NIB-richtlijn
De NIB-richtlijn (netwerk- en informatiebeveiligingsrichtlijn) is een Europese richtlijn en heeft ten doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, ter ondersteuning van het functioneren van onze samenleving en economie, door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Voluit heet deze richtlijn "RICHTLIJN (EU) 2016/1148 VAN HET EUROPEES PARLEMENT EN DE RAAD van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie".
Om het beoogde doel te bereiken verplicht de NIB-richtlijn de lidstaten ertoe hun paraatheid te verbeteren en beter met elkaar samen te werken, en door zowel aanbieders van essentiële diensten als digitale dienstverleners ertoe te verplichten adequate maatregelen te nemen om beveiligingsrisico's te beheersen en gevolgen van incidenten te voorkomen en minimaliseren en ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team).
De EU is in 2015 gestart[1] met een strategie voor een digitale eengemaakte markt. Samen met o.a. de Algemene verordening gegevensbescherming en de eIDAS-verordening wil de EU met de Europese NIB-richtlijn een vrije en veilige digitale eengemaakte markt tot stand brengen.
De Directive on Security of Network and Information Systems (NIS Directive) is de Engelse vertaling van de Europese richtlijn.[2][3] Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad.[4]
Voorzien bewerken
Daartoe wordt bij deze richtlijn in het volgende voorzien:
- de vaststelling van verplichtingen voor alle lidstaten om een nationale strategie voor beveiliging van netwerk- en informatiesystemen vast te stellen
- de instelling van een samenwerkingsgroep die de strategische samenwerking en informatie-uitwisseling tussen de lidstaten moet ondersteunen en onderling vertrouwen moet scheppen
- de totstandbrenging van een netwerk van computer security incident response teams („CSIRT's-netwerk”) dat mede vertrouwen moet scheppen tussen de lidstaten en snelle en doeltreffende operationele samenwerking moet bevorderen
- de vaststelling van beveiligings- en meldingseisen voor aanbieders van essentiële diensten en voor digitaledienstverleners
- de vaststelling van verplichtingen voor de lidstaten om nationale bevoegde autoriteiten, centrale contactpunten en CSIRT's aan te wijzen, met taken in verband met de beveiliging van netwerk- en informatiesystemen.
De verwerking van persoonsgegevens krachtens deze richtlijn gebeurt overeenkomstig Richtlijn 95/46/EG.
Implementatie bewerken
De lidstaten dienen uiterlijk op 9 mei 2018 de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij passen die bepalingen toe vanaf 10 mei 2018.
De activiteiten die de diverse lidstaten moeten ondernemen om de richtlijn te implementeren zullen verschillen. Met name Duitsland, Frankrijk en Nederland werken al jaren aan cybersecurity en hebben vóór de NIB-richtlijn al eigen cybersecuritywetten voorgesteld of aangenomen.[5]
Nederland bewerken
In Nederland implementeert de Wet beveiliging netwerk- en informatiesystemen (Wbni) de Europese NIB-richtlijn.
EU-cyberbeveiligingsverordening bewerken
De EU-cyberbeveiligingsverordening vormt een aanvulling op de NIB-richtlijn. De cyberbeveiligingsverordening introduceert EU-brede regels voor de cyberbeveiligingscertificering van producten, processen en diensten. Daarnaast voorziet de cyberbeveiligingsverordening in een permanent mandaat voor het EU-agentschap voor cyberbeveiliging (ENISA). ENISA zal een sleutelrol spelen bij het opzetten en onderhouden van het Europese cyberbeveiligingscertificeringskader.[6]
Zie ook bewerken
Externe links bewerken
| Bronnen, noten en/of referenties |