Cybersecurity : nieuwe regels ter bevordering van de cyberbeveiliging van kritieke entiteiten en netwerken in de EU

De Commissie heeft op 17 oktober de eerste uitvoeringsbepalingen inzake cyberbeveiliging van kritieke entiteiten en netwerken vastgesteld in het kader van de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn). In deze uitvoeringshandeling worden maatregelen voor het beheer van cyberbeveiligingsrisico's beschreven, alsook de gevallen waarin een incident als significant moet worden beschouwd en ondernemingen die digitale infrastructuur en diensten aanbieden, dit aan de nationale autoriteiten moeten melden. Dit is een nieuwe belangrijke stap in het vergroten van de cyberweerbaarheid van de kritieke digitale infrastructuur van Europa.

De aangenomen uitvoeringsverordening zal van toepassing zijn op specifieke categorieën bedrijven die digitale diensten aanbieden, zoals aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, onlinemarktplaatsen, onlinezoekmachines en socialenetwerkplatforms, om er maar een paar te noemen. Voor elke categorie dienstverleners wordt in de uitvoeringshandeling ook gespecificeerd wanneer een incident als significant wordt beschouwd.*

De vaststelling van de uitvoeringsverordening van vandaag valt samen met de termijn waarbinnen de lidstaten de NIS2-richtlijn in nationaal recht moeten omzetten. Vanaf morgen, 18 oktober 2024, moeten alle lidstaten de nodige maatregelen toepassen om te voldoen aan de NIS2-regels inzake cyberbeveiliging, met inbegrip van toezichts- en handhavingsmaatregelen.

Volgende stappen

De uitvoeringsverordening zal te zijner tijd in het Publicatieblad worden bekendgemaakt en 20 dagen daarna in werking treden.

Achtergrond

De eerste EU-brede wet inzake cyberbeveiliging, de NIS-richtlijn, is in 2016 in werking getreden en heeft bijgedragen tot een gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de hele EU. Als onderdeel van haar belangrijkste beleidsdoelstelling om Europa klaar te stomen voor het digitale tijdperk, heeft de Commissie in december 2020 een herziening van de NIB-richtlijn voorgesteld. Na de inwerkingtreding in januari 2023 moesten de lidstaten de NIS2-richtlijn uiterlijk op 17 oktober 2024 in nationaal recht omzetten.

De NIS2-richtlijn heeft tot doel een hoog niveau van cyberbeveiliging in de hele Unie te waarborgen. Het heeft betrekking op entiteiten die actief zijn in sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronischecommunicatiediensten, beheer van ICT-diensten, digitale diensten, afvalwater- en afvalbeheer, ruimtevaart, gezondheid, energie, vervoer, productie van kritieke producten, post- en koeriersdiensten en overheidsdiensten.

De richtlijn versterkt de beveiligingsvereisten die aan de bedrijven worden opgelegd en heeft betrekking op de beveiliging van toeleveringsketens en leveranciersrelaties. Het stroomlijnt de rapportageverplichtingen, voert strengere toezichtsmaatregelen in voor de nationale autoriteiten en strengere handhavingsvereisten, en heeft tot doel de sanctieregelingen in de lidstaten te harmoniseren. Het zal bijdragen tot een betere informatie-uitwisseling en samenwerking op het gebied van cybercrisisbeheersing op nationaal en EU-niveau.

Voor meer informatie

Uitvoeringsbesluit

Factsheet over de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2)

Vragen en antwoorden over NIS2: Nieuwe EU-cyberbeveiligingsstrategie en nieuwe regels om fysieke en digitale kritieke entiteiten veerkrachtiger te maken