Europese Raad neemt nieuwe wetgeving NIS2 ofwel NIB2 aan
EU besluit de cyberbeveiliging en weerbaarheid in de hele Unie te versterken nu de Europese Raad neemt de nieuwe wetgeving NIS2 ofwel NIB2 heeft aangenomen. De Raad nam wetgeving aan voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie , om de weerbaarheid en het reactievermogen bij incidenten van zowel de publieke als de particuliere sector en de EU als geheel verder te verbeteren.
De nieuwe richtlijn, genaamd ' NIS2' , vervangt de huidige richtlijn over beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn).
Ivan Bartoš, Tsjechische vicepremier voor Digitalisering en minister van Regionale Ontwikkeling: "Het lijdt geen twijfel dat cyberbeveiliging de komende jaren een belangrijke uitdaging zal blijven. De inzet voor onze economieën en onze burgers is enorm. Vandaag hebben we een nieuwe stap gezet om onze capaciteit om deze dreiging het hoofd te bieden, te verbeteren."
NIS2 zal de basis vormen voor maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen, zoals energie, vervoer, gezondheid en digitale infrastructuur
De herziene richtlijn heeft tot doel de cyberbeveiligingsvereisten en de implementatie van cyberbeveiligingsmaatregelen in verschillende lidstaten te harmoniseren . Om dit te bereiken, stelt het minimumregels vast voor een regelgevend kader en stelt het mechanismen vast voor effectieve samenwerking tussen relevante autoriteiten in elke lidstaat. Het actualiseert de lijst van sectoren en activiteiten die onderworpen zijn aan cyberbeveiligingsverplichtingen en voorziet in rechtsmiddelen en sancties om handhaving te waarborgen.
Met de richtlijn wordt formeel het netwerk van de Europese verbindingsorganisatie voor cybercrises opgericht, EU-CyCLONE , dat het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises zal ondersteunen .
Verruiming van het toepassingsgebied van de regels
Terwijl onder de oude NIS-richtlijn de lidstaten verantwoordelijk waren om te bepalen welke entiteiten zouden voldoen aan de criteria om als aanbieders van essentiële diensten te worden aangemerkt, introduceert de nieuwe NIS2-richtlijn een size-cap- regel als algemene regel voor de identificatie van gereguleerde entiteiten. Dit betekent dat alle middelgrote en grote entiteiten die actief zijn binnen de sectoren of diensten verlenen die onder de richtlijn vallen, onder het toepassingsgebied vallen.
Hoewel de herziene richtlijn deze algemene regel handhaaft, bevat de tekst aanvullende bepalingen om te zorgen voor evenredigheid , een hoger niveau van risicobeheer en duidelijke kritikaliteitscriteria om de nationale autoriteiten in staat te stellen te bepalen welke entiteiten er nog meer onder vallen.
De tekst verduidelijkt ook dat de richtlijn niet van toepassing zal zijn op entiteiten die activiteiten uitvoeren op gebieden als defensie of nationale veiligheid, openbare veiligheid en wetshandhaving . Ook de rechterlijke macht, parlementen en centrale banken vallen buiten het toepassingsgebied.
NIS2 zal ook van toepassing zijn op overheidsdiensten op centraal en regionaal niveau. Daarnaast kunnen lidstaten besluiten dat het ook op lokaal niveau voor dergelijke entiteiten geldt.
Andere wijzigingen ingevoerd door de nieuwe wet
Bovendien is de nieuwe richtlijn afgestemd op sectorspecifieke wetgeving , met name de verordening over digitale operationele weerbaarheid voor de financiële sector (DORA) en de richtlijn over de weerbaarheid van kritieke entiteiten (CER), om juridische duidelijkheid te scheppen en te zorgen voor samenhang tussen NIS2 en deze wetten.
Een vrijwillig mechanisme voor intercollegiaal leren zal het wederzijdse vertrouwen en het leren van goede praktijken en ervaringen in de Unie vergroten en zo bijdragen tot het bereiken van een hoog gemeenschappelijk niveau van cyberbeveiliging.
De nieuwe wetgeving stroomlijnt ook de rapportageverplichtingen om overrapportage en een buitensporige belasting van de betrokken entiteiten te voorkomen.
Volgende stappen
De lidstaten, waaronder Nederland, hebben vanaf de inwerkingtreding van de richtlijn 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.