De Network en Information Security richtlijn 2 (de NIS2) en de vernieuwde Product Liability Directive (de PLD) zijn essentiële onderdelen van het Europese wetgevingspakket richting de Digital Decade. Een vergelijking tussen de NIS2 en de PLD is waardevol omdat beide wetgevingen gericht zijn op het beheersen van risico’s in een digitaliserende wereld. Hoewel hun primaire doelstellingen verschillen, hebben ze raakvlakken die relevant zijn voor organisaties die zowel cybersecurity moeten waarborgen als verantwoordelijkheid dragen voor productveiligheid. Hoe verhouden deze twee wetten zich tot elkaar? Moeten AI-producenten zich zorgen maken of biedt het juist kansen?
Dit blog biedt een overzicht van wat deze richtlijnen reguleren, wie eronder vallen, en bespreekt hun onderlinge verschillen en parallellen.
Network and Information Security Directive 2
De NIS2, officieel aangenomen in december 2022 en in officieel van kracht gegaan in oktober 2024, is een van de meest omvangrijke Europese wetgevingsinitiatieven op het gebied van cybersecurity. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en speelt in op de toenemende dreigingen en complexiteit van cyberaanvallen binnen de EU.
De NIS2 heeft als doel een hoog niveau van cyberweerbaarheid te waarborgen, zowel op nationaal als EU-niveau, door uniforme normen en verplichtingen op te leggen aan belangrijke economische en maatschappelijke sectoren.
Reikwijdte
De richtlijn geldt voor zowel ‘essentiële als belangrijke entiteiten’. Dit zijn organisaties die in de NIS2 zijn aangeduid als organisaties werkzaam in de energie-, gezondheidszorg- en transportsector, maar ook aanbieders van digitale infrastructuur, clouddiensten en datacenters. Bedrijven die vallen onder de categorie middelgroot of groter zijn automatisch opgenomen in de reikwijdte, met aanvullende criteria voor kleinere bedrijven die kritieke diensten leveren.
Inhoud
De NIS2 vereist dat organisaties maatregelen nemen op het gebied van risicomanagement, zoals het versterken van netwerkbeveiliging. Bovendien gelden er concrete verplichtingen zoals meldplichten (van incidenten) of zorgplichten (zoals risicoanalyses).
De NIS2 richt een raamwerk op voor samenwerking tussen nationale autoriteiten en EU-brede instanties, zoals ENISA (een agentschap van de Europese Unie dat lidstaten ondersteunt bij het versterken van hun cyberweerbaarheid) en CSIRTs (gespecialiseerde nationale teams), om snelle respons op incidenten te garanderen. Het idee is dat deze uniforme aanpak de fragmentatie van regelgeving voorkomt en een veerkrachtige digitale interne markt te creëert.
Meer informatie over de NIS2? Zie ook onze eerdere artikelen.
Product Liability Directive
De vernieuwde Product Liability Directive (PLD) is dit jaar goedgekeurd door het Europese Raad en daarmee door de wetgevingsprocedure heen. Dit wil zeggen dat bedrijven die onder de PLD vallen vanaf nu 2 jaar de tijd hebben om aan deze wetgeving te voldoen. De PLD moderniseert de regelgeving over productaansprakelijkheid binnen de EU. Technologische innovaties, zoals kunstmatige intelligentie (AI) en software-integratie in producten maken een vernieuwing van deze wet noodzakelijk. Met de PLD probeert de Europese Commissie een geharmoniseerd kader te creëren voor schadeclaims door defecte producten en hoopt zo zowel consumenten als producenten duidelijkheid en bescherming te bieden.
Reikwijdte
De PLD is van toepassing op een breed scala aan producten. Naast fysieke goederen is de richtlijn nu ook van toepassing op software en digitale componenten. Ook software geïntegreerd in andere producten of producten of componenten die afhankelijk zijn van cloudgebaseerde technologieën vallen nu onder de PLD. Dit is de reden dat deze “nieuwe” PLD de tech-wereld opschrikt: de verantwoordelijkheid die een fabrikant draagt voor een product, dat mogelijk anders wordt geïntegreerd, gaat erg ver (hierover straks meer). Het idee hierachter is dat de PLD toekomstbestendig is, en het ook technologieën die wij nog niet – letterlijk – kunnen zien aankomen, omvat.
Puur informatieve inhoud, zoals e-books of digitale media, valt buiten de reikwijdte van de richtlijn. Ook gratis open-sourcesoftware wordt uitgesloten, tenzij het commercieel wordt gedistribueerd.
Inhoud
Eén van de belangrijkste kenmerken van de PLD is het concept van risicoaansprakelijkheid. Dit betekent dat fabrikanten of leveranciers verantwoordelijk zijn voor schade veroorzaakt door defecten aan hun producten, ongeacht of ze schuld hebben. Moderne technologieën zijn vaak te complex voor consumenten om fouten aan te tonen, waardoor zij lastig de door het product ontstane schade kunnen verhalen. Deze risicoaansprakelijkheid biedt daar een oplossing voor. De PLD ondersteunt consumenten door de bewijslast deels te verschuiven. In plaats van de bewijslast bij de consument te leggen, kan deze in bepaalde gevallen overgaan naar de producent, vooral wanneer een product technisch of wetenschappelijk moeilijk te beoordelen is.
De soorten schade die onder de PLD vallen, zijn uitgebreid. Naast fysieke schade aan personen of eigendommen omvat de richtlijn nu ook digitale schade, zoals corruptie (beschadiging) van data. Het herstellen of vervangen van verloren gegevens kan bijvoorbeeld worden geclaimd als schade. Dit houdt concreet in dat een consument via de PLD de schade kan verhalen bij de veroorzaker daarvan indien het product defect is. Het begrip defectiviteit wordt bepaald door de mate van veiligheid die consumenten redelijkerwijs mogen verwachten, afhankelijk van factoren zoals het ontwerp, de beoogde functie en het gebruik van een product
Denk bijvoorbeeld aan een zelfrijdende auto waarin AI-software faalt, of een slimme thermostaat waarvan een foutieve software-update schade veroorzaakt.
Parallellen in NIS2 en PLD
Ondanks hun verschillende focus zijn er belangrijke parallellen en kruisverbanden tussen de NIS2 en de PLD, vooral in het digitale domein. Een opvallend voorbeeld is de overlap bij software en digitale producten. Als een softwareleverancier onder de NIS2 valt, bijvoorbeeld vanwege zijn rol in kritieke infrastructuren, kan diezelfde leverancier ook te maken krijgen met de PLD als defecte software schade veroorzaakt. Denk hierbij aan een AI-systeem dat door een beveiligingslek onjuiste beslissingen neemt en (fysieke) schade aanricht.
Interessant is ook dat gebruikers van producten onder de NIS2 indirect aansprakelijk kunnen worden gesteld onder de PLD. Zorginstellingen, die in hun dienstverlening afhankelijk zijn van software, kunnen worden aangesproken als een defect product schade veroorzaakt en de fabrikant niet kan worden geïdentificeerd.
NIS2-normen kunnen bovendien als maatstaf dienen in PLD-zaken. Hoewel niet alle bedrijven onder de NIS2 vallen, kunnen de gestelde normen rondom cybersecurity een positief effect hebben op de beoordeling van de productveiligheid onder de PLD. Een organisatie kan bijvoorbeeld aantonen dat zij aan de NIS2 regels voldoet om te bewijzen dat redelijke veiligheidsmaatregelen zijn getroffen. Zo versterken beide richtlijnen elkaar in de bescherming van consumenten en gebruikers tegen risico’s in een steeds verder gedigitaliseerde wereld.
Verschillen tussen NIS2 en PLD
Hoewel de NIS2 en de PLD beide een centrale rol spelen in het reguleren van risico's in een digitaal landschap, zijn hun benaderingen en doelen wezenlijk verschillend. De NIS2 richt zich voornamelijk op het voorkomen van incidenten door het versterken van de cybersecurity binnen organisaties. Het legt verplichtingen op zoals risicobeheermaatregelen, incidentrapportages en samenwerking op EU-niveau. Het doel is het beschermen van kritieke infrastructuren en diensten tegen cyberdreigingen, en het voorkomen van economische en maatschappelijke schade door dergelijke aanvallen.
De PLD daarentegen is meer reactief van aard en gericht op het afhandelen van schade na een incident. Het biedt een juridisch kader voor aansprakelijkheid wanneer defecte producten schade veroorzaken aan personen, eigendommen of digitale gegevens. In tegenstelling tot de NIS2, dat de verantwoordelijkheid legt bij entiteiten om proactief maatregelen te nemen, werkt de PLD met risicoaansprakelijkheid en is daarmee reactief.
Qua reikwijdte zijn er ook verschillen. De NIS2 dekt organisaties binnen essentiële sectoren zoals energie, transport en gezondheidszorg, en digitale infrastructuur. De PLD richt zich op producten, variërend van fysieke goederen tot digitale componenten zoals software, en het is niet beperkt tot specifieke sectoren. Bovendien houdt de NIS2 toezicht op naleving via bevoegde nationale autoriteiten, terwijl de PLD zich richt op rechtsprocedures waarbij consumenten of andere gedupeerden compensatie kunnen eisen.
Conclusie
De NIS2 en de PLD vormen samen een robuust kader dat ernaar streeft de digitale economie veiliger en betrouwbaarder te maken. Waar de NIS2 bedrijven dwingt tot een actieve rol in het beschermen van systemen tegen cyberdreigingen, biedt de PLD rechtszekerheid en bescherming aan consumenten bij schade door defecte producten. Voor bedrijven in digitale en technologisch geavanceerde sectoren is een geïntegreerde aanpak vereist om aan beide richtlijnen te voldoen. Organisaties zullen hun cybersecurity moeten versterken door risico’s te beheren, netwerken te beveiligen en incidenten te monitoren. Tegelijk moeten producten voldoen aan veiligheidsverwachtingen via grondige tests en maatregelen tegen defecten en kwetsbaarheden. Belangrijk is hierbij het bijhouden van een adequate documentatie van alle genomen stappen om naleving aan te kunnen tonen. Ook medewerkers zullen in cybersecurity en productveiligheid getraind moeten worden om risico’s vroegtijdig te herkennen. Dit zal leiden tot verbeterde cyberveiligheid en verminderde aansprakelijkheidsrisico's. Hoe beide wetgevingen uiteindelijk in de samenleving zullen landen kan echter enkel met tijd worden gezegd.
Weet jij al of de NIS2 op jouw organisatie van toepassing is? Moet jij de NIS2 nog implementeren of wil jij weten wat er nog moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan.
