EU introduceert nieuwe cybersecurity-richtlijn

Nederlandse bedrijven en instellingen, die essentiële diensten leveren, worden verplicht zich beter te beschermen tegen cyberaanvallen. Dit staat in de nieuwe Europese cybersecurity-richtlijn van het Europees Parlement. Ook worden de bedrijven mogelijk verplicht om cyberaanvallen te melden.

Het kabinet krijgt maximaal 21 maanden de tijd om de Europese regels om te zetten naar nationale wetgeving. Het ministerie van Economische Zaken verwacht dat ongeveer vijfduizend bedrijven en instellingen in Nederland hiermee te maken krijgen. De nieuwe EU-richtlijn heeft nog een primeur: voor het eerst kan een ceo hoofdelijk aansprakelijk worden gesteld.

De richtlijn verplicht bedrijven ook om kennis te delen over dreigingen en incidenten. “Dat is een goede ontwikkeling. Door dergelijke informatie met elkaar te delen, kunnen we ervan leren,” aldus Tugçe Serinkan, beleidsadviseur bij het Verbond. “Bedrijven die slachtoffer zijn van een ransomware-aanval, delen niet graag informatie over de aanval. Terwijl we deze informatie goed kunnen gebruiken om preventie te stimuleren en verzekeraars op basis ervan hun polissen dan verder kunnen verbeteren.” Juist cyberverzekeringen kunnen een belangrijke rol spelen in het voorkomen van incidenten, omdat verzekeraars eisen stellen aan de beveiliging van een bedrijf, hun klant.