EU bereikt akkoord over 'Richtlijn Cybersecurity'

Op 7 februari 2013 diende de Commissie een voorstel in voor een nieuwe Richtlijn. De tekst bevat concrete maatregelen die een hoog niveau van netwerk- en informatiebeveiliging moeten waarborgen in de EU. Op 7 december 2015 is daarover een informeel politiek akkoord bereikt met het Europees Parlement. Voor operatoren van o.a. E-commerce, clouddiensten en online zoekmachines zullen voortaan strikte beveiligingseisen gelden en wordt ook in een meldingsplicht voorzien.

Het strekt tot aanbeveling hierop te anticiperen in uw contracten met ICT dienstverleners en/of uw algemene voorwaarden.

Het voorstel van de Commissie steunt op drie pijlers (art. 1 ontwerp van de Commissie):

  1. de vaststelling van verplichtingen voor de lidstaten betreffende (i) de preventie en behandeling van, en de reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;
  2. de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing en, waar nodig, een gecoördineerde en doeltreffende behandeling van, en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;
  3. de vaststelling van beveiligingseisen voor marktdeelnemers en overheden. 

Om de gevolgen voor uw onderneming in te schatten is het belangrijk na te gaan of u als "markdeelnemer" zal worden beschouwd. In het voorstel van de Commissie wordt de "markdeelnemer" als volgt gedefinieerd:

  1. een aanbieder van diensten van de informatiemaatschappij die de verlening van andere diensten van de informatiemaatschappij mogelijk maken, zoals bijvoorbeeld (niet-exhaustieve lijst als bijlage II bij het voorstel):
    • Platforms voor elektronische handel; 
    • Gateways voor internetbetalingen; 
    • Sociaalnetwerksites; 
    • Zoekmachines; 
    • Cloudcomputingdiensten; 
    • Internetwinkels die applicaties aanbieden;
    • etc. 
  2. een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen en gezondheid, zoals bijvoorbeeld (niet-exhaustieve lijst als bijlage II bij het voorstel):
    • elektriciteits- en gasleveranciers;
    • Luchtvaartmaatschappijen;
    • Havens;
    • Spoorwegbedrijven;
    • kredietinstellingen;
    • beurzen;
    • zorginstellingen;
    • etc.

Marktdeelnemers zullen onder meer verplicht worden om:

  1. passende maatregelen te nemen ter beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken.

    Concreet worden maatregelen beoogd die:
    • leiden tot de realisatie van beveiligingsniveau dat is afgestemd op de risico's die zich kunnen voordoen, rekening houdend met de recente technische mogelijkheden;
    • de gevolgen van incidenten kunnen voorkomen en minimaliseren met betrekking tot het netwerk- en informatiesysteem van de marktdeelnemer;
    • de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten kunnen garanderen
  2. incidenten met een aanzienlijke impact op de beveiliging van de door hen verleende kerndiensten aan de bevoegde autoriteiten te melden

Het voorstel van de Commissie voorziet tenslotte in de verplichting voor de lidstaten om (i) te voorzien in sancties voor overtredingen op nationale bepalingen die ingevolge de richtlijn zijn vastgesteld, en (ii)om alle nodige maatregelen te nemen om ervoor te zorgen dat zij worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. 

Indien u als marktdeelnemer kan worden beschouwd of zaken doet met een marktdeelnemer, strekt het alvast tot aanbeveling om uw contractuele relaties na te zien en te anticiperen op deze aankomende wetgeving.