20 feb '23
Er gaat de laatste tijd – terecht – steeds meer aandacht naar de bescherming van digitale netwerken, informatiesystemen en de apparaten die daarmee verbonden zijn. Vooral vanuit Europa zijn, of komen, er veel nieuwe regels. Interessant om te zien is dat, bij die nieuwe regelgeving ook steeds meer aandacht is voor de ‘overlap’ tussen digitale én fysieke beveiliging van de vitale infrastructuur.
Wij gaan hierna in op twee ontwikkelingen op dat gebied. De eerste ontwikkeling betreft de nieuwe richtlijn voor kritieke entiteiten, en de tweede ontwikkeling wordt besproken in het kader van de bescherming van de ‘Noordzee infrastructuur’. Zie daarover bijvoorbeeld het bericht van de AIVD en de MIVD die heel concreet wijzen op het gevaar van sabotage van de Noordzee-infrastructuur.
Tegelijk met de NIS2-richtlijn en de DORA is ook de nieuwe richtlijn ‘weerbaarheid kritieke entiteiten’ gepubliceerd eind december 2022 (in het Engels afgekort als CER ‘Critical Entities Resilience’)¹. En dat betekent dat ook voor deze richtlijn de implementatietermijn inmiddels loopt. Deze richtlijn past in de ontwikkeling van Europese wetten en regels over de beveiliging van de vitale infrastructuur van de Europese lidstaten.
De CER-richtlijn en de NIS2 zullen in de praktijk vaak op elkaar aansluiten, of zelfs overlappen. Hierbij is de gedachte dat de CER-richtlijn de fysieke en niet-cyber gerelateerde weerbaarheid moet vergroten, en dat de NIS2-richtlijn de digitale cyber gerelateerde weerbaarheid moet versterken van de vitale infrastructuur van de Europese Unie.
Kort samengevat; fysieke weerbaarheid bij de CER en digitale weerbaarheid bij de NIS2. Maar zo constateerde ook de Europese wetgever; fysieke en digitale beveiliging hebben steeds meer raakvlakken.
De nieuwe CER-richtlijn schrijft verplichtingen voor waaraan kritieke entiteiten moeten voldoen, en waarop lidstaten ook toezicht en handhaving moeten inrichten inclusief sancties.
Kritieke entiteiten moeten bijvoorbeeld maatregelen nemen om incidenten te voorkomen, de gevolgen van incidenten beperken of die helpen om adequaat te herstellen als er zich toch een incident heeft voorgedaan.
Daarnaast schrijft de CER-richtlijn voor dat incidenten moeten worden gemeld binnen 24 uur, gevolgd door een gedetailleerd verslag uiterlijk een maand later.
Voor nu wordt volstaan met dit overzicht. Ook omdat de CER-richtlijn tal van uitzonderingen kent die van invloed zijn op de eerder genoemde Europese cyberwetten. Voor dit moment willen wij met deze bijdrage graag wijzen op het landschap aan ontwikkelingen.
Vaak gaat het dan om ‘Europese blik’ op wet- en regelgeving. Maar steeds vaker zijn er ook op nationaal niveau regels die gaan over de bescherming van de vitale infrastructuur. En in dat kader staan wij nu kort stil bij de bescherming van de Noordzee-infrastructuur.
Zeker na het incident met de Nordstream 2 gaspijpleiding was er meer aandacht voor de bescherming van de vitale infrastructuur in de Noordzee. Maar eerder is ook al aandacht gevraagd voor dit onderwerp, door bijvoorbeeld het HCSS en door een motie in de Tweede Kamer.
Op 8 februari 2023 heeft het kabinet een brief gestuurd naar de Tweede Kamer over dit onderwerp. In die brief gaat het kabinet in op de ‘gezamenlijke strategie voor de bescherming van de Noordzee-infrastructuur’.
In de kabinetsbrief wordt stilgestaan bij de diverse domeinen die worden bestreken door de ‘gezamenlijke strategie’. In het nationale (Nederlandse) kader wordt bijvoorbeeld stilgestaan bij de diverse publieke en private partijen die betrokken zijn bij de bescherming van de Noordzee-infrastructuur:
Bijzonder is dat in de ‘gezamenlijke strategie’ – in het kader van de bescherming van de Noordzee-infrastructuur –wordt gewezen op het belang van de NIS2- en de CER-richtlijn. En dat maakt het voor veel partijen nog belangrijker om van die regelgeving goed op de hoogte te zijn.
Wilt u daarom meer weten over de CER- en NIS2-richtlijn? Wij gaan graag met u in gesprek over de (mogelijke) juridische gevolgen voor uw bedrijf.
¹ Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad
Contact
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
27 sep 24
13 sep 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.