Leden van het Europese Parlement hebben donderdag 10 november 2022 regels goedgekeurd die van EU-landen vereisen dat zij aan strengere toezichts- en handhavingsmaatregelen op het gebied van cybersecurity moeten voldoen. In de wetgeving, waarover de leden en de Raad al overeenstemming bereikten in mei dit jaar, staan strengere verplichtingen voor risicobeheer, rapportageverplichtingen en het delen van informatie.
De eisen hebben onder meer betrekking op incidentenbehandeling, beveiliging van de toeleveringsketen, encryptie en openbaarmaking van kwetsbaarheden. Meer entiteiten en sectoren moeten maatregelen nemen om zich te beschermen. ‘Essentiële sectoren’ zoals energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart gaan onder de nieuwe veiligheidsbepalingen vallen.
De nieuwe regels beschermen ook zogenaamde ‘belangrijke sectoren’, zoals postdiensten, afvalbeheer, chemicaliën, levensmiddelen, productie van medische apparatuur, elektronica, machines, motorvoertuigen en aanbieders van ICT-producten of -diensten. Alle middelgrote en grote ondernemingen in bepaalde sectoren gaan onder de wetgeving vallen.
Tijdens de onderhandelingen drongen de EP-leden aan op ‘de noodzaak van duidelijke en precieze regels voor bedrijven’, en drongen ze erop aan dat zoveel mogelijk overheids- en openbare instanties binnen het toepassingsgebied van de richtlijn zouden vallen. Verder is een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten en wordt een ‘Europese kwetsbaarheidsdatabase’ opgezet.
Weerbaarder
‘Ransomware en andere cyberdreigingen hebben Europa veel te lang geteisterd. We moeten actie ondernemen om onze bedrijven, overheden en de samenleving weerbaarder te maken tegen vijandige cyberoperaties’, aldus Europarlementslid en rapporteur Bart Groothuis.
Hij vervolgt: ‘Deze Europese richtlijn gaat ongeveer 160 000 entiteiten helpen hun greep op de veiligheid te versterken en van Europa een veilige plaats om te leven en om te werken maken. De wet moet ook het delen van informatie met de particuliere sector en partners over de hele wereld mogelijk maken. Als we op industriële schaal worden aangevallen, moeten we op industriële schaal reageren.’
Het EP nam de tekst aan met 577 stemmen voor, zes stemmen tegen en 31 onthoudingen. Na de goedkeuring door het Parlement moet ook de Raad de wet formeel goedkeuren voordat deze in het Publicatieblad van de EU wordt gepubliceerd.