Het aantal cyberaanvallen en -dreigingen neemt enorm toe en de daarmee veroorzaakte schade ook. Ernstige storingen in netwerk- en informatiesystemen kunnen grote economische gevolgen hebben. Daarom zijn veilige netwerk- en informatiesystemen van groot belang voor de Europese economie. Om de digitale weerbaarheid in Europa te versterken, stemden het Europees Parlement en de Raad medio november 2022 in met nieuwe wetgeving: de NIB2 en de DORA. In deze blog ga ik kort in op de totstandkoming en gevolgen van deze wetgeving.
NIB2 voor essentiële en belangrijke entiteiten
De NIB2 staat voor de ‘Netwerk- en informatiebeveiligingsrichtlijn’. Het doel van de richtlijn is om overheden, bedrijven en organisaties in de Europese Unie weerbaarder te maken tegen cyberaanvallen. De richtlijn is een herziening van de oorspronkelijke NIB-richtlijn die in 2016 in werking is getreden.
De huidige NIB-richtlijn is de eerste regeling die specifiek in het kader van cyberbeveiliging op Unieniveau is vastgesteld. Uit de evaluatie van de richtlijn is echter gebleken dat lidstaten de richtlijn en de daaruit voortvloeiende verplichtingen op uiteenlopende wijze uitvoeren. Dit maakt lidstaten uiteindelijk meer kwetsbaar voor cyberaanvallen. Daarom heeft de Commissie in december 2020 een voorstel ingediend om de NIB-richtlijn te vervangen.
Wijzigingen door de NIB2
Met de NIB2 wordt het toepassingsbereik sterk uitgebreid. De richtlijn geldt niet alleen voor essentiële entiteiten, maar ook voor belangrijke entiteiten. Er is een uniform criterium vastgesteld dat bepaalt welke entiteiten binnen het toepassingsbereik van de NIB2 vallen om de grote verschillen tussen lidstaten weg te nemen. Lidstaten dienen aan de hand van dit criterium een lijst op te stellen van entiteiten die onder de richtlijn vallen. Deze entiteiten krijgen te maken met een basisniveau voor risicobeheersmaatregelen en rapportageverplichtingen.
Verder verbetert de nieuwe richtlijn de naleving van verplichtingen. Het is voorzien van een minimumlijst van toezichts- en handhavingsmaatregelen waarmee autoriteiten toezicht kunnen houden op essentiële en belangrijke entiteiten. Ook wordt de veiligheid van toeleveringsketens en relaties met leveranciers aangepakt. Tot slot schept de NIB2 een kader voor betere samenwerking en informatie-uitwisseling tussen toezichthouders en EU-lidstaten onder het Europees Agentschap voor cyberbeveiliging.
De richtlijn treedt op de twintigste dag na bekendmaking in het Publicatieblad van de Europese Unie in werking. Lidstaten hebben na inwerkingtreding 21 maanden de tijd om de NIB2 in nationale wetgeving te implementeren. In Nederland zal hiervoor de Wet Beveiliging Netwerk- en Informatiesystemen worden aangepast. Het ministerie van Economische Zaken verwacht dat ongeveer vijfduizend entiteiten in Nederland hiermee te maken krijgen.
DORA voor financiële entiteiten
De tweede regeling is de ‘Digital Operational Resilience Act’, oftewel DORA. Hiermee beoogt de Europese Unie een hoog niveau van digitale operationele weerbaarheid voor de financiële sector te bereiken. De DORA maakt deel uit van het ‘pakket digitaal geldwezen’, een pakket maatregelen om de stabiliteit en integriteit van de financiële markten van de Unie te behouden en een hoog niveau van bescherming voor beleggers en consumenten te waarborgen.
Uniform kader voor digitale operationele veerkracht
De DORA stelt uniforme vereisten vast met betrekking tot de beveiliging van netwerk- en informatiesystemen van financiële entiteiten en cruciale derde partijen die hen ICT-diensten verlenen. Hiermee wordt beoogd de risico’s van de toenemende cyberdreigingen te beperken. Het stelt onder andere een uniform criterium vast om te bepalen welke financiële entiteiten binnen het toepassingsbereik vallen. Daarnaast creëert de DORA een regelgevingskader voor digitale operationele veerkracht dat moet zorgen dat de financiële sector bij ernstige verstoringen of dreigingen van het systeem blijft functioneren. Dit kader omvat specifieke voorschriften voor ICT-risicobeheer, het melden van ICT-incidenten en cyberdreigingen, het testen van ICT-systemen, uitwisseling van informatie en het managen van de risico’s bij uitbesteding van ICT aan derden.
De betrokken Europese toezichthoudende autoriteiten zullen technische reguleringsnormen ontwikkelen om een consistente harmonisatie van de in deze verordening neergelegde voorschriften te bewerkstelligen. Daarbij worden er technische uitvoeringsnormen ontwikkelt waarin gestandaardiseerde templates, formulieren en procedures voor het melden van ernstige ICT-incidenten die door financiële entiteiten worden vastgelegd.
De verordening treedt op de twintigste dag na bekendmaking in het Publicatieblad van de Europese Unie in werking. Na inwerkingtreding hebben financiële entiteiten nog 24 maanden de tijd om aan de vereisten uit de DORA te voldoen.
Effect van de nieuwe wetgeving
Het positieve gevolg van deze Europese wetgeving is dat meer partijen verplicht worden om met de beveiliging van hun netwerk- en informatiesystemen aan de slag te gaan. De verplichtingen die de NIB2 en de DORA opleggen, zal echter voor een aantal partijen leiden tot verhoogde lasten en regeldruk.
Gezien de impact van deze nieuwe wetgeving is het aan te raden je tijdig te laten informeren. Mocht je vragen of behoefte aan advies hebben, neem dan gerust contact op met een van onze juridisch adviseurs.
