NIB2-richtlijn verplicht datacentra tot meldplicht bij ernstige cyberincidenten

Beter beveiligde netwerk- en informatiesystemen en een meldplicht voor ernstige cyberincidenten moeten de digitale veiligheid in de Europese Unie flink verhogen. De EU-lidstaten en het Europees Parlement hebben in dit kader een politiek akkoord bereikt over de herziening van de zogenoemde EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Nederland zet zich al jaren in voor passende Europese afspraken op dit gebied, aldus minister Dilan Yesilgöz-Zegerius (Justitie en Veiligheid).

De herziene versie van de NIB verplicht de belangrijkste spelers in cruciale sectoren om vanaf medio 2024 passende cybermaatregelen gaan nemen. Het gaat om partijen in de levensmiddelensector (industriële voedselproductie en distributie zoals grotere supermarktketens), maar in de chemische- en maakindustrie, afvalverwerking, post- en koeriersdiensten én datacenters.

Cyberincidenten stoppen niet bij landsgrens

Minister Yesilgöz-Zegerius onderstreept het belang van Europese maatregelen omdat cyberincidenten niet stoppen bij de landsgrenzen. “We zijn steeds meer afhankelijk van digitale processen, zeker nu we sinds corona steeds meer thuiswerken. Daarnaast zien we een groeiende digitale dreiging van zowel criminelen als statelijke actoren die, met een oorlog aan de oostgrens van Europa, voorlopig nog niet af gaat nemen. Het is daarom nu noodzakelijk om een volgende stap te zetten om het niveau van cybersecurity in de EU te verhogen. Hiermee voorkomen we dat digitale incidenten onze maatschappij ontwrichten.”

Collega-minister Micky Adriaansens (Economische Zaken en Klimaat) benadrukt dat alle betrokken stakeholders alert moeten zijn op de risico’s van cyberaanvallen. "De impact kan groot zijn, zoals lege schappen in de winkels of uitval van industriële productie. Digitale veiligheid regelen, blijft een eigen verantwoordelijkheid van bedrijven en consumenten. Maar met deze wetgeving kunnen we wel een stap zetten om te zorgen dat het niveau van cyberbeveiliging omhoog gaat bij (middel)grote partijen in meer belangrijke sectoren.”

Onder de huidige NIB-richtlijn zijn aanbieders van essentiële diensten (zoals banken, drinkwater, energie) en digitale partijen (zoals clouddiensten, online marktplaatsen) door de Rijksoverheid al aangewezen om maatregelen te nemen voor hun digitale veiligheid en ernstige cyberincidenten te melden. Het NCSC (Nationaal Cyber Security Centrum, ministerie van JenV) houdt hierop toezicht en geeft bijstand en advies aan de essentiële diensten. Het CSIRT DSP (Computer Security Incident Response Team, ministerie van EZK) doet dit voor de digitale dienstverleners die onder de NIB2 vallen.

Essentiële en belangrijke aanbieders

Vanaf medio 2024 wordt het aantal sectoren fors uitgebreid. De herziene NIB2-richtlijn kent dan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële aanbieders, vooral partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, als er aanwijzingen zijn dat er sprake is van een incident. Dit zijn voornamelijk (middel)grote partijen, waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben.

Behalve voldoen aan de meldplicht moeten alle aanbieders die onder de herziene richtlijn gaan vallen ook veiligheidsmaatregelen nemen: de zorgplicht. Het gaat dan onder andere om het verhogen van de beveiliging van hun toeleveringsketen en het op orde brengen van de wijze van afhandeling van cyberincidenten.

Na stemming in het Europees Parlement wordt de richtlijn naar verwachting in de herfst van dit jaar gepubliceerd en kan deze daarna voor medio 2024 worden omgezet in nationale wetgeving.