Europese wetgeving rond digitale weerbaarheid: wat is op wie van toepassing?

Cyberaanvallen en datalekken zijn de dagelijkse realiteit van onze moderne samenleving. Voor bedrijven, consumenten en overheden is digitale weerbaarheid dan ook cruciaal geworden. De Europese Unie heeft de afgelopen jaren stevige maatregelen genomen om deze weerbaarheid te verbeteren.

Nieuwe wet- en regelgeving zoals NIS2, DORA, CER, CSA en CRA hebben allemaal als doel om Europa veiliger te maken. Maar wat houden deze wetten precies in, wie vallen eronder, en hoe werken ze samen om cyberweerbaarheid te verhogen?

NIS2: Network and Information Security 2 Richtlijn

  • Van toepassing op? –Nagenoeg ieder bedrijf of organisatie, maar met name kritieke infrastructuren, zoals energie, vervoer, gezondheidszorg, waterlevering en digitale dienstverleners (onder andere datacenters en cloud- providers). Maar ook ruimtevaart, digitale aanbieders en overheden.
  • Wat doet de NIS2? – De NIS2 bouwt voort op de oorspronkelijke NIS-richtlijn (2016) met strengere eisen voor cyberveiligheidsmaatregelen en een breder toepassingsgebied. Het vraagt ook meer verantwoordelijkheid bij bestuurders van bedrijven en organisaties en scherpt de sancties voor het niet-naleven van de richtlijn aan.
  • Inwerkingtreding – In november 2022 is de richtlijn goedgekeurd in Europa. Lidstaten hadden tot 17 oktober 2024 de tijd om deze om te zetten naar nationale wetgeving. In Nederland is dit de cyberbeveiligingswet (niet definitief).Nederland heeft de deadline niet gehaald. De verwachting is dat in het derde kwartaal van 2025 de cyberbeveiligingswet van kracht gaat. Op dat moment moeten organisaties aan de verplichtingen voldoen, maar organisaties waar de NIS2 op van toepassing is kunnen nu al wel van de rechten gebruik maken wanneer ze daar behoefte aan hebben.

DORA: Digital Operational Resilience Act

  • Van toepassing op? – Financiële instellingen zoals banken, verzekeraars, beleggingsondernemingen en ICT-dienstverleners in deze sector.
  • Wat doet de DORA? – Deze verordening richt zich op de operationele digitale weerbaarheid van de financiële sector, met eisen voor risicobeheer en incidentrapportage. Daarnaast moeten financiële instellingen regelmatig testen uitvoeren op hun digitale veerkracht en strengere eisen stellen aan hun ICT-leveranciers.
  • Inwerkingtreding – De DORA is in december 2022 goedgekeurd en is vanaf 17 januari 2025 van kracht. Dat betekent dat bedrijven en instellingen waar de DORA op van toepassing is aan de verplichtingen moeten doen.

CER: Critical Entities Resilience Richtlijn

  • Van toepassing op? – Kritieke infrastructuren zoals energie, vervoer, gezondheidszorg en overheidsdiensten. Het gaat om minder sectoren dan in de NIS2, maar wanneer de CER van toepassing is op een organisatie dan moet de organisatie oók voldoen aan de NIS2.
  • Wat doet de CER? – Deze richtlijn beschermt zowel de fysieke als digitale infrastructuur. Organisaties moeten risicoanalyses en beveiligingsplannen maken voor verstoringen, of die nu door cyberaanvallen of andere bedreigingen ontstaan. Organisaties moeten pas aan de CER voldoen wanneer ze daadwerkelijk door de overheid worden aangewezen als een kritieke entiteit.
  • Inwerkingtreding – Net als de NIS2 is de CER goedgekeurd in december 2022 en moest de CER uiterlijk 17 oktober 2024 omgezet zijn naar nationale wetgeving. In Nederland gaat het om de Wet Weerbaarheid Kritieke Entiteiten (niet definitief). Ook hier heeft Nederland de deadline niet gehaald en wordt er verwacht dat de wet pas in 2025 wordt aangenomen.

CSA: Cyber Security Act

  • Van toepassing op? – Alle sectoren die IT-producten, -diensten en -processen aanbieden binnen de EU.
  • Wat doet de CSA? – De CSA introduceert een vrijwillig Europees certificeringsschema, waarmee bedrijven hun producten of diensten kunnen laten certificeren volgens Europese beveiligingsstandaarden. Ook biedt het een grotere rol voor ENISA (het Europese agentschap voor cybersecurity) bij de ontwikkeling van certificeringsschema’s.
  • Inwerkingtreding – De verordening is sinds juni 2019 van kracht, maar certificeringsschema’s worden voortdurend verder ontwikkeld en uitgebreid.

CRA: Cyber Resilience Act

  • Van toepassing op? – Fabrikanten en leveranciers van producten met digitale elementen, zoals software, hardware en IoT-apparaten die in de EU worden verkocht.
  • Wat doet de CRA? – De CRA introduceert verplichte cyberbeveiligingsvereisten voor alle producten met digitale elementen. Dit omvat security by design waarbij fabrikanten moeten garanderen dat producten veilig ontworpen en onderhouden worden. Er is een meldplicht voor kwetsbaarheden en updates gedurende de hele levensduur van het product.
  • Inwerkingtreding – Onlangs is de definitieve tekst van de CRA goedgekeurd. Wanneer deze officieel is gepubliceerd zal de overgangsperiode in gaan. De overgangsperiode duurt 36 maanden. Daarna moeten organisaties voldoen aan de verplichtingen.

Samenhang tussen de wetten: het totale cyberweerbaarheidsraamwerk
Elke wetgeving heeft een specifiek doel en toepassingsgebied, maar samen vormen deze wetten en bepalingen een samenhangend en complementair geheel om cyberweerbaarheid te bevorderen. Verder hebben alle wetten ook met elkaar gemeen dat ze van een risicogebaseerde aanpak uitgaan. Alles bij elkaar samen beschouwd zijn er een aantal hoofdthema’s te onderscheiden:

  1. De bescherming van producten (CRA) en de bescherming van netwerken en infrastructuren (NIS2, DORA en CER)
  2. De verantwoordelijkheid van fabrikanten (CRA) en de verantwoordelijk van organisaties (NIS2, DORA, CER)
  3. Certificering (CSA) en verplichte veiligheidseisen (CRA)
  4. Sectorgerichte en productgerichte aanpak
    Bron: https://digitaltrustcommunity.nl/