De Europese meldingsplicht voor cyberincidenten wordt uitgebreid naar meer sectoren. Ook bedrijven in de post- en levensmiddelensectoren moeten binnenkort ernstige incidenten melden en maatregelen nemen.

De EU-lidstaten en het Europees Parlement hebben onlangs overeenstemming bereikt over het uitbreiden van de meldingsplicht voor grote cyberincidenten en het nemen van voldoende beveiligingsmaatregelen. Beide Europese gremia hebben hiervoor een akkoord bereikt over de herziening van de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2).

Nieuwe categorie bedrijven

Onder de huidige richtlijn zijn alleen kritische diensten als banken, energieleveranciers, cloudaanbieders en online marktplaatsen verplicht grote cyberincidenten te melden en passende maatregelen te nemen.

Vanaf 2024 gaan twee categorieën bedrijven onder de regelgeving vallen. De hierboven genoemde essentiële aanbieders en zogenoemde belangrijke aanbieders. Bij deze laatste categorie zal toezicht pas achteraf worden toegepast, nadat een incident heeft plaatsgevonden. Hierbij gaat het voornamelijk om bedrijven waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben. Denk onder meer aan postbedrijven en levensmiddelenbedrijven.

Zorgplicht

Naast de meldingsplicht voor incidenten omvat de herziene NIB2-richtlijn ook een zorgplicht. Bedrijven die onder dit toezicht vallen moeten voldoende beveiligingsmaatregelen nemen. Zij moeten er onder meer voor zorgen dat hun hele toeleveringsketen aan de hoogste veiligheidsstandaarden voldoet.

De definitieve richtlijn wordt naar verwachting dit najaar gepubliceerd. Eerst moet het Europees Parlement nog over de richtlijn stemmen. Daarna zal de richtlijn nog moeten worden omgezet in nationale wetgeving. De regels kunnen halverwege 2024 ingaan.

Tip: Meldplicht cyberincidenten breidt naar niet-essentiële bedrijven uit