Nieuwe cybersecurity-richtlijn uit Brussel zit in stroomversnelling

Er is een akkoord bereikt over NIS2, de nieuwe richtlijn die de Europese Unie weerbaarder moet maken tegen cyberaanvallen.

2 min. leestijd

Met de onderhandelingen tussen het Europees Parlement en de Europese Raad werd de laatste horde genomen voor de nieuwe Europese cybersecurity-richtlijn (NIS2) in werking treedt. Gisteren werd een akkoord bereikt. Dit tot groot genoegen van Europarlementariër Bart Groothuis (VVD), rapporteur (verantwoordelijke en onderhandelaar) op de nieuwe Europese wetgeving. Deze richtlijn moet een groter aantal bedrijven in de Europese Unie beschermen tegen cyberaanvallen. Wat gaat er veranderen?

Meer en beter

De nieuwe Europese richtlijn breidt de digitale bescherming in Nederland uit: van zo’n 300 bedrijven naar ongeveer 4000 instellingen. Allemaal plaatsen waar een cyberaanval tot grote maatschappelijke gevolgen kan leiden. Denk bijvoorbeeld aan energieproviders, de transportsector en gezondheidsinstellingen. 

Groothuis, die door het Europees Parlement is aangewezen als rapporteur op dit dossier, stelt: “Voor het eerst krijgen onder meer ziekenhuizen, energiebedrijvenbedrijven, banken en onze maakindustrie te maken met verplichte eisen op het vlak van cybersecurity”. Zo moeten bedrijven back-ups maken en risicoanalyses uitvoeren om te achterhalen waar de digitale zwaktes liggen in het bedrijf of de organisatie.

Ook moeten de lidstaten nu werk maken van een nationale regel: bedrijven die niet aan deze cybersecurity-eisen voldoen, moeten door de overheid ter verantwoording geroepen worden. De verantwoordelijkheid voor de naleving van deze eisen ligt, aldus Groothuis, vooral bij de CEO van het bedrijf. “We proberen de administratieve druk laag te houden, maar we verwachten wel een grote inspanning van deze bedrijven terug.”

Verdubbeling cyberaanvallen

De oorspronkelijke wet, uit 2016, is verouderd in de snel veranderende digitale wereld. Nieuwe technologie vereist aangepaste bescherming. Daarom komt Brussel met een nieuwe Europese cybersecurity-richtlijn, NIS2. Niet alleen bedrijven, maar ook onderwijsinstellingen zoals universiteiten en hogescholen worden verplicht om zich voor te bereiden op eventuele cyberaanvallen. Is dat nodig? 

De universiteit van Maastricht werd in 2019 getroffen door een zogenaamde ransomware-aanval. Hierbij wordt de software in een systeem door hackers geblokkeerd en pas opgeheven wanneer er losgeld wordt betaald. De universiteit betaalde losgeld, want zag geen andere oplossing. Een naargeestige situatie voor de onderwijsinstelling, maar ook een risico voor de nationale veiligheid, aldus de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). 

De aanval op de universiteit staat helaas niet op zichzelf. Groothuis merkt op dat de cybercriminaliteit in Nederland in 2019 is verdubbeld. Aanvallen waarbij losgeld wordt gevraagd, zoals in Maastricht, zijn verdrievoudigd in 2020. “En dat terwijl onze vitale processen zoals energie, zorg, banken en water, alleen maar digitaler worden.”