EU komt met nieuwe regels in strijd tegen cybercriminelen

De EU intensiveert de strijd tegen cybercriminelen door wetgeving op dit vlak uit te breiden. Meer sectoren moeten voortaan verplicht hun netwerk- en informatiesystemen beveiligen. Ook moeten meer sectoren ernstige cyberincidenten zoals datadiefstal of gijzelingssoftware melden. Dat hebben de EU-ministers van Telecommunicatie in Brussel afgesproken. In de Zembla uitzending ‘Gehackt en gegijzeld’ bleek dat betere wetgeving en afspraken hard nodig zijn als het gaat om het voorkomen van cybercriminaliteit.

Zo bleek in de uitzending dat in Nederland tientallen vitale organisaties en bedrijven de emailveiligheid niet op orde hebben. Het gaat dan bijvoorbeeld om de kerncentrale in Borssele en Schiphol. Ook blijkt dat veel bedrijven het stilhouden als zij slachtoffer worden van cybercriminaliteit en dat informatie daarover in Nederland niet goed gedeeld wordt, waardoor het voor cybercriminelen makkelijker is.

De nieuwe EU-regels gaan onder meer gelden voor grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten.

"Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid", aldus demissionair minister Stef Blok (Economische Zaken) na afloop van de Telecomraad. "Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor de maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen."

Aanbieders van essentiële diensten zoals banken, drinkwater en de energiesector worden al onder de huidige richtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen moeten al zorgen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. In de herziene richtlijn komt naast de categorie essentiële aanbieders nu ook een categorie belangrijke aanbieders.

De belangrijke aanbieders moeten ook maatregelen tegen cyberaanvallen treffen, zoals de beveiliging van de toeleveringsketen. Ze krijgen een meldplicht voor incidenten. De nieuwe regels zijn voor (middel)grote partijen bedoeld, niet voor kleine organisaties, aldus Blok.

Over de herziening van de richtlijn zal nu worden onderhandeld met het Europees Parlement dat ermee moet instemmen. Streven is een definitief akkoord in 2022, waarna lidstaten de wetgeving in eigen land kunnen aanpassen.

Kijk de Zembla Kort over ransomware terug: