Bestrijding van cybercriminaliteit: nieuwe EU-wetgeving inzake cyberbeveiliging uitgelegd
Het Parlement heeft nieuwe wetten aangenomen die de EU-cyberveiligheid in belangrijke sectoren verbeteren. Ontdek hoe ze u zullen beschermen.
Met de snel toenemende digitalisering van het dagelijks leven, versneld door de Covid-19 pandemie, is bescherming tegen cyberbedreigingen essentieel geworden voor het goed functioneren van de samenleving.
Cyberaanvallen kunnen heel duur zijn. Volgens de Europese Commissie zullen de jaarlijkse kosten van cybercriminaliteit voor de wereldeconomie tegen eind 2020 naar schatting €5.500 miljard bedragen.
In november 2022 heeft het Europees Parlement de EU-wetgeving bijgewerkt om investeringen in sterke cyberbeveiliging voor essentiële diensten en kritieke infrastructuur te versterken en de EU-brede regels aan te scherpen.
Het Parlement heeft op 22 november ook de bescherming van de essentiële infrastructuur van de EU, inclusief de digitale infrastructuur, verbeterd door de wetgeving definitief goed te keuren die de risicobeoordelingen en rapportageverplichtingen voor kritieke actoren in 11 essentiële sectoren
aanscherpt.
Lees meer over hoe de EU de digitale transformatie vormgeeft.
Strengere verplichtingen op het gebied van cyberbeveiliging - de NIS2-richtlijn
De richtlijn inzake netwerk- en informatiebeveiliging (NIS2) introduceert nieuwe regels om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bevorderen - zowel voor bedrijven als voor landen. Ook worden de eisen op het gebied van cyberbeveiliging aangescherpt voor middelgrote en grote entiteiten die actief zijn en diensten verlenen in belangrijke sectoren.
De richtlijn is een update van de richtlijn inzake netwerk- en informatiebeveiliging uit 2016 en is bedoeld om de duidelijkheid en implementatie te verbeteren en in te spelen op de snelle ontwikkelingen op dit gebied. De richtlijn heeft betrekking op meer sectoren en activiteiten dan voorheen, optimaliseert de meldingsverplichtingen en legt de nadruk op de beveiliging van de toeleveringsketen.
Na goedkeuring door het Parlement en de EU-landen in de Raad in november 2022 hebben de lidstaten 21 maanden de tijd om de richtlijn uit te voeren.
Ontdek wat de belangrijkste en opkomende cyberbedreigingen zijn
Meer sectoren inbegrepen
De nieuwe wet breidt het toepassingsgebied uit tot sectoren en activiteiten die cruciaal zijn voor de economie en de samenleving, waaronder energie, vervoer, banken, gezondheid, digitale infrastructuur, openbaar bestuur en ruimtevaart. Nationale en openbare veiligheid, rechtshandhaving en justitie vallen er echter niet onder. De wet is van toepassing op het openbaar bestuur op centraal en regionaal niveau, maar niet op parlementen en centrale banken.
Het verplicht meer entiteiten en sectoren om risicobeheersmaatregelen te nemen inzake cyberbeveiliging, waaronder leveranciers van openbare elektronische communicatiediensten, beheerders van sociale media, fabrikanten van essentiële producten (waaronder medische hulpmiddelen) en post- en koeriersdiensten.
Strengere verplichtingen voor landen
De wet legt EU-landen strengere cyberbeveiligingsverplichtingen op omtrent toezicht. De handhaving van die verplichtingen wordt verbeterd, onder meer door de sancties in de lidstaten te harmoniseren. De wet is ook bedoeld om de samenwerking tussen EU-landen te verbeteren, ook bij grootschalige incidenten, onder de overkoepelende EU-organisatie omtrent cyberbeveiliging (ENISA).
Cyber Resilience Act: beveiliging van digitale producten verbeteren
Steeds meer alledaagse producten hebben een digitale component - bijvoorbeeld babyfoons, aangesloten deurbellen of wifi-routers - waardoor ze vatbaar zijn voor cyberaanvallen. Om ervoor te zorgen dat ze veilig zijn, werkt de EU aan de Cyber Resilience Act, die zal voorzien in een uniforme reeks verplichte, EU-brede cyberbeveiligingseisen voor producten die verbonden zijn met een ander apparaat of netwerk.
Het Parlement heeft in september 2023 zijn standpunt bepaald en is klaar om met de EU-landen in de Raad te gaan onderhandelen over de uiteindelijke vorm van de wet. Europarlementariërs stellen voor om de lijst van systemen en producten die aan strengere beveiligingseisen moeten voldoen, zoals browsers en wachtwoordmanagers, uit te breiden met slimme thuisassistenten, slimme horloges en slim speelgoed. Europarlementariërs willen ook dat beveiligingsupdates automatisch en los van functionele updates worden geïnstalleerd.
Digital Operational Resilience Act: besherming van het financiële systeem van de EU
Omdat de financiële sector steeds afhankelijker wordt van software en digitale processen, moet deze ook beter worden beschermd. De Digital Operational Resilience Act (DORA) zal ervoor zorgen dat de financiële sector van de EU beter bestand is tegen ernstige operationele verstoringen en cyberaanvallen. Het Parlement heeft op 10 november 2022 zijn definitieve goedkeuring gegeven aan de wetgeving, die eerder overeengekomen was met de Raad. De Raad heeft de verordening op 28 november 2022 formeel goedgekeurd.
De wet introduceert en harmoniseert eisen inzake digitale operationele veerkracht voor de financiële dienstensector van de EU en verplicht bedrijven ervoor te zorgen dat ze bestand zijn tegen, kunnen reageren op en kunnen herstellen van alle soorten verstoringen en bedreigingen in verband met informatie- en communicatietechnologie (ICT).
De nieuwe regels gelden voor alle ondernemingen die financiële diensten aanbieden - zoals banken, betalingsaanbieders, providers van elektronisch geld, beleggingsondernemingen, dienstverleners van crypto-activa, alsook voor kritieke ICT-dienstverleners van derden.
De nationale autoriteiten zullen toezien op de uitvoering en de naleving ervan.
Lees meer over hoe de EU de digitale wereld vormgeeft
