Op 13 maart 2014 heeft het Europees Parlement gestemd voor concept-regelgeving die een meldplicht voor security breaches voor vitale sectoren zou introduceren. De concept-regelgeving, de zogenoemde Richtlijn netwerk- en informatiebeveiliging, wordt nu behandeld door de Europese Raad van Ministers. Als die akkoord gaat zou de regelgeving in alle lidstaten geïmplementeerd moeten worden.

De belangrijkste punten uit het concept-voorstel (PDF) zijn:

• “Marktdeelnemers” worden verplicht om technische en organisatorische maatregelen te nemen om beveiligingsrisico’s op te sporen en te beheren. Die maatregelen moeten “passend en evenredig” zijn. Daarbij staat voorop dat de continuïteit van de geleverde diensten gewaarborgd moet worden. De Europese Commissie kan beveiliging volgens bepaalde normen, zoals ISO-normen, aanmoedigen.
• Marktdeelnemers moeten incidenten met een impact op de continuïteit van hun diensten melden. Dit kan gaan over incidenten als hacks en DDoS-aanvallen. Incidenten moeten onverwijld aan de toezichthouder worden gemeld. Of een incident gemeld moet worden is afhankelijk van factoren zoals het aantal gebruikers dat last heeft van het incident, de duur en de geografische impact. Na overleg tussen de toezichthouder en de marktdeelnemer kan de toezichthouder besluiten om over het incident te publiceren. Daarbij speelt onder meer een rol of de marktdeelnemer geen maatregelen neemt om het incident te verhelpen.
• “Marktdeelnemers” zijn bedrijven in een groot aantal vitale sectoren: elektriciteit, aardolie, gas, wegvervoer, spoorvervoer, zeevervoer, luchtvervoer, kredietinstellingen, handelsfaciliteiten, clearinghuizen, waterproductie- en voorziening, voedselvoorziening, ziekenhuizen, privé-klinieken, andere zorgverleners en internetknooppunten. Het parlement heeft het voorstel van de Europese Commissie om ook onlinediensten, zoals zoekmachines en cloudleveranciers, hieronder te laten vallen, geschrapt. Ook overheden worden uitgesloten van de werking van deze richtlijn als het aan het parlement ligt.
• Lidstaten moeten een toezichthouder op het gebied van netwerk- en informatiebeveiliging aanwijzen. Het ligt voor de hand dat dit in Nederland het Nationaal Cybersecuritycentrum (NCSC) zou worden. Het wijzigingsvoorstel van het Europees Parlement vereist dat dit een “civiele” toezichthouder zou zijn – waarmee wordt bedoeld dat de toezichthouder niet aan geheime diensten of defensie gelieerd mag zijn. Als er al een Europese toezichthouder binnen een specifieke sector bestaat, dan zal die voor die specifieke sector worden aangewezen als toezichthouder. De toezichthouder publiceert jaarlijks een verslag van het aantal incidenten.
• Deze toezichthouder moet bevoegdheden krijgen om de meldplicht te handhaven en incidenten te onderzoeken. Dat betekent onder meer dat de toezichthouder een marktdeelnemer kan verplichten om te bewijzen dat zij een effectief beveiligingsbeleid heeft en een security-audit te ondergaan. De toezichthouder zou ook de bevoegdheid krijgen om bindende instructies te geven aan bedrijven. Deze bevoegdheden zouden met sancties, zoals mogelijk boetes, ondersteund moeten worden als sprake is van opzet of grof nalaten aan de kant van de marktdeelnemer.
• Er wordt een samenwerkingsnetwerk tussen de nationale toezichthouders, de Europese Commissie en ENISA (de Europese cybersecuritytoezichthouder) opgezet. Binnen dat netwerk wisselen de deelnemers informatie over risico’s en incidenten op het gebied van netwerk- en informatiebeveiliging uit. Informatie wordt ook gepubliceerd op een gemeenschappelijke website. Waar mogelijk coördineren de deelnemers hun reactie. In voorkomende gevallen wordt expertise gedeeld met Europol en toezichthouders op het gebied van terrorismebestrijding. Ook wordt informatie over relevante risico’s en incidenten gedeeld met  marktdeelnemers.

De regelgeving gaat nu naar de Europese Raad van Ministers. Als die het voorstel van het Europees Parlement accepteert dan worden de regels van kracht. Als de Raad in plaats daarvan een wijzigingsvoorstel doet zal het Europees Parlement zich daarover weer moeten uitlaten.

In andere sectoren geldt overigens al een meldplicht voor beveiligingsinbreuken: zo kent de telecomsector zo een meldplicht, waarvoor ENISA al richtsnoeren heeft ontwikkeld. Ook in Nederland wordt gewerkt aan een meldplicht security breaches voor vitale sectoren. Het is de vraag hoe die zich zal verhouden tot deze richtlijn.

Benieuwd wat deze en andere meldplichten voor gevolgen hebben? Neem contact op met Ot van Daalen, +31 6 5438 6680.