De Europese Raad heeft wetgeving aangenomen met als doel om een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie te bewerkstelligen. Hiermee wordt geprobeerd de weerbaarheid en het reactievermogen bij incidenten van zowel de publieke als de particuliere sector en de EU als geheel verder te verbeteren.
De nieuwe richtlijn, genaamd ‘NIS2’, vervangt de huidige richtlijn over beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn). NIS2 zal de basis vormen voor maatregelen voor het beheer van cyberbeveiligingsrisico’s en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen, zoals energie, vervoer, gezondheid en digitale infrastructuur.
De herziene richtlijn heeft tot doel de cyberbeveiligingsvereisten en de implementatie van cyberbeveiligingsmaatregelen in verschillende lidstaten te harmoniseren. Om dit te bereiken, stelt het minimumregels vast voor een regelgevend kader en stelt het mechanismen vast voor effectieve samenwerking tussen relevante autoriteiten in elke lidstaat. Het actualiseert de lijst van sectoren en activiteiten die onderworpen zijn aan cyberbeveiligingsverplichtingen en voorziet in rechtsmiddelen en sancties om handhaving te waarborgen.
Met de richtlijn wordt formeel het netwerk van de Europese verbindingsorganisatie voor cybercrises opgericht, EU-CyCLONE, dat het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises zal ondersteunen.
Terwijl onder de oude NIS-richtlijn de lidstaten verantwoordelijk waren om te bepalen welke entiteiten als aanbieders van essentiële diensten te worden aangemerkt, introduceert de nieuwe NIS2-richtlijn een zogeheten size-cap-regel. Dit betekent dat alle middelgrote en grote entiteiten die actief zijn binnen de sectoren of diensten verlenen die onder de richtlijn vallen, automatisch onder de nieuwe wetgeving vallen.
Andere wijzigingen ingevoerd door de nieuwe wet
Bovendien is de nieuwe richtlijn afgestemd op sectorspecifieke wetgeving, met name de verordening over digitale operationele weerbaarheid voor de financiële sector (DORA) en de richtlijn over de weerbaarheid van kritieke entiteiten (CER). Het doel hierbij is om juridische duidelijkheid te scheppen en te zorgen voor samenhang tussen NIS2 en deze wetten.
De nieuwe wetgeving stroomlijnt ook de rapportageverplichtingen om overrapportage en een buitensporige belasting van de betrokken entiteiten te voorkomen.
De richtlijn wordt de komende dagen gepubliceerd in het Publicatieblad van de Europese Unie en treedt op de twintigste dag na publicatie in werking. Zodra het gepubliceerd is, wordt dit geplaatst op het portaal. Alle lidstaten hebben vanaf de inwerkingtreding van de richtlijn 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.
Bron: Consilium.Europa.eu.