This document is an excerpt from the EUR-Lex website
Richtlijn (EU) 2016/1148 — Cyberbeveiliging van netwerk- en informatiesystemen
Middels de richtlijn wordt een breed scala aan maatregelen voorgesteld ter verhoging van het veiligheidsniveau van netwerk- en informatiesystemen (cyberbeveiliging*) om diensten te beveiligen die cruciaal zijn voor de economie en samenleving in de Europese Unie (EU). De richtlijn moet waarborgen dat EU-landen gedegen zijn voorbereid en in staat zijn om te gaan met en te reageren op cyberaanvallen via:
Tevens wordt hiermee op EU-niveau samenwerking opgericht op zowel strategisch als technisch niveau.
Tot slot wordt het hiermee voor de aanbieders van essentiële diensten en digitaledienstverleners verplicht passende maatregelen te nemen en de betreffende nationale autoriteiten op de hoogte te brengen van ernstige incidenten.
Mogelijkheden voor nationale cyberbeveiliging verbeteren
EU-landen moeten:
EU-landen moeten tevens een strategie voor nationale cyberbeveiliging opzetten voor netwerk- en informatiesystemen*, waarin wordt voorzien in het volgende:
De nationale bevoegde autoriteiten monitoren de toepassing van deze richtlijn via:
De CSIRT’s zijn verantwoordelijk voor:
Beveiligings- en meldingsvereisten
Met de richtlijn moet een cultuur van risicobeheer worden gestimuleerd. Bedrijven die actief zijn in cruciale sectoren moeten de risico’s die zij lopen evalueren en maatregelen nemen om cyberbeveiliging te waarborgen. Deze bedrijven moeten de bevoegde autoriteiten of CSIRT’s informeren over relevante incidenten, zoals een hack of diefstal van gegevens, waardoor de cyberbeveiliging ernstig in gevaar wordt gebracht en die een aanzienlijk verstorend effect hebben op de continuïteit van essentiële diensten en de levering van goederen.
Voor het vaststellen van incidenten die moeten worden gemeld door aanbieders van essentiële diensten*, moeten EU-landen rekening houden met zowel de duur en geografische reikwijdte van een incident, als met andere factoren, zoals het aantal gebruikers dat van de dienst afhankelijk is.
Belangrijke digitaledienstverleners (zoekmachines, cloudcomputerdiensten en onlinemarktplaatsen) dienen tevens aan de beveiligings- en meldingseisen te voldoen.
Samenwerking op EU-niveau verbeteren
Via de richtlijn wordt de samenwerkingsgroep opgericht, die onder andere de volgende taken heeft:
Tevens wordt hiermee het CSIRT-netwerk opgezet, bestaande uit vertegenwoordigers van de CSIRT’s van de EU-landen en het computer emergency response team (CERT-EU). Tot de taken hiervan behoren:
Sancties
EU-landen moeten doeltreffende, evenredige en afschrikkende sancties toepassen om ervoor te zorgen dat de maatregelen uit deze richtlijn worden uitgevoerd.
De richtlijn is van toepassing sinds 8 augustus 2016. EU-landen moeten de richtlijn voor 9 mei 2018 omzetten in nationale wetgeving, en voor 9 november 2018 aanbieders van essentiële diensten aanwijzen.
Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1-30)
Uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PB L 26 van 31.1.2018, blz. 48-51)
Uitvoeringsbesluit (EU) 2017/179 van de Commissie van 1 februari 2017 tot vaststelling van de procedurele regelingen die noodzakelijk zijn voor de werking van de samenwerkingsgroep overeenkomstig artikel 11, lid 5, van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 28 van 2.2.2017, blz. 73-77)
Mededeling van de Europese Commissie aan het Europees Parlement en de Raad: De NIS-richtlijn ten volle benutten — naar de doeltreffende uitvoering van Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (COM(2017) 476 final 2 van 4.10.2017)
Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36-58)
Gezamenlijke mededeling aan het Europees Parlement en de Raad — Weerbaarheid, afschrikking en defensie: bouwen aan sterke cyberbeveiliging voor de EU (JOIN(2017) 450 final van 13.9.2017)
Werkdocument van de diensten van de Commissie — Beoordeling van de EU-strategie aangaande cyberbeveiliging van 2013 (SWD(2017) 295 final van 13.9.2017)
Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73-114)
Besluit 2013/488/EU van de Raad van 23 september 2013 betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie (PB L 274 van 15.10.2013, blz. 1-50).
Achtereenvolgende wijzigingen aan Besluit 2013/488/EU werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.
Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PB L 218 van 14.8.2013, blz. 8-14)
Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad van 21 mei 2013 inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004 (PB L 165 van 18.6.2013, blz. 41-58)
Gezamenlijke mededeling aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Strategie inzake cyberbeveiliging van de Europese Unie: Een open, veilige en beveiligde cyberspace (JOIN(2013) 1 final van 7.2.2013)
Laatste bijwerking 01.03.2018