In juli heeft de Europese Unie met een stemming in het Europees Parlement één van de laatste stappen gezet voor het aannemen van zijn baanbrekende cybersecuritywet, de Netwerk- en Informatiebeveiligingsrichtlijn (NIB). Dit is het resultaat van meer dan drie jaar werk van de Europese Commissie, de Europese Raad en het Europese Parlement, die hiervoor hebben samengewerkt met belanghebbenden uit Europa en de rest van de wereld. De richtlijn is een mijlpaal, maar de volgende stappen zijn nog veel belangrijker.
De Netwerk- en Informatiebeveiligingsrichtlijn (NIB) is bedoeld als antwoord op groeiende zorgen over cyberbedreigingen. Ook is het een poging om de cybersecurity en de veerkracht van netwerk- en informatiesystemen in de lidstaten van de EU te verbeteren. Het is de eerste keer dat de EU een specifieke wet heeft aangenomen rondom cybersecurity. Wat opvalt is dat de richtlijn cybersecurity in een economische en maatschappelijke context plaatst. Men ziet welk belang cybersecurity heeft op het gebied van economische activiteiten, economische groei en het vertrouwen van internetgebruikers. De richtlijn wordt binnenkort gepubliceerd in het publicatieblad van de Europese Unie en zal twintig dagen later van kracht worden. EU-lidstaten hebben vervolgens 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving.
Meldplicht
De richtlijn heeft zowel gevolgen voor het bedrijfsleven als voor de lidstaten zelf. Hij bevat beveiligingseisen voor aanbieders van essentiële diensten (zoals: energiebedrijven, vervoerders en zorginstellingen) en in mindere mate voor aanbieders van digitale diensten (zoals: online-marktplaatsen, online-zoekmachines en cloudaanbieders). Ook verplicht de richtlijn deze aanbieders om bepaalde incidenten te melden. Lidstaten moeten nationale NIB-strategieën gaan opstellen, bevoegde autoriteiten gaan aanwijzen en gaan zorgen voor goed functionerende Computer Security Incident Response Teams (Csirt’s) die cyberincidenten en -risico’s kunnen detecteren, voorkomen en aanpakken. De richtlijn legt de nadruk op coördinatie tussen de lidstaten en op het opzetten van een Csirt-netwerk, waar Cert-EU ook deel van gaat uitmaken. Dit netwerk moet de samenwerking stimuleren in een samenwerkingsgroep die strategische samenwerking, informatie-uitwisseling en ondersteuning op dit vlak mogelijk maakt.
Hoewel de stemming rondom de richtlijn een mijlpaal is, zijn de volgende stappen belangrijker. Als de lidstaten de richtlijn in de praktijk gaan brengen via hun nationale wetgeving, moet consistentie prioriteit hebben. Volgens de richtlijn bepalen de lidstaten zelf welke organisaties voldoen aan de criteria voor aanbieders van essentiële diensten. De richtlijn biedt een gemeenschappelijke methodiek en adviseert lidstaten om samen te overleggen over bedrijven die meerdere markten in de EU bedienen. Uiteenlopende meningen over wat een aanbieder van essentiële diensten is, kunnen leiden tot verwarring en mogelijk tot het verkeerd toewijzen van securitymiddelen. Dit geldt ook voor de bevoegdheid die lidstaten hebben om zelf de precieze beveiligings- en meldingseisen te definiëren voor aanbieders van essentiële diensten. De richtlijn staat weliswaar een flexibele implementatie toe, maar consistentie moet het doel zijn.
Een geharmoniseerde aanpak van cybersecurity is essentieel om de wereldwijde cybersecurity te kunnen verbeteren. Cybersecuritymiddelen zijn schaars, zowel bij overheden als in het bedrijfsleven. Alle overbodige of inconsistente activiteiten of eisen kunnen middelen weghalen op de plaatsen waar beveiliging echt nodig is. Dit kan de mogelijkheden beperken om goed te kunnen reageren op de continu veranderende cyberbedreigingen. Er is coördinatie nodig, niet alleen in de EU. Het is daarom belangrijk dat de lidstaten, de Commissie, het Parlement en het Europees Agentschap voor Netwerk- en Informatiebeveiliging (Enisa) de dialoog met overheden en bedrijven buiten Europa blijft voeren. Op deze manier wordt er voor een maximale uniformiteit gezorgd bij het vormgeven van de NIB-richtlijn.
Veel strategieën en activiteiten die EU-lidstaten nu moeten gaan ontwikkelen, hebben een enorm potentieel om het niveau van cybersecurity te verbeteren, als ze maar goed en met voldoende middelen worden geïmplementeerd. Zo is het Csirt-netwerk een belangrijke aanvulling op de internationale Csirt-Cert-community. Bedrijven als Palo Alto Networks werken samen met een groot aantal Csirt’s binnen de EU en de Navo en wil ook graag samenwerken met anderen die nu de eerste stappen zetten, zodat we hen zo goed mogelijk op weg kunnen helpen. Wat van groot belang is, is dat de richtlijn de Csirt’s uit lidstaten aanmoedigt om deel te nemen aan internationale samenwerkingsnetwerken naast het Csirt-netwerk uit de richtlijn.
Cybersecuritybedreigingen zijn internationaal en door samen te werken met Csirt’s uit de hele wereld, kunnen we kennis en middelen bundelen om deze gezamenlijke bedreigingen aan te pakken. De richtlijn eist ook dat lidstaten nationale NIB-strategieën hebben, waarin onder meer cybervoorlichting en bewustwording zijn opgenomen. Dit is heel belangrijk voor bedrijven. Op deze manier kunnen ze worden geholpen bij het analyseren en managen van hun cyberrisico’s. Ook burgers kunnen worden geholpen, zodat zij zichzelf beter kunnen beschermen tegen online dreigingen.
De richtlijn vraagt van lidstaten dat zij zorgen voor competente autoriteiten met adequate technische, financiële en menselijke middelen, zodat ze hun taken effectief en efficiënt kunnen uitvoeren. De cybersecuritymiddelen zijn bij alle overheden schaars, maar we hopen dat lidstaten hier wel alle mogelijke middelen voor vrijmaken. Samenwerking is hierbij de sleutel. De richtlijn geeft Enisa diverse rollen. Zo moet het bijvoorbeeld lidstaten helpen bij het ontwikkelen van hun strategieën en het opzetten van Csirt’s. Als lidstaten ook gebruik gaan maken van de expertise uit het bedrijfsleven, kunnen we met zijn allen de cybersecurity in een hoog tempo gaan verbeteren.
We roepen Europese beleidsmakers op om cybersecurity voorop en centraal te stellen. De activiteiten die de diverse lidstaten moeten ondernemen om de richtlijn te implementeren zullen verschillen. Met name Duitsland, Frankrijk en Nederland werken al jaren aan cybersecurity en hebben vóór de NIB-richtlijn al eigen cybersecuritywetten voorgesteld of aangenomen. In deze landen zijn er misschien maar kleine aanpassingen nodig om te voldoen aan de minimumeisen uit de richtlijn, als ze überhaupt al nodig zijn. Andere lidstaten kunnen in grotere mate profiteren van de adviezen in de richtlijn. Uiteindelijk komt het erop neer dat hoe meer alle EU-lidstaten het gezamenlijke niveau kunnen verhogen, des te meer de wereldwijde digitale infrastructuur daarvan zal profiteren.
Danielle Kriz, global policy director bij Palo Alto Networks