Grotere organisaties die bijvoorbeeld actief zijn in de voedselproductie, maakindustrie en post- en koeriersdiensten moeten binnenkort hun IT-systemen verplicht beveiligen tegen ransomware of datadiefstal.
De Europese Unie verplicht binnenkort een aantal sectoren om hun IT-systemen grondig te beveiligen. De focus ligt op essentiële diensten om daar hogere eisen te stellen. Er zijn vandaag al nationale richtlijnen voor digitale dienstverleners zoals bijvoorbeeld clouddiensten. Zij hebben een meldplicht voor ernstige cyberincidenten en moeten hun veiligheid al langer hoog houden. In de nieuwe richtlijn breidt de categorie essentiële aanbieders nu uit met een categorie belangrijke aanbieders.
“Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid’, aldus de Nederlandse demissionair minister Stef Blok (Economische Zaken) na afloop van de Telecomraad volgens persagentschap ANP. ‘Cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschabben of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen.’
De nieuwe categorie belangrijke aanbieders krijgt ook een meldplicht voor incidenten. De nieuwe regels zijn voor middelgrote tot grote partijen bedoeld, kleine ondernemingen worden niet geviseerd volgens Blok.
Het voorstel voor herziening moet nu eerst worden onderhandeld met het Europees Parlement. Het doel is een definitief akkoord in 2022, zodat daarna de landen de wetgeving in eigen land kunnen toepassen.