Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

    Cyberbeveiliging van netwerk- en informatiesystemen

    Date of last review:
    01/03/2018
    Author:
    Bureau voor publicaties van de Europese Unie
    Responsible entity(ies):
    Directoraat-generaal Communicatienetwerken, Inhoud en Technologie
    Summarised document(s):

    Cyberbeveiliging van netwerk- en informatiesystemen

     

    SAMENVATTING VAN:

    Richtlijn (EU) 2016/1148 — Cyberbeveiliging van netwerk- en informatiesystemen

    WAT IS HET DOEL VAN DE RICHTLIJN?

    Middels de richtlijn wordt een breed scala aan maatregelen voorgesteld ter verhoging van het veiligheidsniveau van netwerk- en informatiesystemen (cyberbeveiliging*) om diensten te beveiligen die cruciaal zijn voor de economie en samenleving in de Europese Unie (EU). De richtlijn moet waarborgen dat EU-landen gedegen zijn voorbereid en in staat zijn om te gaan met en te reageren op cyberaanvallen via:

    Tevens wordt hiermee op EU-niveau samenwerking opgericht op zowel strategisch als technisch niveau.

    Tot slot wordt het hiermee voor de aanbieders van essentiële diensten en digitaledienstverleners verplicht passende maatregelen te nemen en de betreffende nationale autoriteiten op de hoogte te brengen van ernstige incidenten.

    KERNPUNTEN

    Mogelijkheden voor nationale cyberbeveiliging verbeteren

    EU-landen moeten:

    • een of meer nationale bevoegde autoriteiten, CSIRT’s en een centraal contactpunt aanwijzen (indien er meer dan een bevoegde autoriteit is);
    • aanbieders van essentiële diensten aanwijzen in kritieke sectoren, zoals energievoorziening, transport, financiën, het bankwezen, gezondheidszorg, water en digitale infrastructuur, waar een cyberaanval zou kunnen leiden tot het verstoren van een essentiële dienst.

    EU-landen moeten tevens een strategie voor nationale cyberbeveiliging opzetten voor netwerk- en informatiesystemen*, waarin wordt voorzien in het volgende:

    • voorbereid zijn op en in staat zijn om te gaan met en te reageren op cyberaanvallen;
    • taken, verantwoordelijkheden en samenwerking tussen overheden en andere partijen;
    • onderwijs-, bewustmakings- en opleidingsprogramma’s;
    • een plan voor onderzoek en ontwikkeling;
    • een plan voor het vaststellen van risico’s.

    De nationale bevoegde autoriteiten monitoren de toepassing van deze richtlijn via:

    • beoordeling van de cyberbeveiliging en het beveiligingsbeleid van aanbieders van essentiële diensten;
    • toezicht op digitaledienstverleners;
    • deelname aan het werk van de samenwerkingsgroep (bestaande uit de bevoegde autoriteiten op het gebied van netwerk- en informatiebeveiliging uit elk EU-land, de Europese Commissie en het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa));
    • waar van toepassing informeren van het publiek om incidenten te voorkomen of om te gaan met een afzonderlijk incident, met inachtneming van vertrouwelijkheid;
    • het geven van bindende aanwijzingen om tekortkomingen op het gebied van cyberbeveiliging te verbeteren.

    De CSIRT’s zijn verantwoordelijk voor:

    • het monitoren van en reageren op incidenten op het gebied van cyberbeveiliging;
    • het zorgen voor risicoanalyse en incidentanalyse en situatiekennis;
    • deelname aan het CSIRT-netwerk;
    • samenwerking met de particuliere sector;
    • het stimuleren van het gebruik van gestandaardiseerde praktijken voor de behandeling van incidenten en risico’s, en classificatie van informatie.

    Beveiligings- en meldingsvereisten

    Met de richtlijn moet een cultuur van risicobeheer worden gestimuleerd. Bedrijven die actief zijn in cruciale sectoren moeten de risico’s die zij lopen evalueren en maatregelen nemen om cyberbeveiliging te waarborgen. Deze bedrijven moeten de bevoegde autoriteiten of CSIRT’s informeren over relevante incidenten, zoals een hack of diefstal van gegevens, waardoor de cyberbeveiliging ernstig in gevaar wordt gebracht en die een aanzienlijk verstorend effect hebben op de continuïteit van essentiële diensten en de levering van goederen.

    Voor het vaststellen van incidenten die moeten worden gemeld door aanbieders van essentiële diensten*, moeten EU-landen rekening houden met zowel de duur en geografische reikwijdte van een incident, als met andere factoren, zoals het aantal gebruikers dat van de dienst afhankelijk is.

    Belangrijke digitaledienstverleners (zoekmachines, cloudcomputerdiensten en onlinemarktplaatsen) dienen tevens aan de beveiligings- en meldingseisen te voldoen.

    Samenwerking op EU-niveau verbeteren

    Via de richtlijn wordt de samenwerkingsgroep opgericht, die onder andere de volgende taken heeft:

    • richtsnoeren bepalen voor het CSIRT-netwerk;
    • uitwisselen van beste praktijken inzake de identificatie van aanbieders van essentiële diensten;
    • ondersteunen van EU-landen in het opbouwen van capaciteiten op het gebied van cyberbeveiliging;
    • uitwisselen van informatie en beste praktijken op het gebied van bewustmaking, opleiding, onderzoek en ontwikkeling;
    • uitwisselen van informatie en verzamelen van beste praktijken inzake risico’s en incidenten;
    • bespreken van nadere bepalingen betreffende incidentmeldingen.

    Tevens wordt hiermee het CSIRT-netwerk opgezet, bestaande uit vertegenwoordigers van de CSIRT’s van de EU-landen en het computer emergency response team (CERT-EU). Tot de taken hiervan behoren:

    • uitwisselen van informatie over diensten van de CSIRT’s;
    • uitwisselen van informatie over incidenten op het gebied van cyberbeveiliging;
    • ondersteunen van EU-landen bij de aanpak van grensoverschrijdende incidenten;
    • bespreken en vaststellen van een gecoördineerde reactie op een incident dat door een EU-land wordt gemeld;
    • bespreken, verkennen en vaststellen van andere vormen van operationele samenwerking, onder andere met betrekking tot:
      • risico- en incidentcategorieën;
      • vroegtijdige waarschuwingen;
      • wederzijdse bijstand;
      • coördinatie tussen landen die reageren op risico’s en incidenten die een impact hebben op meer dan één EU-land;
    • informeren van de samenwerkingsgroep over werkzaamheden en verzoeken om sturing;
    • bespreken van lessen die zijn geleerd uit oefeningen betreffende cyberbeveiliging;
    • op verzoek van afzonderlijke CSIRT’s bespreken van hun capaciteiten;
    • uitvaardigen van richtsnoeren ten aanzien van operationele samenwerking.

    Sancties

    EU-landen moeten doeltreffende, evenredige en afschrikkende sancties toepassen om ervoor te zorgen dat de maatregelen uit deze richtlijn worden uitgevoerd.

    VANAF WANNEER IS DEZE RICHTLIJN VAN TOEPASSING?

    De richtlijn is van toepassing sinds 8 augustus 2016. EU-landen moeten de richtlijn voor 9 mei 2018 omzetten in nationale wetgeving, en voor 9 november 2018 aanbieders van essentiële diensten aanwijzen.

    ACHTERGROND

    KERNBEGRIPPEN

    Cyberbeveiliging: het vermogen van netwerk- en informatiesystemen om bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van digitale gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden, in gevaar brengen.
    Netwerk- en informatiesysteem: een elektronisch communicatienetwerk, of een apparaat of groep van onderling verbonden apparaten waarmee digitale gegevens worden verwerkt, alsmede de opgeslagen, verwerkte, opgehaalde of verzonden digitale gegevens.
    Essentiële diensten: particuliere bedrijven of overheidsorganen met een belangrijke rol voor de samenleving en de economie, bijvoorbeeld water- en elektriciteitsvoorziening enz.

    BELANGRIJKSTE DOCUMENT

    Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1-30)

    GERELATEERDE DOCUMENTEN

    Uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PB L 26 van 31.1.2018, blz. 48-51)

    Uitvoeringsbesluit (EU) 2017/179 van de Commissie van 1 februari 2017 tot vaststelling van de procedurele regelingen die noodzakelijk zijn voor de werking van de samenwerkingsgroep overeenkomstig artikel 11, lid 5, van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 28 van 2.2.2017, blz. 73-77)

    Mededeling van de Europese Commissie aan het Europees Parlement en de Raad: De NIS-richtlijn ten volle benutten — naar de doeltreffende uitvoering van Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (COM(2017) 476 final 2 van 4.10.2017)

    Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36-58)

    Gezamenlijke mededeling aan het Europees Parlement en de Raad — Weerbaarheid, afschrikking en defensie: bouwen aan sterke cyberbeveiliging voor de EU (JOIN(2017) 450 final van 13.9.2017)

    Werkdocument van de diensten van de Commissie — Beoordeling van de EU-strategie aangaande cyberbeveiliging van 2013 (SWD(2017) 295 final van 13.9.2017)

    Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73-114)

    Besluit 2013/488/EU van de Raad van 23 september 2013 betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie (PB L 274 van 15.10.2013, blz. 1-50).

    Achtereenvolgende wijzigingen aan Besluit 2013/488/EU werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

    Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PB L 218 van 14.8.2013, blz. 8-14)

    Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad van 21 mei 2013 inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004 (PB L 165 van 18.6.2013, blz. 41-58)

    Gezamenlijke mededeling aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Strategie inzake cyberbeveiliging van de Europese Unie: Een open, veilige en beveiligde cyberspace (JOIN(2013) 1 final van 7.2.2013)

    Laatste bijwerking 01.03.2018

    Top