Nieuwe regeling inzake netwerkbeveiliging en informatiesystemen
Geschreven door Stefanie Vinck, semesterstagiaire bij het team corporate en IP/ICT recht.
Op 6 juli 2016 heeft het Europees Parlement een richtlijn aangenomen over netwerkbeveiliging en informatiesystemen (‘NIS Directive’). Het voorstel voor deze richtlijn dateerde al van 2013. Het doel is om een hogere beveiliging van netwerk- en informatiebeveiliging te verkrijgen over de hele unie.
Na de inwerkingtreding in augustus krijgen de lidstaten nog de tijd tot 9 mei 2018 om deze richtlijn te implementeren in hun eigen wetgeving. Dit heeft als gevolg dat bedrijven moeten beginnen met nadenken of zij onder deze nieuwe regelgeving vallen. Indien het antwoord hierop positief zou zijn, moeten zij nadenken of zij hun veiligheidsprocedure zullen moeten herzien en aanpassen naar het recht van het land waar ze zich bevinden.
De richtlijn zelf verplicht de lidstaten om voorbereid te zijn door de juiste uitrusting te hebben. Bijvoorbeeld door het oprichten van een NIS-autoriteit, samenwerking te creëren met andere lidstaten, … Ze zullen ook verplicht worden om een Computer Security Incident Response Team (CSIRT) in te zetten zodat er snel gereageerd kan worden op veiligheidsincidenten en zodat er informatie gedeeld kan worden over risico’s. De veiligheidscultuur zal zich uitstrekken over verschillende sectoren die van vitaal belang zijn voor de economie, van transport en water tot de cloud.
De Europese Unie zal zelf ook blijven werken aan cybersecurity. Dit door haar eigen netwerk, namelijk ‘the European Union Agency for Network and Information Security’ (ENISA). Bovendien haalde de Europese Commissie haar intentie aan om de cybersecurity te stroomlijnen, opleidingen te coördineren en trainingen te voorzien.
Anderzijds voorziet de richtlijn ook in de oprichting van twee werkgroepen: enerzijds is er de samenwerkingsgroep die de uitwisseling van informatie tussen de lidstaten moet garanderen, anderzijds is er het CSIRT-team, dat hierboven reeds besproken werd.
Verder is nog vermeldenswaardig dat de lidstaten zelf bevoegd zijn om inbreuken op de richtlijnen te sanctioneren.
