Het Europees Parlement is vandaag akkoord gegaan met nieuwe cybersecurityregels waardoor bedrijven die essentiële diensten aanbieden, zoals zoekmachines, cloudaanbieders, energiemaatschappen en banken, hun bescherming tegen cyberaanvallen moeten opvoeren.

De nieuwe EU-wetgeving omvat "securityverplichtingen" voor aanbieders van "essentiële diensten" in sectoren zoals energie, transport, gezondheid, bankieren en watervoorziening. EU-lidstaten zullen via speciale criteria partijen in deze sectoren moeten identificeren, waarbij wordt gekeken of de dienst in kwestie essentieel voor de maatschappij en economie is en of een incident de werking van de dienst ernstig kan verstoren.

Ook verschillende digitale aanbieders, zoals online marktplaatsen, zoekmachines en cloudaanbieders, zullen maatregelen moeten nemen om de veiligheid van hun infrastructuur te garanderen en zullen grote incidenten bij de nationale autoriteiten moeten melden. Deze security- en meldverplichtingen zullen voor deze aanbieders echter lichter zijn. Daarnaast zijn klein digitale bedrijven van deze regels vrijgesteld. Verder zullen lidstaten een netwerk van Computer Security Incident Response Teams (CSIRTs) moeten opstellen om incidenten af te handelen en grensoverschrijdende beveiligingsproblemen te bespreken.

Het Europees agentschap voor netwerk- en informatiebeveiliging (Enisa) zal een belangrijke rol bij de implementatie van de nieuwe wetgeving spelen. De nieuwe cybersecurityregels zullen binnenkort in het EU Official Journal worden gepubliceerd en twaalf dagen later van kracht worden. Lidstaten hebben vervolgens 21 maanden de tijd om de nieuwe regels in hun nationale wetgeving te verwerken en zes aanvullende maanden om aanbieders van essentiële diensten te identificeren.