Leden van het EP keurden op donderdag regels goed die van EU-landen vereisen dat zij aan strengere toezichts- en handhavingsmaatregelen voldoen en sancties harmoniseren.
Nieuwe wetgeving stelt strengere eisen aan bedrijven, overheden en infrastructuur
Uiteenlopende nationale cyberbeveiligingsmaatregelen maken de EU kwetsbaarder
Nieuwe "essentiële sectoren" zoals energie, vervoer, banken en gezondheid vallen onder de wet
De wetgeving, waarover de leden en de Raad al overeenstemming bereikten in mei dit jaar, gaat strengere cyberbeveiligingsverplichtingen vaststellen voor risicobeheer, rapportageverplichtingen en het delen van informatie. De eisen hebben onder meer betrekking op incidentenbehandeling, beveiliging van de toeleveringsketen, encryptie en openbaarmaking van kwetsbaarheden.
Meer entiteiten en sectoren moeten maatregelen nemen om zich te beschermen. "Essentiële sectoren" zoals energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart gaan onder de nieuwe veiligheidsbepalingen vallen.
Tijdens de onderhandelingen drongen de EP-leden aan op de noodzaak van duidelijke en precieze regels voor bedrijven, en drongen ze erop aan dat zoveel mogelijk overheids- en openbare instanties binnen het toepassingsgebied van de richtlijn zouden vallen.
De nieuwe regels beschermen ook zogenaamde "belangrijke sectoren", zoals postdiensten, afvalbeheer, chemicaliën, levensmiddelen, productie van medische apparatuur, elektronica, machines, motorvoertuigen en aanbieders van ICT-producten of -diensten. Alle middelgrote en grote ondernemingen in bepaalde sectoren gaan onder de wetgeving vallen.
Ook wordt een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten en wordt een “Europese kwetsbaarheidsdatabase” opgezet.
"Ransomware en andere cyberdreigingen hebben Europa veel te lang geteisterd. We moeten actie ondernemen om onze bedrijven, overheden en de samenleving weerbaarder te maken tegen vijandige cyberoperaties", aldus Europarlementslid en Rapporteur Bart Groothuis (Renew, NL) (1).
"Deze Europese richtlijn gaat ongeveer 160 000 entiteiten helpen hun greep op de veiligheid te versterken en van Europa een veilige plaats om te leven en om te werken maken. De wet moet ook het delen van informatie met de particuliere sector en partners over de hele wereld mogelijk maken. Als we op industriële schaal worden aangevallen, moeten we op industriële schaal reageren", zei hij.
"Dit is de beste cyberbeveiligingswetgeving die dit continent ooit heeft gezien, omdat Europa hierdoor proactief en servicegericht zal omgaan met cyberincidenten", voegde hij eraan toe.
Het EP nam de tekst aan met 577 stemmen voor, zes stemmen tegen en 31 onthoudingen. Na de goedkeuring door het Parlement moet ook de Raad de wet formeel goedkeuren voordat deze in het Publicatieblad van de EU wordt gepubliceerd.
De richtlijn inzake netwerk- en informatiebeveiliging (NIB) was het eerste stuk EU-wetgeving inzake cyberbeveiliging, en had specifiek tot doel een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten tot stand te brengen. Hoewel de richtlijn de cyberbeveiligingscapaciteit van de lidstaten vergrootte, bleek de uitvoering ervan moeilijk, met fragmentatie op verschillende niveaus binnen de interne markt als gevolg. Als reactie op de toenemende dreigingen die uitgaan van de digitalisering en de toename van het aantal cyberaanvallen heeft de Commissie een voorstel ingediend om de richtlijn inzake netwerk- en informatiebeveiliging te vervangen en daarmee de beveiligingseisen aan te scherpen, de beveiliging van toeleveringsketens aan te pakken, de rapportageverplichtingen te stroomlijnen en strengere toezichtsmaatregelen en handhavingseisen in te voeren, waaronder geharmoniseerde sancties in de hele EU.
https://www.europarl.europa.eu/meps/en/197780/BART_GROOTHUIS/home
