De EU zet zich voortdurend in voor meer veerkracht tegenover steeds grotere cyberdreigingen en voor de veiligheid en beveiliging van onze digitale samenleving en economie.
De Raad is een standpunt ("algemene oriëntatie") overeengekomen over maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU. Die moeten de publieke en de particuliere sector, en de hele EU, veerkrachtiger maken en een grotere responscapaciteit geven bij cyberincidenten.
De nieuwe richtlijn, NIS2 genoemd, zal na goedkeuring de huidige richtlijn inzake beveiliging van netwerk- en informatiesystemen vervangen.
NIS2 zal de basis vormen voor risicobeheersings- en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen, zoals energie, vervoer, gezondheid en digitale infrastructuur.
De herziene richtlijn moet verschillen wegnemen tussen voorschriften en uitvoering van cyberbeveiliging in de verschillende lidstaten. Daartoe legt ze minimumregelgeving op en mechanismen voor doeltreffende samenwerking tussen instanties in elke lidstaat. De voorgestelde richtlijn actualiseert de lijst sectoren en activiteiten waarvoor cyberbeveiliging verplicht is, en bevat rechtsmiddelen en sancties om handhaving te waarborgen.
Ook wordt CyCLONe opgericht: het Europees Netwerk van verbindingsorganisaties voor cybercrises, dat het gecoördineerde beheer van grootschalige cyberincidenten zal ondersteunen.
We zien een snelle toename van het aantal cyberaanvallen op de publieke en private sector en op onze burgers, en de aanzienlijke impact van deze aanvallen op onze samenleving, niet in het minst omdat we in een steeds meer gedigitaliseerde wereld leven. Er staat veel op het spel, en de nieuwe NIS-richtlijn zal dan ook een zeer belangrijke rol spelen bij het versterken van onze cyberbeveiliging. Ze zal ook aantonen dat Europa een voortrekker is op het gebied van cyberveiligheid.
- Boštjan Koritnik, Sloveens minister van Openbaar Bestuur
Terwijl de lidstaten onder de oude NIS-richtlijn zelf moesten bepalen welke entiteiten aan de criteria van aanbieder van essentiële diensten voldeden, voert de voorgestelde NIS2-richtlijn een "size cap" -regel in. Het voorstel merkt alle middelgrote en grote entiteiten die actief zijn in sectoren of diensten verlenen die onder de richtlijn vallen, aan als aanbieders van essentiële diensten.
De Raad wil deze algemene regel behouden, maar voegt extra bepalingen toe om te zorgen voor evenredigheid, sterker risicobeheer en duidelijke kriticiteitscriteria om te bepalen om welke entiteiten het gaat.
De tekst van de Raad verduidelijkt ook dat de richtlijn niet van toepassing is op entiteiten die actief zijn op gebieden als defensie, nationale of openbare veiligheid, wetshandhaving en justitie. Ook voor parlementen en centrale banken geldt ze niet.
Omdat overheidsdiensten ook geregeld het doelwit zijn van cyberaanvallen, zal NIS2 gelden voor instanties van centrale overheden. Daarnaast kunnen de lidstaten besluiten dat de richtlijn ook geldt voor regionale en lokale overheidsinstanties.
De Raad heeft de tekst afgestemd op sectorspecifieke wetgeving, met name de verordening "digitale operationele veerkracht voor de financiële sector" en de richtlijn "veerkracht van kritieke entiteiten". Dat moet juridische duidelijkheid bieden en zorgen voor samenhang tussen NIS2 en deze wetten.
De invoering van een vrijwillig mechanisme voor peer-learning moet zorgen voor meer wederzijds vertrouwen en leren van goede praktijken en ervaringen, en zo leiden tot een hoog gemeenschappelijk niveau van cyberbeveiliging.
De Raad heeft ook de rapportageverplichtingen gestroomlijnd, om overrapportage en buitensporige lasten voor de betrokken entiteiten tegen te gaan.
De lidstaten hebben na inwerkingtreding van de richtlijn 2 jaar om ze in nationaal recht om te zetten.
Op basis van het overeengekomen standpunt kan het voorzitterschap van de Raad nu beginnen te onderhandelen met het Europees Parlement. Raad en Parlement zullen daarna moeten instemmen met de definitieve tekst.
Lees hier de Ontwerprichtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie - algemene oriëntatie van de Raad.
