De beveiliging van persoonsgegevens
Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.5.4:7.3.5.4 Het voorstel voor een nieuwe NIB-richtlijn
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.5.4
7.3.5.4 Het voorstel voor een nieuwe NIB-richtlijn
Documentgegevens:
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS661005:1
- Vakgebied(en)
Privacy (V)
Deze functie is alleen te gebruiken als je bent ingelogd.
In 2020 is een voorstel gedaan voor een nieuwe NIB-richtlijn. De voorgestelde richtlijn beoogt het eerder neergezette juridische kader te moderniseren en enkele gebreken van de NIB-richtlijn te herstellen.1 Dit moet onder andere tot een beter geharmoniseerd systeem leiden en tot een hogere mate van veerkracht in de praktijk.2 In het voorstel staan de begrippen ‘essentiële dienstverleners’ en ‘digitaledienstverleners’ niet langer centraal. De eisen van de NIB-richtlijn zouden ook voor andere partijen moeten gaan gelden, de zogenoemde ‘belangrijke entiteiten’ (zoals post- en koerierdiensten, afvalbeheer, voedingsproductie etc).3
Op het gebied van beveiliging bevat het voorstel nog slechts één verplichting. Het schrijft voor dat lidstaten moeten garanderen dat essentiële en belangrijke entiteiten passende en evenredige technische en organisatorische maatregelen treffen om de risico’s te beheersen aangaande de beveiliging van de netwerken en informatiesystemen die zij bij het verlenen van hun diensten gebruiken. De maatregelen moeten, met inachtneming van de stand der techniek, een beveiligingsniveau waarborgen dat gezien de risico’s passend is.4 Het voorstel bepaalt verder dat dit in ieder geval inhoudt dat:
er een risicoanalyse moet worden verricht;
er informatiesysteembeveiligingsprotocollen worden opgesteld;
er een plan ligt dat beschrijft hoe met beveiligingsincidenten wordt omgegaan (op het gebied van preventie, opsporing en response);
er wordt gekeken naar de continuïteit van de onderneming en crisisbeheer;
de toeleveringsketen (o.a. met dienstverleners en leveranciers) wordt beveiligd;
de netwerk- en informatiesystemen worden onderhouden en beveiligd (ook in de ontwikkelfase) en dat kwetsbaarheden worden beveiligd (en bekendgemaakt);
dat er beleid en procedures bestaan om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te boordelen, en
dat er cryptografie en versleuteling wordt toegepast.
In hoeverre lidstaten ook daadwerkelijk zullen moeten voorschrijven dat deze maatregelen worden getroffen, is op dit moment echter nog onduidelijk.