiten (CER-richtlijn)
De NIS 2-richtlijn zal zorgen voor een veiliger en sterker Europa door de sectoren en soorten kritieke entiteiten die onder het toepassingsgebied ervan vallen aanzienlijk uit te breiden. Het gaat onder meer om aanbieders van openbare elektronische-communicatienetwerken en -diensten, datacentra, afvalwater- en afvalbeheer, de productie van kritieke producten, post- en koeriersdiensten en overheidsinstanties, alsook de gezondheidszorg in ruimere zin. Voorts zullen de vereisten inzake risicobeheer op het gebied van cyberbeveiliging waaraan bedrijven moeten voldoen, worden aangescherpt en zullen de verplichtingen inzake melding van incidenten worden gestroomlijnd met preciezere bepalingen inzake rapportage, inhoud en tijdschema. De NIS2-richtlijn vervangt de regels inzake de beveiliging van netwerk- en informatiesystemen, de eerste EU-brede wetgeving inzake cyberbeveiliging.
Tegen de achtergrond van een steeds complexer risicolandschap vervangt de nieuwe CER-richtlijn de richtlijn Europese kritieke infrastructuur van 2008. De nieuwe regels zullen kritieke infrastructuur weerbaarder maken tegen een reeks bedreigingen, waaronder natuurrampen, terroristische aanslagen, dreigingen van binnenuit of sabotage. Er zullen 11 sectoren worden bestreken: energie, vervoer, bankwezen, infrastructuur van de financiële markten, gezondheid, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur, ruimtevaart en voedsel. De lidstaten zullen een nationale strategie moeten vaststellen en regelmatig risicobeoordelingen moeten uitvoeren om vast te stellen welke entiteiten als cruciaal of essentieel voor de samenleving en de economie worden beschouwd.
De lidstaten hebben 21 maanden de tijd om beide richtlijnen in nationaal recht om te zetten. Gedurende deze periode stellen de lidstaten de maatregelen vast die nodig zijn om hieraan te voldoen en maken zij deze bekend.
In december 2022 heeft de Raad een aanbevelingaangenomen over een EU-wijde coördinatieaanpak om de veerkracht van kritieke infrastructuur te versterken, waarbij de lidstaten wordt verzocht vaart te zetten achter de voorbereidende werkzaamheden voor de omzetting en toepassing van NIS 2 en van de richtlijn betreffende de veerkracht van kritieke entiteiten (CER).