Europese wetgeving rond digitale weerbaarheid: wat is op wie van toepassing?

    - / 6 December 2024

    Cyberaanvallen en datalekken zijn de dagelijkse realiteit van onze moderne samenleving. Voor bedrijven, consumenten en overheden is digitale weerbaarheid dan ook cruciaal geworden. De Europese Unie heeft de afgelopen jaren stevige maatregelen genomen om deze weerbaarheid te verbeteren.

    Nieuwe wet- en regelgeving zoals NIS2, DORA, CER, CSA en CRA hebben allemaal als doel om Europa veiliger te maken. Maar wat houden deze wetten precies in, wie vallen eronder, en hoe werken ze samen om cyberweerbaarheid te verhogen? In dit blog geven we je een overzicht van deze wetgevingen, hun impact, en hoe ze de basis vormen voor een veilig digitaal Europa.

    In eerdere blogs besteedden we al aandacht aan de verschillende facetten van het ambitieuze plan van de Europese Unie voor een digitaal decennium (digital decade). Het digitaal decennium gaat over een visie op een digitale maatschappij met een menselijke maat en veel nieuwe en vernieuwde stukken wetgeving.

    De Digital Decade: basis voor een veilig Europa

    In 2021 lanceerde de Europese Commissie de Digital Decade, met als ambitie om Europa digitaal onafhankelijk en weerbaar te maken tegen 2030. Dit plan, dat de digitale infrastructuur, bedrijven en diensten sterker moet maken, legt sterk de nadruk op cyberweerbaarheid. Want om veilig digitaal te kunnen werken, moet de basis – de digitale producten, diensten en netwerken – goed beveiligd zijn.

    De nieuwste Europese cyberwetten bieden een stevig juridisch kader om deze veiligheid te waarborgen. Die wetten zijn gefocust op de beveiliging van alles: van kritieke infrastructuren tot financiële diensten en digitale producten, om het risico van cyberaanvallen te verminderen. Hieronder leggen we uit hoe de vijf belangrijkste wetten: NIS2, DORA, CER, CSA en CRA, elkaar aanvullen.

    De nieuwe Europese cyberwetten uitgelegd

    Hieronder bespreken we per wet het toepassingsgebied, wat de belangrijkste kenmerken zijn en wanneer ze in werking treden. Een stukje context: stukken Europese wetgeving worden gegoten in de vorm van een richtlijn of verordening. Verordeningen (acts) werken direct door in de nationale wetgeving. Richtlijnen (directives) moeten voor werking omgezet worden naar nationale wetgeving.

    NIS2: Network and Information Security 2 Richtlijn

    • Van toepassing op? – Kritieke infrastructuren zoals energie, vervoer, gezondheidszorg, waterlevering en digitale dienstverleners (onder andere datacenters en cloud- providers). Maar ook ruimtevaart, digitale aanbieders en overheden.
    • Wat doet de NIS2? – De NIS2 bouwt voort op de oorspronkelijke NIS-richtlijn (2016) met strengere eisen voor cyberveiligheidsmaatregelen en een breder toepassingsgebied. Het vraagt ook meer verantwoordelijkheid bij bestuurders van bedrijven en organisaties en scherpt de sancties voor het niet-naleven van de richtlijn aan.
    • Inwerkingtreding – In november 2022 is de richtlijn goedgekeurd in Europa. Lidstaten hadden tot 17 oktober 2024 de tijd om deze om te zetten naar nationale wetgeving. In Nederland is dit de cyberbeveiligingswet (niet definitief).Nederland heeft de deadline niet gehaald. De verwachting is dat in het derde kwartaal van 2025 de cyberbeveiligingswet van kracht gaat. Op dat moment moeten organisaties aan de verplichtingen voldoen, maar organisaties waar de NIS2 op van toepassing is kunnen nu al wel van de rechten gebruik maken wanneer ze daar behoefte aan hebben.

    DORA: Digital Operational Resilience Act

    • Van toepassing op? – Financiële instellingen zoals banken, verzekeraars, beleggingsondernemingen en ICT-dienstverleners in deze sector.
    • Wat doet de DORA? – Deze verordening richt zich op de operationele digitale weerbaarheid van de financiële sector, met eisen voor risicobeheer en incidentrapportage. Daarnaast moeten financiële instellingen regelmatig testen uitvoeren op hun digitale veerkracht en strengere eisen stellen aan hun ICT-leveranciers.
    • Inwerkingtreding – De DORA is in december 2022 goedgekeurd en is vanaf 17 januari 2025 van kracht. Dat betekent dat bedrijven en instellingen waar de DORA op van toepassing is aan de verplichtingen moeten doen.

    CER: Critical Entities Resilience Richtlijn

    • Van toepassing op? – Kritieke infrastructuren zoals energie, vervoer, gezondheidszorg en overheidsdiensten. Het gaat om minder sectoren dan in de NIS2, maar wanneer de CER van toepassing is op een organisatie dan moet de organisatie oók voldoen aan de NIS2.
    • Wat doet de CER? – Deze richtlijn beschermt zowel de fysieke als digitale infrastructuur. Organisaties moeten risicoanalyses en beveiligingsplannen maken voor verstoringen, of die nu door cyberaanvallen of andere bedreigingen ontstaan. Organisaties moeten pas aan de CER voldoen wanneer ze daadwerkelijk door de overheid worden aangewezen als een kritieke entiteit.
    • Inwerkingtreding – Net als de NIS2 is de CER goedgekeurd in december 2022 en moest de CER uiterlijk 17 oktober 2024 omgezet zijn naar nationale wetgeving. In Nederland gaat het om de Wet Weerbaarheid Kritieke Entiteiten (niet definitief). Ook hier heeft Nederland de deadline niet gehaald en wordt er verwacht dat de wet pas in 2025 wordt aangenomen.

    CSA: Cyber Security Act

    • Van toepassing op? – Alle sectoren die IT-producten, -diensten en -processen aanbieden binnen de EU.
    • Wat doet de CSA? – De CSA introduceert een vrijwillig Europees certificeringsschema, waarmee bedrijven hun producten of diensten kunnen laten certificeren volgens Europese beveiligingsstandaarden. Ook biedt het een grotere rol voor ENISA (het Europese agentschap voor cybersecurity) bij de ontwikkeling van certificeringsschema’s.
    • Inwerkingtreding – De verordening is sinds juni 2019 van kracht, maar certificeringsschema’s worden voortdurend verder ontwikkeld en uitgebreid.

    CRA: Cyber Resilience Act

    • Van toepassing op? – Fabrikanten en leveranciers van producten met digitale elementen, zoals software, hardware en IoT-apparaten die in de EU worden verkocht.
    • Wat doet de CRA? – De CRA introduceert verplichte cyberbeveiligingsvereisten voor alle producten met digitale elementen. Dit omvat security by design waarbij fabrikanten moeten garanderen dat producten veilig ontworpen en onderhouden worden. Er is een meldplicht voor kwetsbaarheden en updates gedurende de hele levensduur van het product.
    • Inwerkingtreding – Onlangs is de definitieve tekst van de CRA goedgekeurd. Wanneer deze officieel is gepubliceerd zal de overgangsperiode in gaan. De overgangsperiode duurt 36 maanden. Daarna moeten organisaties voldoen aan de verplichtingen.

    Samenhang tussen de wetten: het totale cyberweerbaarheidsraamwerk

    Elke wetgeving heeft een specifiek doel en toepassingsgebied, maar samen vormen deze wetten en bepalingen een samenhangend en complementair geheel om cyberweerbaarheid te bevorderen. Verder hebben alle wetten ook met elkaar gemeen dat ze van een risicogebaseerde aanpak uitgaan. Alles bij elkaar samen beschouwd zijn er een aantal hoofdthema’s te onderscheiden:

    1. De bescherming van producten (CRA) en de bescherming van netwerken en infrastructuren (NIS2, DORA en CER)

    De CRA richt zich op de beveiliging van producten zelf, zodat ze minder kwetsbaar zijn voor cyberaanvallen. De NIS2, de DORA en de CER pakken de beveiliging van netwerken, systemen en infrastructuren aan waarin de producten worden gebruikt. Hierdoor wordt zowel het product als het netwerk waarin het draait, beschermd tegen cyberdreigingen.

    1. De verantwoordelijkheid van fabrikanten (CRA) en de verantwoordelijk van organisaties (NIS2, DORA, CER)

    Uit de CRA volgt dat de verantwoordelijkheid voor veilige producten bij de fabrikanten ligt. Bij de andere wetten ligt de verantwoordelijkheid voor veilige systemen en netwerken bij de organisaties die de producten gebruiken. Dit zorgt voor een gelaagde aanpak waarbij zowel de aanbieders van producten als de gebruikers verantwoordelijkheid vragen.

    1. Certificering (CSA) en verplichte veiligheidseisen (CRA)

    De CSA biedt een vrijwillig certificeringsschema voor producten en diensten, terwijl de CRA verplichte veiligheidsvereisten introduceert voor alle digitale producten. Hierdoor ontstaat er een minimumstandaard in de EU, maar bedrijven kunnen ervoor kiezen om hun producten extra te certificeren om hun beveiligingsclaims te versterken.

    1. Sectorgerichte en productgerichte aanpak

    Waar de NIS2, de DORA en de CER zich op specifieke sectoren richten, kijkt de CRA direct naar de digitale producten. Dit biedt een brede basis voor cyberveiligheid door ervoor te zorgen dat de producten die in sectoren zoals gezondheidszorg, vervoer en energie gebruikt worden, voldoen aan hoge cyberbeveiligingseisen.

    Een gelaagde aanpak voor een cyberweerbare EU

    De Europese cyberregelgeving vormt een solide raamwerk voor een digitaal veilige EU. Door het gelaagde karakter vullen de verschillende wetten elkaar aan en creëren ze een gebalanceerde aanpak waarbij producten, netwerken, systemen en kritieke sectoren allemaal beschermd zijn. De NIS2, de DORA en de CER zorgen ervoor dat sectoren robuust genoeg zijn om cyberdreigingen aan te kunnen. De CRA biedt een verplichte basisbeveiliging voor digitale producten, terwijl de CSA een extra optie biedt voor vrijwillige certificering.

    Voor organisaties betekent dit dat ze niet alleen moeten zorgen voor veilige producten, maar ook de bredere netwerken en systemen moeten beveiligen. Dit zorgt voor meer transparantie en vertrouwen bij consumenten en legt een solide basis voor de EU als digitale koploper in de Digital Decade. Cyberweerbaarheid is geen keuze meer, maar een noodzakelijke investering voor de toekomst.

    Heb je hulp nodig om jouw organisatie cyberweerbaar te maken? Huur een Certified Cybersecurity Compliance Officer (CCCO®) in. Onze Certified Cybersecurity Compliance Officers ondersteunen organisaties bij het beschermen van kritieke informatie en het naleven van steeds complexere wet- en regelgeving. 

    Meer informatie
    Terug naar overzicht

    Melanie van Leeuwen

    Compliance Consultant
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram