Nieuwe Europese cybersecurity-richtlijnen
Europa’s nieuwe cyber security wetgeving NIS2, die is uit onderhandeld door Europarlementariër en cyber security expert Bart Groothuis (VVD), komt op donderdag 10 november ter finale stemming in het Europees Parlement in Brussel. Deze Europese ‘Network & Information Security Directive’creëert meer dan honderdduizend vitale instellingen in de EU (in Nederland komen tussen de 4000 en 5000 extra instellingen bij de vitale infrastructuur) en gaat ervoor zorgen dat essentiële bedrijfsinfrastructuur te maken krijgt met verplichte cyber security eisen. Daarnaast worden overheden aangezet om niet enkel reactief maar ook service gericht en proactief op te treden om cyberaanvallen actief te voorkomen. Als bedrijven en overheidsinstellingen hier niet aan voldoen, riskeren ze een forse boete.
VVD-Europarlementariër en cyber security expert Bart Groothuis is destijds door het Europees Parlement aangewezen als rapporteur op de NIS en onderhandelde over de precieze maatregelen: ‘In Nederland is cybercriminaliteit in 2019 verdubbeld, ransomware verdrievoudigde in 2020 en een nieuwe piek voor 2021 is in de maak. En dat terwijl onze vitale bedrijfsprocessen, zoals in ziekenhuizen, de energiesector, gezondheidszorg, het bankwezen en waterbedrijven steeds vaker worden aangevallen met gijzelsoftware. Van COVID-ziekenhuizen in Ierland, Spanje en Tsjechië tot aan de hack op Colonial Pipeline in de VS, de Universiteit van Maastricht of VDL-Groep: cybercriminelen en staten misbruiken onze digitale afhankelijkheid steeds vaker, waardoor het de politie en veiligheidsdiensten vaak de schoenen overloopt. En de dreiging vanuit vooral Rusland maar ook China wordt niet minder. Onze IT-systemen moeten daarom weerbaarder worden, zodat we goed digitaal zaken kunnen doen en veiliger kunnen leven. Deze Europese richtlijn gaat daarbij helpen.’
‘In Nederland is cybercriminaliteit in 2019 verdubbeld. Ransomware werd in 2020 wereldwijd verdrievoudigd en we verwachten een nieuwe piek voor 2021. En dat terwijl onze vitale processen, zoals energie, zorg, banken en water, alleen maar digitaler worden.’
Vitale bedrijven en instellingen moeten straks back-ups maken, veiligheidsmaatregelen treffen, risicoanalyses doen en serieus kijken naar de kwetsbaarheden in hun supply chain. Daarnaast worden bedrijven en instellingen ook verplicht cyberincidenten te melden zodat anderen geholpen kunnen worden, en nieuwe aanvallen ook beter voorkomen kunnen worden. ‘In de EU geeft een bedrijf gemiddeld 41% minder uit aan cybersecurity dan in de VS, en Biden komt met spoedwetgeving. In Europa moeten we ervoor zorgen dat hackers niet denken dat het in Europa makkelijker te halen valt dan elders in de wereld’, stelt Groothuis, die zelf een cybersecurity-achtergrond heeft.
‘De verantwoordelijkheid van digitale veiligheid moet bovendien bij de CEO van het bedrijf liggen, de investeringen moeten echt van de grond komen. In Nederland praten al sinds 2010 om cyber security de zaak van het bestuur van een onderneming te maken, maar nu wordt dat ook voor het eerst echt afgedwongen. Cyber wordt chefsache. Het parlement doet er alles aan de administratieve lastendruk voor bedrijven zo laag mogelijk te houden, maar we verwachte serieuze inspanningen terug’.
‘Onze IT-systemen moeten weerbaarder worden, zodat we veiliger zijn en goed digitaal zaken kunnen doen. Deze Europese richtlijn gaat daarbij helpen.’
Maar ook van de overheid wordt meer verwacht. Waar bedrijven en instellingen (zo’n 160.000 over heel Europa) incidenten en dreigingen gaan melden, wordt van de overheid en service gerichte en proactieve opstelling geëist. ‘Wanneer er kennis is bij overheden over hoe digitale aanvallen gaan plaatsvinden in de toekomst, moet dat leiden tot actieve preventie. In Europa is daar nog veel te winnen’, aldus. De wet biedt de juridische basis om meer te doen, beter te onderzoeken en sneller op te treden.
De NIS-II creëert volgens Groothuis de noodzakelijke schakel voor samenwerking en informatiedeling tussen lidstaten, bedrijven en autoriteiten, maar ook tussen de EU en andere landen in de wereld. ‘Dat is heel hard nodig, want cybersecurity informatiedeling verloopt in de Europese Unie en daarbuiten helaas nog erg stroef. En we willen allemaal dat bedrijven hun vitale diensten veilig moeten kunnen leveren. Daarom hebben we de juridische basis voor informatie delen nog eens helder opgeschreven in de Wet.’
Europese lidstaten hebben 21 maanden om de cybermaatregelen in hun nationale wetgeving te implementeren.
