De Europese Commissie lanceerde zijn voorstel voor het aanscherpen van de eisen op het gebied van informatiebeveiliging al begin 2013. Met de richtlijn wil de EC bewerkstelligen dat bedrijven en organisaties die belangrijk zijn voor het functioneren van de samenleving, ­gepaste maatregelen nemen om hun digitale infrastructuur te beschermen. Op gezag van ­cijfers van ENISA, het EU agentschap voor Netwerk en Informatiebeveiliging, gaat de Europese Commissie ervan uit dat dergelijke incidenten in de Europese Unie jaarlijks een schadepost van 260 tot 340 miljoen euro opleveren. De richtlijn gaat voortaan door het leven als de Network and Information Security-directive (NIS).

Meldplicht cyberincidenten

Bedrijven hebben met de nieuwe regels de verantwoordelijkheid te zorgen dat hun infrastructuur robuust genoeg is om cyberaanvallen te doorstaan. Mochten er toch incidenten ­optreden, zijn ze verplicht dit te melden bij de autoriteiten. Die kunnen vervolgens ­besluiten om die informatie openbaar te ­maken.

De verplichting die de EU oplegt om netwerken robuust te maken, is in eerste instantie gericht op de nutsbedrijven, dus de leveranciers van water, gas en elektriciteit, luchtvaartmaatschappijen, luchthavens, spoorwegen, scheepvaartbedrijven en havens, financiële instellingen en de gezondheidssector. Daarnaast geldt de meldplicht ook voor zoekmachines, aan­bieders van clouddiensten en e-commerceplatformen. Het Europees Parlement wilde in principe niet meegaan met de wens van de Europese Commissie om ook deze partijen ­onder de richtlijn te laten vallen. Maar uiteindelijk is het parlement toch gezwicht voor de argumenten van de Commissie. Alleen sociale media, zoals Facebook, vallen niet onder de richtlijn.

De verplichtingen gelden ook voor aanbieders van buiten de EU zoals eBay of Amazon. Deze bedrijven hebben zich hier fel tegen verzet, en kregen aanvankelijk ook gehoor in het Europees Parlement. De steeds grotere bezorgdheid over cyberaanvallen heeft er echter voor ­gezorgd dat alle EU-staten nu overstag zijn ­gegaan, zo meldt nieuwsdienst Reuters.

Veel onduidelijkheden

Onduidelijk is nog wel of alle e-commerceplatforms onder de richtlijn vallen, of dat het alleen om de grote, internationaal opererende webwinkels, appwinkels en betaaldiensten gaat. De teksten noemen alleen de grote jongens als voorbeeld, maar het valt zeker niet uit te sluiten dat ook nationaal opererende webshops aan de verplichtingen van de NIS-directief moeten voldoen. De omschrijvingen op dit punt worden niet specifieker dan partijen die van belang zijn voor het functioneren van de economie.

Ook onduidelijk is, hoe groot een bedrijf moet zijn om onder de richtlijn te vallen. Kleine ­bedrijven zijn niet verplicht incidenten te melden. Wat klein in dit verband is, is nog niet helder gedefinieerd. Eerder circuleerden criteria als minder dan tien werknemers en een jaaromzet van maximaal 2 miljoen euro.

En zelfs wat onder een incident verstaan moet worden, zal in de komende tijd nog uitgewerkt moeten worden. Er is sprake van criteria als aantal betrokken gebruikers, duur van het incident en geografische reikwijdte. Welke cijfers daarbij horen, moet nog worden ingevuld. En ook de sancties zijn nog niet helder omschreven, behalve dan dat de EC er kennelijk van uitgaat dat van publicatie een schandpaal-effect uitgaat.

Europese samenwerking

De richtlijn heeft niet alleen betrekking op bedrijven. De EC wil er ook mee bewerkstelligen dat lidstaten maatregelen nemen om een meer geharmoniseerde aanpak van cybersecurity te kunnen bewerkstelligen, waaronder de uitwisseling van informatie over beveiligingsincidenten tussen de betrokken autoriteiten

De EU gaat een netwerk van Computer Security Incidents Response Teams opzetten. Die organisaties krijgen de taak als eerste op te treden bij incidenten en gezamenlijk Europabrede actie te ondernemen.

De regels bieden overigens ook ruimte voor lidstaten om een verbod in te stellen op sterke encryptie of van softwarebedrijven te eisen dat er achterdeurtjes in de beveiliging worden aangebracht ten behoeve van de opsporing. Verzwakking van de beveiliging biedt echter kwaadwillenden ook mogelijkheden om in te breken.

Nog lange weg te gaan

De richtlijn is nog lang geen wet. De tekst moet eerst nog formeel aanvaard worden door de Europese Commissie en het Europees Parlement. Daarna moet de overeenkomst nog bekrachtigd worden door de lidstaten. Die moeten vervolgens de richtlijn ook nog verwerken in hun nationale wetgeving. Daardoor gaat er waarschijnlijk nog wel een jaar of twee overheen voordat de verplichtingen die voortvloeien uit de NIS-directief daadwerkelijk gaan gelden.