Cyberbeveiliging: basis gezamelijk niveau van cyberbeveiliging in de EU

Sectoren zoals energie, transport, banken en financiële markt, infrastructuren, gezondheid, drinkwater en digitale infrastructuur vielen al in grote mate onder het toepassingsgebied van de vorige richtlijn en zullen door de herziening minder impact ondervinden van de vereisten voorgeschreven door de hervormde richtlijn.  

Een aantal private sectoren zoals de ruimtevaart, afvalwater, post- en pakjeslevering alsook activiteiten van manufacturing bedrijven (behorend tot de NACE code 26 t.e.m. 30) en sommige ICT service management providers zijn daarentegen nieuw en zullen op termijn voldoende beveiligingsmaatregelen moeten inbouwen en documenteren.  

Omdat ook overheidsdiensten geregeld het doelwit zijn van cyberaanvallen, zal NIS2 tevens gelden voor instanties van centrale overheden. Daarnaast kunnen de lidstaten besluiten dat de richtlijn ook geldt voor regionale en lokale overheidsinstanties.

In die optiek is voor de meeste sectoren de grootte van de onderneming doorslaggevend om al dan niet onder het toepassingsgebied van de richtlijn te vallen, al kan daar ook op nationaal niveau van afgeweken worden.

Als algemene regel stelt de richtlijn dat micro- en kleine ondernemingen (cfr. Commission Recommendation 2003/361/EC) niet onder de richtlijn vallen.

Middelgrote en grote ondernemingen daarentegen zijn vatbaar voor de nieuwe verplichtingen en de sanctioneringsniveaus en interventiemogelijkheden door de controlerende instanties zullen variëren in functie van hun kwalificatie als belangrijk of essentieel vanuit economisch of maatschappelijk oogpunt.   

De maatregelen die de richtlijn voorziet betreffen onder meer de risico-analyseverplichting, incident handling procedures en het opstellen van business continuity plans, gebruik van encryptie & cryptografie, beveiliging van de supply chain, training van het management, melding van incidenten en bedreigingen en in sommige gevallen verplichte certificatie.

De kwalificatie als essentieel en belangrijk beïnvloedt in grote mate de risicobeheersings- en rapportage­verplichtingen, alsook de rechtsmiddelen en sancties om handhaving te waarborgen.

De Raad heeft de tekst verder ook afgestemd op sectorspecifieke wetgeving, met name de verordening "digitale operationele veerkracht voor de financiële sector" en de richtlijn "veerkracht van kritieke entiteiten". Verder werd ook verduidelijkt dat sectorspecifieke wetgeving als lex specialis geldt ten aanzien van NIS 2 en aldus voorrang krijgt. Dat moet juridische duidelijkheid bieden en zorgen voor samenhang tussen NIS2 en sectorspecifieke wetten.

De tekst wordt nu verder gefinaliseerd op Europees niveau. Raad en Parlement zullen daarna moeten instemmen met de definitieve tekst. Er zal nadien een periode van 2 jaar gelden om op niveau van de lidstaten de richtlijn te implementeren.

• Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive 2016/1148

Agoria volgt op EU-niveau de verdere finalisatie op en zal er in de komende maanden, tevens in overleg met de relevante toezichtsinstanties op nationaal niveau, voor ijveren dat er verdere duiding komt rond de concrete impact voor bedrijven actief in België. Voor meer informatie kunt u terecht bij Eric Van Cangh.