Europees recht en beleid

Laatste update: 26 februari 2024

Contact: en


Cybersecurity is een verzamelnaam voor de verschillende soorten handelingen die bedoeld zijn om netwerk- en informatiesystemen en de gebruikers daarvan te beschermen tegen cybercriminaliteit. Cybercriminaliteit is criminaliteit met het internet en ICT als middel én als doelwit, zoals malware, hacking of phishing mails.

Waarom is cybersecurity belangrijk?

Nederland is een van de meest gedigitaliseerde samenlevingen van Europa. Digitaal werken, winkelen, een rijbewijs aanvragen, een verhuizing doorgeven, financiën doen; alles kan online. Daarom moeten burgers en bedrijven ervan uit kunnen gaan dat zij dit veilig kunnen doen. De Europese economie, democratie en samenleving zijn dus meer dan ooit afhankelijk van wat er gebeurt in de digitale wereld. Dit betekent dat de gevolgen bij een platlegging van een cruciaal digitaal systeem, bijvoorbeeld een hackaanval op banken of elektriciteit- of drinkwaterdistributiesystemen, des te groter zal zijn.

Toch blijft de veiligheid van de digitale wereld achter bij die van de fysieke wereld. Veel (digitale) systemen, diensten en processen zijn namelijk niet ontworpen met cybersecurity en risicomanagement als fundament (security-by-design en security-by-default). Dit heeft als gevolg dat de eindgebruikers verantwoordelijk zijn voor de veiligheid.

Om de digitale samenleving veiliger te maken is de Nederlandse overheid druk bezig met het opstellen van nieuwe wet- en regelgeving. Zo is het onder andere opgenomen in de Werkagenda Waardengedreven Digitaliseren en ligt er een Nederlandse cybersecurity strategie klaar voor 2022-2028. Dit betekent dat ons de komende jaren veel te wachten staat op- dit gebeid. Om goed op de hoogte te blijven van nieuwe wet- en regelgeving kunt onze tijdlijn in de gaten houden.

Decentrale Overheden

Ook decentrale overheden krijgen te maken met cybercriminaliteit. Decentrale overheden verwerken bijvoorbeeld veel persoonsgegevens en cybercriminelen kunnen dit gebruiken om online fraude te plegen. Daarnaast digitaliseren gemeenten steeds meer. Het is daarom  belangrijk dat gemeenten hun netwerk op de juiste manier  beveiligen. Een goed beveiligde cyberspace draagt bij aan het draaiende houden van de online economie en het waarborgen van de welvaart. Het is goed dat gemeenten, provincies of waterschappen nagaan wat zij kunnen doen voor een zo goed mogelijk beveiligde cyberspace. Denk bijvoorbeeld aan het nemen van een aantal basismaatregelen, opgesteld door het Nationaal Cyber Security Centrum (NCSC).

Europees beleid voor cybersecurity

De Europese Unie is al enige tijdbezig met het nemen van acties ter bescherming tegen cybercriminaliteit. Er zijn binnen Europa verschillende initiatieven ondernomen. Zo heeft de EU verschillende strategieën en richtlijnen gepubliceerd met als doel de digitale veiligheid van burgers, bedrijven en overheden te waarborgen.

Europese cybersecuritystrategie

In december 2020 heeft de Commissie een nieuwe cybersecuritystrategie gepresenteerd. Deze strategie heeft als doel om Europa beter bestand te maken tegen cyberdreigingen zodat burgers, bedrijven en overheden kunnen profiteren van betrouwbare digitale instrumenten. De strategie omvat drie doelstellingen:

  1. Weerbaarheid, technologische soevereiniteit en leiderschap;
  2. Operationele capaciteit opbouwen om te voorkomen, te ontmoedigen en te reageren op cybercriminaliteit;
  3. Een mondiale en open cyberspace bevorderen via een intensievere samenwerking.

Met de strategie wil de Commissie internationale normen en standaarden in de cyberspace promoten.

Cyberbeveiligingsverordening

In 2019 werd de Cyberbeveiligingsverordening (2019/881) gepubliceerd. Deze verordening zorgt voor een EU-breed kader voor certificeringsregelingen. De wet bevat technische eisen, normen en procedures voor de gehele EU. Daarmee wordt gegarandeerd dat alle gecertificeerde ICT-producten en -diensten zijn geëvalueerd en voldoen aan de beveiligingsvoorschriften. Daarnaast zorgt de verordening voor een sterker mandaat voor het EU-agentschap voor cybersecurity (ENISA). Dit agentschap is opgericht om lidstaten en belanghebbenden te ondersteunen op het gebied van cybersecurity. Daarnaast draagt het actief bij aan het Europese cyberveiligheidsbeleid en reageert het op grensoverschrijdende cyberincidenten.

Dit kader zorgt voor een EU-brede standaard waar (decentrale) overheden op kunnen vertrouwen wanneer zij nieuwe ICT-producten of diensten inkopen. De Nederlandse uitvoering van de wet wordt geregeld in de Uitvoeringswet Cyberbeveiligingsverordening. De wet heeft betrekking op procedures, handhaving, rechtsbescherming en de aanwijzing van uitvoeringsorganen.

Richtlijn inzake de veerkracht van kritieke entiteiten

In de Europese cybersecurity strategie werd de Richtlijn inzake de veerkracht van kritieke entiteiten (Richtlijn 2020/829) aangekondigd, ook wel de CER genoemd. De CER vervangt de richtlijn betreffende Europese kritieke infrastructuur (ECI-richtlijn). De CER heeft als doel de werkzaamheden ter bescherming van kritieke entiteiten op drie gebieden te maximaliseren en te versnellen: paraatheid, respons en internationale samenwerking. Daarvoor moet de richtlijn ervoor zorgen dat iedere lidstaat een nationale strategie vaststelt om de weerbaarheid van kritieke entiteiten te waarborgen. Ook zorgt de richtlijn ervoor dat er regelmatig (grensoverschrijdende) risicobeoordelingen worden uitgevoerd.

Ook zullen er extra sectoren worden toegevoegd. Naast energie en transport, zullen ook voedselvoorziening, zorg, financiële marktinfrastructuur, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, bankwezen en ruimtediensten hier onderdeel van uit maken.

De richtlijn zal naar verwachting in 2023 in werking treden.

Richtlijn Netwerk- en informatiebeveiliging

Op 27 december 2022 is de definitieve Richtlijn Netwerk- en informatiebeveiliging (NIS2) (Richtlijn 2022/2555) gepresenteerd. De NIS2-richtlijn is een herziening van de NIS-richtlijn en richt zich op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De oude NIS-richtlijn was door de veranderende manier van cyberdreigingen en de digitale transformatie van de samenleving niet meer up-to-date. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden. Zo komt er een wettelijke verplichting voor informatiebeveiliging en het melden van incidenten. Ook worden toezichtmaatregelen strenger en wordt het toepassingsgebied uitgebreid naar onder meer het openbaar bestuur. Daarnaast wordt het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten opgeheven.

In Nederland zal de NIS2-richtlijn worden overgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Dit moet uiterlijk 17 oktober 2024 gebeuren. Lees meer over de NIS2-richtlijn en de betekenis hiervan voor decentrale overheden in onze praktijkvraag.

Wet inzake Cyberveerkracht

In september 2022 werd de Wet inzake Cyberveerkracht Verordening (2022/0272/EU) voorgesteld. Dit voorstel bevat beveiligingsregels voor digitale producten en diensten op de Europese markt. Het doel is om te zorgen voor veiligere hardware- en softwareproducten om consumenten en de markt verder te beschermen tegen cyberincidenten. Dit wetsvoorstel bouwt voort op de Europese Telecommunicatiecode. Ook vormt het een aanvulling op de NIS2-richtlijn en de Richtlijn inzake de veerkracht van kritieke entiteiten (CER).

Door de nieuwe regels krijgen fabrikanten de verantwoordelijkheid om ervoor te zorgen dat producten met digitale elementen die op de EU-markt worden aangeboden aan de beveiligingsvereisten voldoen. Het is echter nog onduidelijk welke rol decentrale overheden gaan spelen in het handhaven van de nieuwe maatregelen.

Nederlands beleid voor cybersecurity

Ook in Nederland is een goed cybersecuritybeleid van belang. Nederland is namelijk één van de meest gedigitaliseerde landen in Europa. De Nederlandse overheid heeft daarom verschillende initiatieven ondernomen om ervoor te zorgen dat burgers en bedrijven veilig online kunnen zijn.

Nederlandse Cybersecurity Agenda

De Nederlandse Cybersecurity Agenda (NCSA) werd in 2018 gepresenteerd. Het doel is de nationale veiligheid in het digitale domein te beschermen en tegelijkertijd de economische en maatschappelijke kansen van digitalisering op een veilige wijze te verzilveren. De agenda is onderverdeeld in zeven ambities die bijdragen aan deze doelstelling:

  1. Nederland heeft zijn digitale slagkracht op orde;
  2. Nederland draagt bij aan internationale vrede en veiligheid in het digitale domein;
  3. Nederland loopt voorop in het bevorderen van digitaal veilige hard- en software;
  4. Nederland beschikt over weerbare digitale processen en een robuuste infrastructuur;
  5. Nederland werpt door middel van cybersecurity succesvol barrières op tegen cybercrime;
  6. Nederland is toonaangevend op het gebied van cybersecurity kennisontwikkeling;
  7. Nederland beschikt over een integrale, publiek-private aanpak van cybersecurity.

In 2021 is de NCSA geëvalueerd. Hieruit bleek dat er door de NCSA een betere onderlinge afstemming binnen de publieke sector is. Door het proces rond het opstellen van de NCSA hebben betrokken partijen mee begrip gekregen voor welke zaken voor andere partijen belangrijk zijn. Echter bleek dat het voor een deel van de NCSA lastig is om een hoogwaardige effectevaluatie uit te voeren. Hiervoor zijn aanbevelingen gemaakt voor een toekomstige agenda. Het volledige rapport vindt u hier.

Nederlandse Cybersecurity Strategie 2022-2028

In 2022 werd de nieuwe Nederlandse Cybersecurity Strategie gepresenteerd. Het is zaak dat er een veilig digitaal ecosysteem wordt gecreëerd. Dit, omdat Nederland steeds afhankelijker wordt van digitale systemen. Tot voor kort lag de verantwoordelijkheid voor de veiligheid hiervan bij eindgebruikers zoals de burger en de ondernemingen. De strategie kent vijf speerpunten:

  • Beter zicht op de dreiging;
  • Meer cybersecurityspecialisten;
  • Overheid en sectoren nemen verantwoordelijkheid;
  • Beter toezicht en de noodzakelijke wet- en regelgeving;
  • Heldere informatie via een nationale cyberautoriteit.

Zo wordt het Nederlandse cybersecuritystelsel door de overheid verder doorontwikkeld en uitgebreid ten behoeve van alle overheidslagen. Ook krijgen gemeenten en provincies te maken met aangescherpte beveiligingseisen. Er wordt van hen verwacht dat zij, samen met de Rijksoverheid, het goede voorbeeld geven. Dit betekent dat zij een weerbaarheidsniveau hebben dat past bij de risico’s.

Werkagenda Waardengedreven Digitaliseren

In de Werkagenda Waardengedreven Digitaliseren worden maatschappelijke relevanties, concrete doelen en acties met betrekking tot de digitale transitie besproken. Zo wordt ook cyberveiligheid besproken. In de werkagenda wordt aangegeven dat gewerkt wordt aan de voorbereiding van wet- en regelgeving, toezicht en het verlagen van de auditlast op cyberbeveiliging die de Rijksoverheid aan medeoverheden oplegt. Zo staat er een herziene Baseline Informatiebeveiliging Overheid (BIO) op de planning voor eind 2023. Ook wordt gewerkt aan jaarlijkse overheid brede oefeningen met gesimuleerde hackaanvallen doormiddel van bijvoorbeeld Red Teaming. De toolkit Red Teaming staat al online en kunt u hier vinden.

Baseline informatiebeveiliging Overheid Agenda

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor (decentrale) overheden. Hierdoor is er één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. De BIO is te vinden op deze pagina. Gemeenten kunnen voor meer informatie ook de website van de Informatiebeveiligingsdienst van de VNG raadplegen.

Toolbox Cyberincidenten

De Toolbox Cyberincidenten bevat hulpmiddelen bij de voorbereiding op en de aanpak van een cyberincident. Het bevat scans en hulpmiddelen, tools voor bestuurders, bewustwording en interactieve spellen om te oefenen met cyberincidenten. Daarnaast is er ieder jaar een Overheidsbrede Cyberoefening, waarin alle partners in de publieke sector oefenen op crisispreparatie.

Wbni

De Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) is per 9 november 2018 in werking getreden. Hierin is de NIS-richtlijn verwerkt. Deze zal voor eind 2024 aangepast moeten zijn naar de nieuwe NIS2-richtlijn. In de Wbni wordt een meldplicht van incidenten en een zorgplicht geregeld. Ook moeten digitale dienstverleners incidenten melden bij het Computer Security Incident Response Team (CSIRT). In Nederland is het National Cyber Security Centrum (NCSC) de aangewezen CSIRT. Ook is het NCSC het nationaal contactpunt namens Nederland voor EU-lidstaten bij grensoverschrijdende cyberincidenten.