Europese wetgeving rond digitale weerbaarheid: wat is op wie van toepassing?
Cyberaanvallen en datalekken zijn de dagelijkse realiteit van onze moderne samenleving. Voor bedrijven, consumenten en overheden is digitale weerbaarheid dan ook cruciaal geworden. De Europese Unie heeft de afgelopen jaren stevige maatregelen genomen om deze weerbaarheid te verbeteren.
Nieuwe wet- en regelgeving zoals NIS2, DORA, CER, CSA en CRA hebben allemaal als doel om Europa veiliger te maken. Maar wat houden deze wetten precies in, wie vallen eronder, en hoe werken ze samen om cyberweerbaarheid te verhogen? In dit artikel geven we je een overzicht van deze wetgevingen, hun impact, en hoe ze de basis vormen voor een veilig digitaal Europa.
In eerdere artikelen besteedden we al aandacht aan de verschillende facetten van het ambitieuze plan van de Europese Unie voor een digitaal decennium (digital decade). Het digitaal decennium gaat over een visie op een digitale maatschappij met een menselijke maat en veel nieuwe en vernieuwde stukken wetgeving.
De Digital Decade: basis voor een veilig Europa
In 2021 lanceerde de Europese Commissie de Digital Decade, met als ambitie om Europa digitaal onafhankelijk en weerbaar te maken tegen 2030. Dit plan, dat de digitale infrastructuur, bedrijven en diensten sterker moet maken, legt sterk de nadruk op cyberweerbaarheid. Want om veilig digitaal te kunnen werken, moet de basis – de digitale producten, diensten en netwerken – goed beveiligd zijn.
De nieuwste Europese cyberwetten bieden een stevig juridisch kader om deze veiligheid te waarborgen. Die wetten zijn gefocust op de beveiliging van alles: van kritieke infrastructuren tot financiële diensten en digitale producten, om het risico van cyberaanvallen te verminderen. Hieronder leggen we uit hoe de vijf belangrijkste wetten: NIS2, DORA, CER, CSA en CRA, elkaar aanvullen.
De nieuwe Europese cyberwetten uitgelegd
Hieronder bespreken we per wet het toepassingsgebied, wat de belangrijkste kenmerken zijn en wanneer ze in werking treden. Een stukje context: stukken Europese wetgeving worden gegoten in de vorm van een richtlijn of verordening. Verordeningen (acts) werken direct door in de nationale wetgeving. Richtlijnen (directives) moeten voor werking omgezet worden naar nationale wetgeving.
NIS2: Network and Information Security 2 Richtlijn
- Van toepassing op? – Kritieke infrastructuren zoals energie, vervoer, gezondheidszorg, waterlevering en digitale dienstverleners (onder andere datacenters en cloud- providers). Maar ook ruimtevaart, digitale aanbieders en overheden.
- Wat doet de NIS2? – De NIS2 bouwt voort op de oorspronkelijke NIS-richtlijn (2016) met strengere eisen voor cyberveiligheidsmaatregelen en een breder toepassingsgebied. Het vraagt ook meer verantwoordelijkheid bij bestuurders van bedrijven en organisaties en scherpt de sancties voor het niet-naleven van de richtlijn aan.
- Inwerkingtreding – In november 2022 is de richtlijn goedgekeurd in Europa. Lidstaten hadden tot 17 oktober 2024 de tijd om deze om te zetten naar nationale wetgeving. In Nederland is dit de cyberbeveiligingswet (niet definitief).Nederland heeft de deadline niet gehaald. De verwachting is dat in het derde kwartaal van 2025 de cyberbeveiligingswet van kracht gaat. Op dat moment moeten organisaties aan de verplichtingen voldoen, maar organisaties waar de NIS2 op van toepassing is kunnen nu al wel van de rechten gebruik maken wanneer ze daar behoefte aan hebben.
DORA: Digital Operational Resilience Act
- Van toepassing op? – Financiële instellingen zoals banken, verzekeraars, beleggingsondernemingen en ICT-dienstverleners in deze sector.
- Wat doet de DORA? – Deze verordening richt zich op de operationele digitale weerbaarheid van de financiële sector, met eisen voor risicobeheer en incidentrapportage. Daarnaast moeten financiële instellingen regelmatig testen uitvoeren op hun digitale veerkracht en strengere eisen stellen aan hun ICT-leveranciers.
- Inwerkingtreding – De DORA is in december 2022 goedgekeurd en is vanaf 17 januari 2025 van kracht. Dat betekent dat bedrijven en instellingen waar de DORA op van toepassing is aan de verplichtingen moeten doen.
CER: Critical Entities Resilience Richtlijn
- Van toepassing op? – Kritieke infrastructuren zoals energie, vervoer, gezondheidszorg en overheidsdiensten. Het gaat om minder sectoren dan in de NIS2, maar wanneer de CER van toepassing is op een organisatie dan moet de organisatie oók voldoen aan de NIS2.
- Wat doet de CER? – Deze richtlijn beschermt zowel de fysieke als digitale infrastructuur. Organisaties moeten risicoanalyses en beveiligingsplannen maken voor verstoringen, of die nu door cyberaanvallen of andere bedreigingen ontstaan. Organisaties moeten pas aan de CER voldoen wanneer ze daadwerkelijk door de overheid worden aangewezen als een kritieke entiteit.
- Inwerkingtreding – Net als de NIS2 is de CER goedgekeurd in december 2022 en moest de CER uiterlijk 17 oktober 2024 omgezet zijn naar nationale wetgeving. In Nederland gaat het om de Wet Weerbaarheid Kritieke Entiteiten (niet definitief). Ook hier heeft Nederland de deadline niet gehaald en wordt er verwacht dat de wet pas in 2025 wordt aangenomen.
CSA: Cyber Security Act
- Van toepassing op? – Alle sectoren die IT-producten, -diensten en -processen aanbieden binnen de EU.
- Wat doet de CSA? – De CSA introduceert een vrijwillig Europees certificeringsschema, waarmee bedrijven hun producten of diensten kunnen laten certificeren volgens Europese beveiligingsstandaarden. Ook biedt het een grotere rol voor ENISA (het Europese agentschap voor cybersecurity) bij de ontwikkeling van certificeringsschema’s.
- Inwerkingtreding – De verordening is sinds juni 2019 van kracht, maar certificeringsschema’s worden voortdurend verder ontwikkeld en uitgebreid.
CRA: Cyber Resilience Act
- Van toepassing op? – Fabrikanten en leveranciers van producten met digitale elementen, zoals software, hardware en IoT-apparaten die in de EU worden verkocht.
- Wat doet de CRA? – De CRA introduceert verplichte cyberbeveiligingsvereisten voor alle producten met digitale elementen. Dit omvat security by design waarbij fabrikanten moeten garanderen dat producten veilig ontworpen en onderhouden worden. Er is een meldplicht voor kwetsbaarheden en updates gedurende de hele levensduur van het product.
- Inwerkingtreding – Onlangs is de definitieve tekst van de CRA goedgekeurd. Wanneer deze officieel is gepubliceerd zal de overgangsperiode in gaan. De overgangsperiode duurt 36 maanden. Daarna moeten organisaties voldoen aan de verplichtingen.
Samenhang tussen de wetten: het totale cyberweerbaarheidsraamwerk
Elke wetgeving heeft een specifiek doel en toepassingsgebied, maar samen vormen deze wetten en bepalingen een samenhangend en complementair geheel om cyberweerbaarheid te bevorderen. Verder hebben alle wetten ook met elkaar gemeen dat ze van een risicogebaseerde aanpak uitgaan. Alles bij elkaar samen beschouwd zijn er een aantal hoofdthema’s te onderscheiden:
- De bescherming van producten (CRA) en de bescherming van netwerken en infrastructuren (NIS2, DORA en CER)
De CRA richt zich op de beveiliging van producten zelf, zodat ze minder kwetsbaar zijn voor cyberaanvallen. De NIS2, de DORA en de CER pakken de beveiliging van netwerken, systemen en infrastructuren aan waarin de producten worden gebruikt. Hierdoor wordt zowel het product als het netwerk waarin het draait, beschermd tegen cyberdreigingen.
- De verantwoordelijkheid van fabrikanten (CRA) en de verantwoordelijk van organisaties (NIS2, DORA, CER)
Uit de CRA volgt dat de verantwoordelijkheid voor veilige producten bij de fabrikanten ligt. Bij de andere wetten ligt de verantwoordelijkheid voor veilige systemen en netwerken bij de organisaties die de producten gebruiken. Dit zorgt voor een gelaagde aanpak waarbij zowel de aanbieders van producten als de gebruikers verantwoordelijkheid vragen.
- Certificering (CSA) en verplichte veiligheidseisen (CRA)
De CSA biedt een vrijwillig certificeringsschema voor producten en diensten, terwijl de CRA verplichte veiligheidsvereisten introduceert voor alle digitale producten. Hierdoor ontstaat er een minimumstandaard in de EU, maar bedrijven kunnen ervoor kiezen om hun producten extra te certificeren om hun beveiligingsclaims te versterken.
- Sectorgerichte en productgerichte aanpak
Waar de NIS2, de DORA en de CER zich op specifieke sectoren richten, kijkt de CRA direct naar de digitale producten. Dit biedt een brede basis voor cyberveiligheid door ervoor te zorgen dat de producten die in sectoren zoals gezondheidszorg, vervoer en energie gebruikt worden, voldoen aan hoge cyberbeveiligingseisen.
Een gelaagde aanpak voor een cyberweerbare EU
De Europese cyberregelgeving vormt een solide raamwerk voor een digitaal veilige EU. Door het gelaagde karakter vullen de verschillende wetten elkaar aan en creëren ze een gebalanceerde aanpak waarbij producten, netwerken, systemen en kritieke sectoren allemaal beschermd zijn. De NIS2, de DORA en de CER zorgen ervoor dat sectoren robuust genoeg zijn om cyberdreigingen aan te kunnen. De CRA biedt een verplichte basisbeveiliging voor digitale producten, terwijl de CSA een extra optie biedt voor vrijwillige certificering.
Voor organisaties betekent dit dat ze niet alleen moeten zorgen voor veilige producten, maar ook de bredere netwerken en systemen moeten beveiligen. Dit zorgt voor meer transparantie en vertrouwen bij consumenten en legt een solide basis voor de EU als digitale koploper in de Digital Decade. Cyberweerbaarheid is geen keuze meer, maar een noodzakelijke investering voor de toekomst.
Over de auteur: Melanie van Leeuwen is Compliance Consultant bij ICTRecht.
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond