Europees akkoord over cyberbeveiliging raakt online platforms

 In Blogs

cybersecOp 7 december hebben het Europees Parlement en de Europese Raad overeenstemming bereikt over een nieuwe richtlijn cybersecurity (de NIB-richtlijn). De richtlijn zal een algemene beveiligingsplicht en meldplicht voor beveiligingsincidenten in het leven roepen. Dat betekent dat dienstverleners die onder richtlijn vallen hun infrastructuur voldoende robuust moeten maken om cyberaanvallen te weerstaan en in staat moeten zijn om incidenten te melden.

De richtlijn zal gelden voor aanbieders van essentiële diensten binnen de gezondheidszorg, energie en water, transport en de financiële sector, inclusief banken.

Een belangrijke doorbraak in de Europese onderhandelingen lijkt te zijn geweest dat ook online dienstverleners onder de reikwijdte van de richtlijn worden gebracht. Het persbericht van het Europees Parlement noemt specifiek eBay, Amazon, zoekmachines en cloud diensten maar de richtlijn zal daar zeer niet tot beperkt zijn. Wel zal een uitzondering gelden voor “micro and small digital companies”, zij zullen niet hoeven te voldoen aan de nieuwe regels.

Europa neemt hiermee expliciet een voorschot op de belangrijke consultatie die nu gaande is over de regulering van online platforms.

Lidstaten dienen zelf de specifieke aanbieders van essentiële diensten aan te wijzen aan de hand van bepaalde vastgestelde criteria: of de dienst van kritiek belang is voor de maatschappij en de economie, of de dienst afhankelijk is van netwerk- en informatiesystemen en of een incident een significante verstoring van de dienstverlening aan het algemene publiek teweeg zou kunnen brengen.

Lidstaten zullen ook meer moeten gaan samenwerken om cybersecurity op Europees niveau te regelen, door uitwisseling van informatie over beveiligingsincidenten tussen betrokken autoriteiten.

Dat juist op dit moment een deal is gesloten over de richtlijn is geen toeval. Het lijkt erop alsof de aanslagen in Parijs de druk hebben opgevoerd, ook op het vlak van de beveiliging van digitale infrastructuren. Het Parlement onderstreept de urgentie met een verwijzing naar the current security situation in Europe.

De definitieve tekst van de richtlijn moet nog goedgekeurd worden en is nog niet openbaar. Een eerdere versie is hier te vinden.

De meldplicht voor beveiligingsincidenten onder de NIB-richtlijn is overigens expliciet iets anders dan de Nederlandse meldplicht datalekken, die 1 januari 2016 in werking treedt. De richtsnoeren van het College bescherming persoonsgegevens voor die meldplicht zijn vandaag gepubliceerd.

Recente berichten