24.06.2022

Europees akkoord over herziening richtlijnen cyberveiligheid (NIB2)

De EU-lidstaten en het Europees Parlement hebben deze week een politiek akkoord bereikt over de herziening van de zogenoemde EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Deze herziening richt zich op een groot aantal sectoren, waaronder de chemische industrie. De Koninklijke VNCI onderschrijft het belang van een goede digitale cybersecurity weerbaarheid, gebaseerd op een Europees speelveld.

 

Beter beveiligde netwerk- en informatiesystemen en een meldplicht voor ernstige cyberincidenten moeten de digitale veiligheid in de EU flink gaan verhogen. De belangrijkste spelers in de levensmiddelensector (industriële voedselproductie en distributie zoals grotere supermarktketens), maar ook partijen in de maak- en chemische industrie, afvalverwerking, post- en koeriersdiensten en datacenters moeten vanaf medio 2024 passende cybermaatregelen gaan nemen. Dit staat in de herziening van de zogenoemde EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Nederland zet zich al jaren in voor passende Europese afspraken op dit gebied.

Verbetering cyberbeveiliging toeleveringsketen en afhandeling incidenten

Onder de huidige richtlijn zijn aanbieders van essentiële diensten (zoals banken, drinkwater, energie) en digitale partijen (zoals clouddiensten, online marktplaatsen) door de Rijksoverheid al aangewezen om maatregelen te nemen voor hun digitale veiligheid en ernstige cyberincidenten te melden. Hierop is ook toezicht. Het NCSC (Nationaal Cyber Security Centrum, ministerie van Justitie en Veiligheid) geeft bijstand en advies aan de essentiële diensten en vitale sectoren.

Vanaf medio 2024 wordt het aantal sectoren fors uitgebreid. De herziene NIB2-richtlijn kent dan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële aanbieders, voornamelijk partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats als er aanwijzingen zijn dat er sprake is van een incident. Dit zijn voornamelijk (middel)grote partijen waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben. Naast de meldplicht moeten alle aanbieders die onder de herziene richtlijn gaan vallen, ook veiligheidsmaatregelen gaan nemen: de zogenaamde zorgplicht. Deze gaat uit van een risico gebaseerde cybersecuritymanagementaanpak die moeten leiden tot een veilige bedrijfscontinuïteit. Onderdeel hiervan zijn onder andere het uitvoeren van een risicoanalyse en de wijze van afhandeling van cyberincidenten.

Nationale wetgeving

Na stemming in het Europees Parlement wordt de richtlijn naar verwachting in de herfst van dit jaar gepubliceerd en medio 2024 omgezet naar in nationale wetgeving. De VNCI volgt in samenwerking met VNO-NCW deze omzetting in nationale wetgeving, onder andere waar het gaat om de uitvoerbaarheid en om stapeling van wetgeving en toezicht te voorkomen .