Digitale veiligheidseisen en meldplicht cyberincidenten in meer sectoren.

Watsonlaw_cybersecurity

Digitale veiligheidseisen en meldplicht cyberincidenten in meer sectoren.

Steeds meer sectoren worden straks verplicht om maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen tegen ransomware. Ook moeten bedrijven in die sectoren cyberincidenten melden. Dat hebben de verantwoordelijke EU-ministers tijdens de Telecomraad afgesproken.

Het gaat om sectoren die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. De aangescherpte regels gelden vooral voor de grotere ondernemingen in die sectoren, en minder voor kleine organisaties.

Cyberaanval

Cyberincidenten kunnen leiden tot maatschappelijke ontwrichting en kunnen grote economische schade veroorzaken. Winkelschappen kunnen leeg raken als een transportbedrijf wordt geraakt door een cyberaanval, de industriële productie kan stilvallen. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen. Ransomware – hackers leggen computersystemen lam en eisen veel losgeld om ze weer op te starten – is inmiddels zo’n groot probleem, dat zelfs de nationale veiligheid in gevaar is. Met deze nieuwe maatregel wordt een belangrijke stap gezet in het verder verhogen van de nationale en Europese weerbaarheid tegen cyberdreigingen.

Strenge eisen

Op dit moment moeten aanbieders van essentiële diensten (zoals banken, drinkwater, energiesector) al voldoen aan deze strenge eisen. Dat geldt ook voor digitale dienstverleners, zoals clouddiensten en online marktplaatsen. Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. Hierop vindt ook toezicht plaats. In Nederland verleent het Nationaal Cyber Security Centrum (dat valt onder het ministerie van Justitie en Veiligheid) bijstand en advies aan deze aanbieders. Het Computer Security Incident Response Team (ministerie van Economische Zaken) doet dit voor de digitale dienstverleners.

Toezicht

Het aantal sectoren dat moet voldoen aan strenge cybereisen wordt met de recente maatregelen fors uitgebreid. Daarbij wordt onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ aanbieders. Bij de essentiële partijen (voornamelijk uit vitale sectoren) is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aan aanbieders worden naast een meldplicht ook veiligheidsmaatregelen gesteld: ze moeten de toeleveringsketen beveiligen en de afhandeling van incidenten op orde brengen.

Wet beveiliging netwerk- en informatiesystemen

Het streven is dat de EU-ministers hierover in 2022 een definitief akkoord bereiken. Daarna kunnen de lidstaten de wetgeving in eigen land aanpassen. In Nederland is de huidige richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De minister van Justitie en Veiligheid is coördinerend bewindspersoon voor cybersecurity.