De Europese Unie heeft de afgelopen jaren diverse wetgeving genomen om de digitale weerbaarheid te versterken. Nieuwe wetgeving zoals NIS2, DORA, CER, CSA en CRA zijn uitgevaardigd om Europa cyberveiliger te maken. Maar wat houden deze cybersecurity wetten precies in? Op wie zijn ze van toepassing? En hoe dragen ze bij aan een verhoogde cyberweerbaarheid? Hieronder geven we een overzicht van deze wetten, hun impact en hoe ze de basis willen vormen voor een veilig digitaal Europa.
Het Digitale Decennium: fundament voor een cyberveilige EU
In 2021 lanceerde de Europese Commissie een ambitieus plan voor een Digitaal Decennium (Digital Decade), met als doel Europa tegen 2030 digitaal onafhankelijk en weerbaar te maken. Dit plan richt zich op het versterken van digitale infrastructuur, bedrijven en diensten, met een sterke nadruk op cyberweerbaarheid. Om veilig digitaal te kunnen opereren, moeten de basiscomponenten – digitale producten, diensten en netwerken – goed beveiligd zijn.
De nieuwste Europese cyberwetten bieden een solide juridisch kader om deze veiligheid te waarborgen. Deze wetten richten zich op de beveiliging van diverse sectoren, van kritieke infrastructuren tot financiële diensten en digitale producten, om het risico op cyberaanvallen te verminderen. Hieronder bespreken we de vijf belangrijkste wetten: NIS2, DORA, CER, CSA en CRA, en hoe ze elkaar aanvullen.
Het wetgevend kader rond cybersecurity in de EU
Hieronder lichten we per wet het toepassingsgebied toe, de belangrijkste kenmerken en de inwerkingtreding. Voor een goed begrip: Europese wetgeving wordt vastgelegd in de vorm van een richtlijn (directive) of verordening (regulation of act). Verordeningen zijn direct van toepassing in alle EU lidstaten. Richtlijnen moeten eerst worden omgezet in de nationale (zoals Belgische) wetgeving.
- Toepassingsgebied van NIS2: Kritieke sectoren zoals energie, vervoer, bankwezen, financiële markten infrastructuur, gezondheidszorg, drinkwater, afvalwater, beheer van ICT-diensten (bv. datacenters en cloudproviders) overheid, ruimtevaart, digitale aanbieders etc.
- Wat is het doel van NIS2? De NIS2 is een vervolg op de NIS-richtlijn uit 2016 en legt een groter aantal entiteiten in kritieke sectoren op om strengere cyberveiligheidsmaatregelen. De sancties voor de niet naleving worden aangescherpt en ook bestuurders van deze entiteiten kunnen persoonlijk aansprakelijk worden gesteld.
- Inwerkingtreding van NIS2: NIS2 diende uiterlijk op 17 oktober 2024 worden omgezet in de wetgeving van de EU-lidstaten. In België werd de omzettingswet op 18 april 2024 goedgekeurd en op 17 mei 2024 gepubliceerd in het Belgisch Staatsblad. Deze NIS2-wet is op 18 oktober 2024 in België in werking getreden.
- Toepassingsgebied: Financiële instellingen (zoals banken, verzekeraars), beheerders van beleggingsfondsen, maar ook ICT-dienstverleners die kritieke diensten leveren aan deze financiële entiteiten (zoals aanbieders van clouddiensten en datarapporteringsdiensten).
- Wat is het doel van DORA? Deze verordening wil de operationele digitale weerbaarheid van de financiële sector vergroten, met eisen voor risicobeheer en incidentrapportage. Financiële instellingen moeten bovendien hun digitale veerkracht regelmatig laten testen en moeten strenge eisen stellen aan hun keuze voor ICT-leveranciers.
- Inwerkingtreding van DORA: DORA is op 16 januari 2023 in werking getreden en is vanaf 17 januari 2025 van kracht geworden.
CER: Critical Entities Resilience (Richtlijn weerbaarheid van kritische entiteiten)
- Toepassingsgebied: Entiteiten die essentiële entiteiten leveren in sectoren zoals energie, vervoer, bankwezen, infrastructuur van de financiële markt, volksgezondheid, drinkwater, afvalwater, digitale infrastructuur (waaronder elektronische communicatienetwerken en datacenters die ook onder NIS2 vallen), overheidsinstanties, ruimtevaart en levensmiddelenbedrijven.
- Wat is het doel van CER? Deze richtlijn wil kwetsbaarheden beperken en de fysieke weerbaarheid versterken van kritieke entiteiten in de EU (tegen onder meer natuurrampen en door de mens veroorzaakte rampen) teneinde de onbelemmerde verlening van deze diensten te waarborgen. Deze entiteiten dienen risicoanalyses uit te voeren en passende maatregelen te nemen om hun weerbaarheid te vergroten.
- Inwerkingtreding: De CER diende uiterlijk op 17 oktober 2024 worden omgezet in de wetgeving van de EU lidstaten. België heeft deze deadline alvast niet gehaald. In het Belgisch Parlement wordt momenteel wel een wetsvoorstel besproken tot wijziging van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, alsook van het uitvoeringsbesluit van die wet, met het oog op een betere beschikbaarheid en continuïteit van de werking van kritieke infrastructuur in de deelsector elektriciteit van de energiesector.
CSA: Cybersecurity Act (Verordening Cyberbeveiliging)
- Toepassingsgebied van de CSA: Fabrikanten en aanbieders van ICT-producten, -diensten en -processen binnen de EU.
- Wat is het doel van de CSA? Deze verordening introduceert een vrijwillig Europees certificeringskader voor de cyberbeveiliging van ICT-producten, -diensten en -processen. Deze verordening bepaalt ook de taken van ENISA, het Agentschap van de Europese Unie voor cyberbeveiliging
- Inwerkingtreding van CRA: De CSA is sinds 27 juni 2019 van toepassing in alle EU-lidstaten. In januari 2024 werd een Uitvoeringsverordening gepubliceerd die op 27 februari 2025 van toepassing wordt.
- Toepassingsgebied van de CRA: Fabrikanten en ontwikkelaars van producten met digitale elementen die op de EU-markt worden aangeboden.
- Wat is het doel van de CRA? CRA heeft tot doel de cyberbeveiliging van hardware- en softwareproducten te verbeteren door eisen te stellen bij het ontwerp en de ontwikkeling van dergelijke producten. Het legt fabrikanten ook de verplichting op om kwetsbaarheden gedurende de gehele levenscyclus van het product aan te pakken.
- Inwerkingtreding van de CRA: De CRA is op 10 decemner 2024 in werking getreden en wordt de komende 3 jaren van kracht zodat de verordening vanaf eind 2027 volledig van toepassing zal zijn.
