Cybersecurity: nieuwe regels voor kritieke EU netwerken?

Temps de lecture: 3 min |20 octobre 2024 à 04:00

De Commissie heeft op 17 oktober de eerste uitvoeringsbepalingen inzake cyberbeveiliging van kritieke entiteiten en netwerken vastgesteld in het kader van de richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn).

Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)Text with EEA relevance

De aangenomen uitvoeringsverordening zal van toepassing zijn op specifieke categorieën bedrijven die digitale diensten aanbieden, zoals aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, onlinemarktplaatsen, onlinezoekmachines en socialenetwerkplatforms, om er maar een paar te noemen. Voor elke categorie dienstverleners wordt in de uitvoeringshandeling ook gespecificeerd wanneer een incident als significant wordt beschouwd.*

De vaststelling van de uitvoeringsverordening van vandaag valt samen met de termijn waarbinnen de lidstaten de NIS2-richtlijn in nationaal recht moeten omzetten. Vanaf morgen, 18 oktober 2024, moeten alle lidstaten de nodige maatregelen toepassen om te voldoen aan de NIS2-regels inzake cyberbeveiliging, met inbegrip van toezichts- en handhavingsmaatregelen

Volgende stappen

De uitvoeringsverordening zal te zijner tijd in het Publicatieblad worden bekendgemaakt en 20 dagen daarna in werking treden.

Achtergrond

De eerste EU-brede wet inzake cyberbeveiliging, de NIS-richtlijn, is in 2016 in werking getreden en heeft bijgedragen tot een gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de hele EU. Als onderdeel van haar belangrijkste beleidsdoelstelling om Europa klaar te stomen voor het digitale tijdperk, heeft de Commissie in december 2020 een herziening van de NIB-richtlijn voorgesteld. Na de inwerkingtreding in januari 2023 moesten de lidstaten de NIS2-richtlijn uiterlijk op 17 oktober 2024 in nationaal recht omzetten.

De NIS2-richtlijn heeft tot doel een hoog niveau van cyberbeveiliging in de hele Unie te waarborgen. Het heeft betrekking op entiteiten die actief zijn in sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronischecommunicatiediensten, beheer van ICT-diensten, digitale diensten, afvalwater- en afvalbeheer, ruimtevaart, gezondheid, energie, vervoer, productie van kritieke producten, post- en koeriersdiensten en overheidsdiensten.

De richtlijn versterkt de beveiligingsvereisten die aan de bedrijven worden opgelegd en heeft betrekking op de beveiliging van toeleveringsketens en leveranciersrelaties. Het stroomlijnt de rapportageverplichtingen, voert strengere toezichtsmaatregelen in voor de nationale autoriteiten en strengere handhavingsvereisten, en heeft tot doel de sanctieregelingen in de lidstaten te harmoniseren. Het zal bijdragen tot een betere informatie-uitwisseling en samenwerking op het gebied van cybercrisisbeheersing op nationaal en EU-niveau.