Strengere digitale beveiligingsregels voor overheden en belangrijke bedrijven

Er komen strengere Europese regels voor de digitale beveiliging van onder meer ziekenhuizen, overheden en belangrijke bedrijven. Nu gelden die regels enkel voor de kritieke infrastructuur en een deel van de overheid. Het Europarlement heeft daar mee ingestemd.

De regels dicteren onder meer dat organisaties na bijvoorbeeld een hack binnen 72 uur daarvan melding moeten maken. Ook kunnen ze bij nalatigheid flinke boetes krijgen, tot maximaal 2 procent van hun jaaromzet.

"Maar dan gaat het om organisaties die echt herhaaldelijk falen om hun beveiliging goed op orde te hebben", zegt Europarlementariër Bart Groothuis (VVD). Hij is als rapporteur in het Europees Parlement verantwoordelijk voor de afhandeling van de wet en spreekt over een welkome verandering.

Lege schappen

De regels gelden voor grote bedrijven in de industrie, maar ook de levensmiddelenbranche en distributie. Vorig jaar leidde een ransomware-aanval op logistiek bedrijf Bakker tot lege schappen bij onder meer Albert Heijn.

Voor kritieke bedrijven en overheden, zoals het bankwezen en internetproviders, worden de al bestaande regels strenger. Toezicht op de digitale beveiliging van die organisaties gaat vooraf plaatsvinden.

Uitwisselen

Ook wordt het makkelijker voor beveiligingsonderzoekers en organisaties om informatie over incidenten uit te wisselen. Nu is dat vaak moeilijk, omdat er dan ook persoonsgegevens worden uitgewisseld, zoals e-mailadresen en ip-adressen. Dat is nu nog niet toegestaan, maar de nieuwe regels voorzien daar wel in.

De richtlijn moet nog worden omgezet in nationale wetgeving en zal waarschijnlijk in de loop van 2024 in werking treden. "Maar organisaties moeten er echt nu al mee aan de slag", waarschuwt Groothuis.