Cyberbeveiliging van netwerk- en informatiesystemen (2022)

SAMENVATTING VAN:

Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU

WAT IS HET DOEL VAN DE RICHTLIJN?

De richtlijn, die bekend staat als NIS 2, bevat een gezamenlijk regelgevingskader voor cyberbeveiliging gericht op het verbeteren van het niveau van cyberbeveiliging in de Europese Unie (EU), waarbij EU-lidstaten worden verplicht om de capaciteit op het gebied van cyberbeveiliging te versterken en maatregelen voor cyberbeveiligingsbeheer en -rapportage in cruciale sectoren worden ingevoerd, naast regels inzake samenwerking, het delen van informatie, toezicht en handhaving.

KERNPUNTEN

Cyberbeveiliging heeft betrekking op de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die getroffen worden door cyberdreigingen, te beschermen.

Kritieke sectoren

De richtlijn is in de eerste plaats van toepassing op middelgrote en grote entiteiten die actief zijn in de volgende, in bijlage I gedefinieerde zeer kritieke sectoren:

• energie:
  • elektriciteit, daaronder productie-, distributie- en transmissiesystemen en oplaadpunten,
  • stadsverwarming en -koeling,
  • olie, daaronder productie-, opslag- en transmissiepijpleidingen,
  • gas, daaronder leverings-, distributie- en transmissiesystemen en opslag, en
  • waterstof;
• vervoer per lucht, spoor, over water en over de weg;
• infrastructuur voor banken en financiële markten zoals kredietinstellingen, exploitanten van handelsplatformen en centrale tegenpartijen;
• gezondheidszorg, daaronder zorgaanbieders, fabrikanten van farmaceutische basisproducten en kritieke medische hulpmiddelen, en EU-referentielaboratoria;
• drinkwater;
• afvalwater;
• digitale infrastructuur, daaronder aanbieders van datacenterdiensten, cloudcomputingdiensten, openbare elektronischecommunicatienetwerken en openbare elektronischecommunicatiediensten;
• beheer van ICT-diensten (business-to-business);
• ruimtevaart;
• openbaar bestuur op centraal en regionaal niveau, met uitzondering van de rechterlijke macht, het parlement en de centrale banken, maar de richtlijn is niet van toepassing op overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.

De richtlijn is ook van toepassing op andere, in bijlage II gedefinieerde kritieke sectoren:

• post- en koeriersdiensten;
• afvalbeheer;
• chemische vervaardiging, productie en distributie;
• levensmiddelenproductie, -verwerking en -distributie;
• vervaardiging, met name medische hulpmiddelen, computer-, elektronische en optische producten, bepaalde soorten elektrische apparatuur en machines, motorvoertuigen en andere vervoersmiddelen;
• digitale aanbieders van onlinemarktplaatsen, zoekmachines en sociale netwerken; en
• onderzoeksinstellingen.

Nationale strategie voor cyberbeveiliging

Elke lidstaat moet beschikken over een nationale strategie voor het bereiken en het in stand houden van een hoog niveau van cyberbeveiliging in de kritieke sectoren, waarbij moet worden ingegaan op:

• een bestuurskader waarin de rol en verantwoordelijkheden van de relevante belanghebbenden op nationaal niveau worden verduidelijkt;
• beleid dat gericht is op de veiligheid van toeleveringsketens;
• beleid voor de beheersing van kwetsbaarheden;
• beleid voor het bevorderen en ontwikkelen van onderwijs en opleiding op het gebied van cyberbeveiliging, en
• maatregelen om het cyberbeveiligingsbewustzijn bij de burgers te verbeteren.

Lidstaten moeten uiterlijk op 17 april 2025 een lijst opstellen van essentiële en belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Ze evalueren die lijst regelmatig, en daarna ten minste om de twee jaar, en werken deze zo nodig bij. De Europese Commissie heeft richtsnoeren vastgesteld met betrekking tot de informatie die moet worden verzameld bij het opstellen van deze lijsten, samen met een model daarvoor.

De Commissie heeft ook richtsnoeren uitgegeven waarin de regels worden verduidelijkt over de relatie tussen Richtlijn (EU) 2022/2555 en huidige en toekomstige sectorspecifieke EU-rechtshandelingen betreffende maatregelen voor cyberbeveiligingsbeheer of vereisten voor de rapportage van incidenten. De bijlage bij de richtsnoeren bevat een niet-uitputtende lijst van sectorspecifieke rechtshandelingen die de Commissie beschouwt als een rechtshandeling die onder het toepassingsgebied van Richtlijn (EU) 2022/2555 valt.

Computer security incident response teams

Computer security incident response teams (CSIRT’s) verlenen technische bijstand aan entiteiten, onder meer door:

• het monitoren en analyseren van cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau;
• het geven van vroegtijdige waarschuwingen, meldingen, aankondigingen en informatie aan de betrokken entiteiten en andere belanghebbenden over cyberdreigingen, kwetsbaarheden en incidenten, indien mogelijk nagenoeg realtime;
• het reageren op incidenten en waar nodig bijstand verlenen;
• het verzamelen en analyseren van forensische gegevens en het verstrekken van dynamische risico- en incidentanalyses en situatiekennis op het gebied van cyberbeveiliging, en
• het op verzoek aanbieden van een proactieve scan van de netwerk- en informatiesystemen voor de opsporing van kwetsbaarheden die een significant effect kunnen hebben.

Netwerk van CSIRT’s

Met de richtlijn wordt een netwerk van nationale CSIRT’s opgezet om snelle en doeltreffende operationele samenwerking te bevorderen.

Gecoördineerde bekendmaking van kwetsbaarheid

De lidstaten moeten:

• een van hun CSIRT’s aanwijzen om de bekendmaking te coördineren van kwetsbaarheden die zijn ontdekt in ICT-producten of -diensten, en
• ervoor zorgen dat de burgers in de lidstaten kwetsbaarheden kunnen melden, indien gewenst op anonieme wijze.

Het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) ontwikkelt en onderhoudt een kwetsbaarheidsdatabase.

Samenwerkingsgroep

Met de richtlijn wordt een samenwerkingsgroep opgericht om strategische samenwerking en informatie-uitwisseling te ondersteunen en te vergemakkelijken. De groep bestaat uit vertegenwoordigers van lidstaten, de Commissie en Enisa. In voorkomend geval kan de samenwerkingsgroep het Europees Parlement en vertegenwoordigers van relevante belanghebbenden uitnodigen om aan zijn werkzaamheden deel te nemen.

Europees netwerk van verbindingsorganisaties voor cybercrises

Het Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) is een netwerk van vertegenwoordigers van cybercrisisbeheerautoriteiten van de lidstaten en de Commissie in gevallen waarin een potentieel of aan de gang zijnd grootschalig incident met cyberbeveiliging een significant effect heeft of kan hebben op de sectoren die onder de richtlijn vallen. In andere gevallen neemt de Commissie als waarnemer deel aan de activiteiten van het netwerk.

Het netwerk ondersteunt het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises op operationeel niveau en zorgt voor regelmatige uitwisseling van informatie tussen lidstaten en EU-instellingen, -organen en -agentschappen.

Het netwerk heeft onder andere de volgende taken:

• het coördineren van het beheer van grootschalige cyberbeveiligingsincidenten en -crises en het ondersteunen van besluitvorming op politiek niveau;
• het verhogen van de paraatheid;
• het ontwikkelen van een gedeeld situationeel bewustzijn, en
• het beoordelen van de gevolgen en het effect van grootschalige cyberbeveiligingsincidenten en -crises en het voorstellen van mogelijke mitigatiemaatregelen.

Verslaglegging

Entiteiten moeten hun CSIRT of relevante autoriteit in kennis stellen van elk incident dat:

• bij de entiteit tot een ernstige operationele verstoring of een ernstig financieel verlies leidt of kan leiden;
• anderen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Voorts zal Enisa in samenwerking met de Commissie en de samenwerkingsgroep een tweejaarlijks verslag over de stand van cyberbeveiliging in de EU opstellen, dat ook aan het Parlement wordt voorgelegd.

Toezicht en handhaving

De richtlijn voorziet in voorzieningen en sancties om handhaving te waarborgen.

Collegiale toetsingen

Er worden collegiale toetsingen ingesteld om van gedeelde ervaringen te leren, het wederzijds vertrouwen te versterken, een hoog gezamenlijk niveau van cyberbeveiliging te bereiken en de capaciteit en het beleid van de lidstaten op het gebied van cyberbeveiliging die nodig zijn voor de tenuitvoerlegging van deze richtlijn te versterken. Deze toetsingen brengen fysieke of virtuele bezoeken ter plaatse en informatie-uitwisselingen buiten de locatie met zich mee. Deelname aan deze collegiale toetsingen is vrijwillig.

VANAF WANNEER TREDEN DE REGELS IN WERKING?

De richtlijn moet uiterlijk op 17 oktober 2024 in nationaal recht zijn omgezet. De regels moeten vanaf 18 oktober 2024 van kracht zijn.

ACHTERGROND

De richtlijn strekt tot intrekking van Richtlijn 2016/1148 (zie de samenvatting) vanaf 18 oktober 2024.

Zie voor meer informatie:

• Cyberbeveiliging (Europese Commissie)
• Cyberbeveiliging:Cyberbeveiliging: EU-aanpak van cyberdreigingen (Europese Raad, Raad van de Europese Unie)
• Hoe de EU op crises reageert en veerkracht opbouwt (Europese Raad, Raad van de Europese Unie)
• Een digitale toekomst voor Europa (Europese Raad, Raad van de Europese Unie)

BELANGRIJKSTE DOCUMENT

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80-152).

Achtereenvolgende wijzigingen aan Richtlijn (EU) 2022/2555 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

GERELATEERDE DOCUMENTEN

Mededeling van de Commissie — Richtsnoeren van de Commissie over de toepassing van artikel 3, lid 4, van Richtlijn (EU) 2022/2555 (NIS 2-richtlijn) 2023/C 324/02 (PB L 324 van 14.9.2023, blz. 2-7).

Mededeling van de Commissie — Richtsnoeren van de Commissie over de toepassing van artikel 4, leden 1 en 2, van Richtlijn (EU) 2022/2555 (NIS 2-richtlijn) 2023/C 328/02 (PB L 328 van 18.9.2023, blz. 2-10).

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1-79).

Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van 27.12.2022, blz. 164-198).

Verordening (EU) 2021/696 van het Europees Parlement en de Raad van 28 april 2021 tot vaststelling van het ruimtevaartprogramma van de Unie, tot oprichting van het Agentschap van de Europese Unie voor het ruimtevaartprogramma en tot intrekking van de Verordeningen (EU) nr. 912/2010, (EU) nr. 1285/2013 en (EU) nr. 377/2014 en Besluit nr. 541/2014/EU (PB L 170 van 12.5.2021, blz. 69-148).

Verordening (EU) nr. 2021/694 van het Europees Parlement en de Raad van 29 april 2021 tot oprichting van het programma Digitaal Europa en tot intrekking van Besluit (EU) 2015/2240 (PB L 166 van 11.5.2021, blz. 1-34).

Zie de geconsolideerde versie.

Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15-69).

Aanbeveling van de Commissie (EU) 2019/534 van 26 maart 2019 — Cyberbeveiliging van 5G-netwerken (PB L 88 van 29.3.2019, blz. 42-47).

Verordening (EU) 2018/1139 van het Europees Parlement en de Raad van 4 juli 2018 inzake gemeenschappelijke regels op het gebied van burgerluchtvaart en tot oprichting van een Agentschap van de Europese Unie voor de veiligheid van de luchtvaart, en tot wijziging van de Verordeningen (EG) nr. 2111/2005, (EG) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 en de Richtlijnen 2014/30/EU en 2014/53/EU van het Europees Parlement en de Raad, en tot intrekking van de Verordeningen (EG) nr. 552/2004 en (EG) nr. 216/2008 van het Europees Parlement en de Raad en Verordening (EEG) nr. 3922/91 van de Raad (PB L 212 van 22.8.2018, blz. 1-122).

Zie de geconsolideerde versie.

Uitvoeringsbesluit (EU) 2018/1993 van de Raad van 11 december 2018 inzake de geïntegreerde EU-regeling politieke crisisrespons (PB L 320 van 17.12.2018, blz. 28-34).

Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (herschikking) (PB L 321 van 17.12.2018, blz. 36-214).

Zie de geconsolideerde versie.

Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36-58).

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88).

Zie de geconsolideerde versie.

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73-114).

Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PB L 218 van 14.8.2013, blz. 8-14).

Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PB L 347 van 20.12.2013, blz. 924-947).

Zie de geconsolideerde versie.

Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van 17.12.2011, blz. 1-14).

Zie de geconsolideerde versie.

Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PB L 97 van 9.4.2008, blz. 72-84).

Zie de geconsolideerde versie.

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37-47).

Zie de geconsolideerde versie.

Laatste bijwerking 03.05.2024