De EU richtlijn voor Netwerk- en Informatieveiligheid is een feit!

Na twee jaar onderhandelen hebben de EU-lidstaten eind 2015 overeenstemming bereikt over de EU richtlijn voor Netwerk- en Informatieveiligheid (Network and Information Security Directive).

Deze richtlijn heeft tot doel het verbeteren van de nationale cybersecurity capaciteiten en het verbeteren van de samenwerking tussen EU-lidstaten en tussen de private en publieke sector op het gebied van cybersecurity. De richtlijn beoogt dit doel te bereiken door lidstaten onder andere informatie over beveiligingsincidenten uit te laten wisselen en bevoegde instanties aan te laten wijzen. Daarnaast poogt de richtlijn het vertrouwen van de consument te versterken door eisen aan bedrijven te stellen op het gebied van risicomanagement.

De richtlijn richt zich op belangrijke aanbieders van internetdiensten, zoals Google, eBay en Amazon, en op bedrijven in de sector energie, financiën, gezondheidszorg en transport. Kleine internetbedrijven zijn van de werking van deze richtlijn uitgezonderd. Lidstaten zullen aan de hand van de volgende criteria moeten vaststellen of de richtlijn op een bedrijf van toepassing is:

1. Is de dienst die het bedrijf aanbiedt van cruciaal belang voor de samenleving en de economie?
2. Is het bedrijf afhankelijk van netwerk- en informatiesystemen?
3. Kan een incident aanzienlijk verstorende effecten hebben op de dienst of de openbare veiligheid?

Bedrijven die binnen de reikwijdte van deze richtlijn vallen, hebben een beveiligingsplicht en een meldplicht. Deze bedrijven zullen adequate technische en organisatorische maatregelen moeten treffen om cyberaanvallen tegen te gaan. Daarnaast zullen zij ernstige inbreuken op de beveiliging van hun kerndiensten aan de bevoegde autoriteiten moeten melden. Deze meldplicht moet overigens niet verward worden met de meldplicht op grond van de Wet meldplicht datalekken.

De richtlijn is inmiddels goedgekeurd door het Europese Parlement en is reeds verschenen in het officiële journaal van de Europese Unie. De richtlijn zal in augustus 2016 in werking treden. Lidstaten krijgen iets minder dan twee jaar de tijd om de richtlijn in hun nationale wetgeving te incorporeren. Dit betekent dat bedrijven uit de bovengenoemde sectoren zich op zeer  korte termijn zullen moeten voorbereiden op een aantal nieuwe wettelijke verplichtingen ten aanzien van de beveiliging van hun netwerk- en informatiesystemen.