Ook maakindustrie krijgt meldplicht cyberincidenten

Alexander Pil
7 december 2021

Het aantal sectoren dat verplicht wordt om passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen en ernstige cyberincidenten moet melden, wordt uitgebreid. Het gaat bijvoorbeeld om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. De verantwoordelijke EU-bewindspersonen, waaronder minister Stef Blok (Economische Zaken en Klimaat), hebben in Brussel tijdens de Telecomraad een akkoord bereikt over dit voorstel.

Grotere partijen in de voedselproductie en -distributie, maakindustrie, en post- en koeriersdiensten zijn binnenkort ook verplicht cyberincidenten te melden.

Minister Blok: ‘Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid. Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen. Deze regels richten zich op (middel)grote partijen en zijn veelal niet van toepassing op kleine organisaties.’

Minister Ferd Grapperhaus van Justitie en Veiligheid vult aan: ‘Dit is een belangrijke stap in het verder verhogen van onze nationale en Europese weerbaarheid tegen cyberdreigingen. Digitale incidenten hebben de potentie maatschappelijke ontwrichting en grote economische schade te veroorzaken. Uit het Cybersecuritybeeld Nederland blijkt daarbij dat ransomware inmiddels zo een groot probleem is, dat de nationale veiligheid in gevaar is. Daarom moeten we blijven investeren en is het versterken van onze digitale veiligheid een prioriteit van het kabinet.”

Herziening Netwerk- en Informatiebeveiligingsrichtlijn

Op dit moment worden aanbieders van essentiële diensten (zoals banken, drinkwater, energiesector) onder de huidige richtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen, vallen nu al onder de richtlijn. Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. Er vindt hierop ook toezicht plaats. In Nederland verleent het Nationaal Cyber Security Centrum (NCSC, ministerie van JenV) bijstand en advies aan deze aanbieders en het CSIRT DSP (Computer Security Incident Response Team, ministerie van EZK) doet dit voor de digitale dienstverleners.

 advertorial 
Machine Learning Conference

Machine Learning Conference: 30 maart 2022

Machine learning verovert de industrie. Op 30 maart 2022 organiseert Bits&Chips de vierde editie van de Machine Learning Conference als live event in ’s-Hertogenbosch. Interesse om een ​​lezing te geven? Wij zien graag uw voorstel tegemoet!

In de toekomstige situatie wordt het aantal sectoren fors uitgebreid. De herziene richtlijn kent dan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële, voornamelijk partijen uit vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aan aanbieders worden naast een meldplicht ook veiligheidsmaatregelen gesteld, zoals de beveiliging van de toeleverketen en de afhandeling van incidenten op orde brengen.