Met nieuwe wetgeving willen de Europese Commissie en Nederland de digitale weerbaarheid van Europese bedrijven en consumenten vergroten. Zo is eerder dit jaar al de Network & Information Systems Directive (NIS2) overal in de EU in werking getreden en wordt hard gewerkt aan de nieuwe Cyber Resilience Act (CRA). Maar wat betekenen deze Europese richtlijnen voor de cybersecurity van lidstaten? Op de tweedaagse internationale cybersecurity conferentie ONE Conference in Den Haag gaan verschillende toonaangevende sprekers uitgebreid in op de nieuwe wetgeving. De ONE Conference in het World Forum in Den Haag wordt georganiseerd door het ministerie van Economische Zaken en Klimaat (EZK), het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid en de gemeente Den Haag. Met de ONE Conference willen zij samenwerking en kennisdeling op het gebied van cybersecurity stimuleren en faciliteren.
Cybersecurity is één van de meeste relevante onderwerpen op de mondiale agenda. Nu en in de toekomst. Wat speelt er nu, wat kunnen we de komende jaren verwachten en misschien wel de belangrijkste vraag: hoe kunnen we ons wapenen en weerbaar maken tegen cyberdreigingen, van criminele of statelijke actoren?
Zo ging op 16 januari 2023, de nieuwe EU-richtlijn NIS2 officieel in werking. Dat betekent dat EU-lidstaten tot oktober 2024 de tijd hebben om deze opvolger van de eerste NIS – Network & Information Systems Directive – om te zetten in nationale wetgeving. Wat de NIS2 precies betekent voor lidstaten als Nederland en waarom de wet zo belangrijk is, legt Lorena Boix-Alonso uit in haar keynote speech op de ONE. Als directeur van de Digital Society, Trust and Cybersecurity voor de Europese Commissie is ze nauw betrokken bij de ontwikkeling en invoering van de Europese cybersecuritywet.
Geen ruimte voor vrijblijvendheid
“De NIS2 verplicht lidstaten de taken en verantwoordelijkheden van organisaties en bedrijven rondom cybersecurity steviger in de wet te verankeren en de naleving hiervan te controleren”, aldus Boix-Alonso. Ze stelt dat de NIS2 cruciaal is om een digitaal weerbaar Europa te realiseren. “Het landschap van cyberdreigingen evolueert snel in de huidige geopolitieke omgeving. Met de NIS2 wil de EU een stevig Europees cybersecurity beleidskader bouwen. Europese lidstaten, bedrijven en organisaties zijn hierdoor verplicht het niveau van hun cybersecurity te verhogen. Voor vrijblijvendheid is geen ruimte meer in het cyberdomein, daarvoor zijn de mogelijke gevolgen van een cyberaanval te ernstig. Dat betekent werk aan de winkel”, stelt Boix-Alonso. “Alle lidstaten moeten echt aan de slag om te zorgen dat ze de NIS2 snel omzetten naar hun nationale wet- en regelgeving.”
Kennis en kunde samenvoegen
Minister Dilan Yeşilgöz-Zegerius (Justitie en Veiligheid): “Cybercriminelen en vijandige staten worden steeds slimmer en effectiever in het digitaal stelen van geld en informatie of het saboteren van organisaties en processen die belangrijk zijn voor onze samenleving. Die dreiging zal niet snel afnemen nu aan de oostgrenzen van de EU oorlog is. In aanloop naar de NIS2 pakken we door op alle maatregelen, waarmee we onze digitale veiligheid kunnen versterken. Daarom moeten we onze kennis en kunde van DTC, CSIRT-DSP en NCSC samenvoegen om te zorgen dat we deze kwaadwillende een stap voorblijven. De vernieuwde organisatie wordt gefundeerd op de sterke eigenschappen van de huidige organisaties. Dit stelt de nieuwe nationale cyberautoriteit in staat om alle organisaties in Nederland, groot of klein, publiek of privaat, vitaal of niet-vitaal van passende informatie en kennis te voorzien en hulp te bieden bij incidenten. Ik ben dan ook blij dat de organisaties al zoveel mogelijk samenwerken zodat we ons ook nu al beter kunnen weren tegen cyberaanvallen.”
Minister Micky Adriaansens (Economische Zaken en Klimaat) benadrukt dat door de toegenomen en steeds complexere cyberdreigingen deze integratie van NCSC en DTC cruciaal is. “Het belang van digitale weerbaarheid voor onze maatschappij en economie neemt steeds verder toe. Bijvoorbeeld als het internet het niet doet door een cyberaanval, daardoor de winkels leeg zijn of zelfs industriële productie uitvalt. Digitale apparaten en systemen bieden economische kansen en consumentengemak, maar maken ons ook kwetsbaar. We verhogen daarom de wettelijke cybereisen aan apparaten en diensten zelf. Maar investeren ook in kennisdeling en expertise bij grootschalige incidenten. Dat werkt het beste met één overheidsloket waar organisaties en ondernemingen ondersteuning kunnen krijgen.”
Meer Europese cybersecuritywetgeving
NIS2 is niet de enige nieuwe Europese cybersecuritywet waar landen en bedrijven mee te maken krijgen. Zo wordt in Europa ook gewerkt aan de Cyber Resilience Act (CRA). Deze wet verplicht fabrikanten om alle hard- en softwareproducten die zij in Europa op de markt brengen voorzien van voldoende cyberbeveiliging. “De CRA moet ervoor zorgen dat bedrijven de beveiliging van producten met digitale elementen serieus aanpakken en producten ontwikkelen met minder cyberkwetsbaarheden”, aldus ondernemer en softwareontwikkelaar Bert Hubert. Hubert zal op de ONE uitgebreid ingaan op de CRA, evenals andere nieuwe Europese wetgeving zoals de EU Digital Operational Resilience Act en Cyber Solidarity Act.