Meer sectoren krijgen een meldplicht voor ernstige cyberincidenten en moeten verplicht passende nemen voor het beveiligen van hun netwerk- en informatiesystemen. Het gaat daarbij onder meer om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. De verantwoordelijke EU-bewindspersonen hebben hiervoor in Brussel tijdens de Telecomraad een akkoord bereikt.
De regels gelden al langer voor aanbieders van essentiële diensten zoals banken, drinkwater en energie. Ook zijn zij van toepassing op digitale dienstverleners, zoals clouddiensten en online marktplaatsen. Deze partijen moeten onder meer maatregelen nemen om hun netwerk- en informatiesystemen adequaat te beschermen. Indien zij daarnaast getroffen worden door ernstige cyberincidenten, moeten zij deze incidenten verplicht melden. Hierop vindt ook toezicht plaats.
Het Nationaal Cyber Security Centrum, onderdeel van het ministerie van Justitie en Veiligheid, biedt ondersteuning aan essentiële bedrijven. Het Computer Security Incident Response Team van het ministerie van Economische Zaken en Koninkrijksrelaties doet dat voor digitale dienstverleners.
Van toepassing op meer sectoren
In de toekomst wordt het aantal sectoren waarop de regels van toepassing zijn aanzienlijk uitgebreid. Hierbij worden twee categorieën gehanteerd: essentiële aanbieders en belangrijke aanbieders. Bij essentiële aanbieders – waarbij het voornamelijk gaat om partijen uit vitale sectoren – wordt het toezicht proactief. Bij belangrijke aanbieders gaat het om toezicht achteraf, vooral naar aanleiding van een incident.
Minister Stef Blok (EZK): “Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid. Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen. Deze regels richten zich op (middel)grote partijen en zijn veelal niet van toepassing op kleine organisaties.”
Weerbaarheid verbeteren
Minister Ferd Grapperhaus van Justitie en Veiligheid ziet de nieuwe afspraken als belangrijke stap in het verbeteren van de weerbaarheid tegen cyberaanvallen. Grapperhaus: “Dit is een belangrijke stap in het verder verhogen van onze nationale en Europese weerbaarheid tegen cyberdreigingen. Digitale incidenten hebben de potentie maatschappelijke ontwrichting en grote economische schade te veroorzaken. Uit het Cybersecuritybeeld Nederland blijkt daarbij dat ransomware inmiddels zo een groot probleem is, dat de nationale veiligheid in gevaar is. Daarom moeten we blijven investeren en is het versterken van onze digitale veiligheid een prioriteit van het kabinet.”
Petra Claessen, CEO BTG/TGG: “De digitale veiligheid van onze samenleving is van groot belang. Door de essentiële rol die digitale middelen en infrastructuur vandaag de dag spelen kunnen cyberaanvallen de maatschappij ernstig ontwrichten. Adequate beveiligingsmaatregelen kunnen dit in belangrijke mate voorkomen. Gaat het onverhoopt toch fout? Dan is het zaak dat incidenten tijdig worden gemeld. Zo kan adequaat worden ingegrepen en de schade waar mogelijk worden beperkt. BTG is dan ook blij dat de regels die al langer voor essentiële aanbieders gelden nu ook op zogeheten belangrijke aanbieders van toepassing worden. Dit tilt het beveiligingsniveau van onze samenleving en Nederland als geheel naar een hoger niveau.”