Video: voorgestelde EU-cyberbeveiligingswet zou de meldingsregels voor inbreuken verstrengen

Op donderdag werden nieuwe regels over cyberbeveiliging in de Europese Unie gepresenteerd na weken van speculatie en uitgelekte concepten.

Het grootste deel van de cyberbeveiligingsstrategie van de Europese Commissie is een voorgestelde richtlijn inzake netwerk- en Informatiebeveiliging. Indien goedgekeurd door het Europees Parlement en de lidstaten, zou dit E.U. wet.

Eerdere vrijwillige inspanningen zijn tekort geschoten en hebben "veel hiaten in onze algehele cyberveiligheid" blootgelegd volgens een document van de Commissie. Momenteel zijn alleen telecombedrijven verplicht om significante beveiligingsincidenten te melden. De nieuwe richtlijn zou dit uitbreiden tot grote internetbedrijven, zoals grote cloudproviders, sociale netwerken, e-commerceplatforms en zoekmachines, de banksector en essentiële infrastructuurdiensten, waaronder energie, transport en gezondheid, evenals openbare administraties. Deze zogenaamde "Enablers van diensten van de informatiemaatschappij" moeten elke inbreuk op de beveiliging die "de continuïteit van kritieke diensten en levering van goederen aanzienlijk beïnvloedt" aan een nationale autoriteit melden. Deze autoriteit "kan vereisen dat het publiek wordt geïnformeerd", maar een openbare aankondiging is niet verplicht.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Een verordening gegevensbescherming die momenteel wordt onderzocht door de Europese Het Parlement heeft alleen betrekking op beveiligingsincidenten waarbij persoonsgegevens zijn aangetast. Daarom hoeven cyberaanvallen die niet op gegevens zijn gericht, niet te worden gerapporteerd. De nieuwe richtlijn zou dat veranderen.

Bedrijven zoals PayPal, Google, Amazon, eBay en Skype zouden de autoriteiten op de hoogte moeten brengen van alle belangrijke cyberaanvallen en andere incidenten die een aanzienlijke impact hebben op diensten, zoals natuurrampen, extreme weer en gevallen van menselijke fouten.

Commissaris voor de Digitale Agenda Neelie Kroes bekritiseerde bedrijfsmanagers die ontkennen dat cyberaanvallen plaatsvinden omdat ze zich zorgen maken over de reputatie van hun bedrijf. Cyberaanvallen komen veel voor, met statistieken die aantoonden dat 93 procent van de grote bedrijven vorig jaar een cyberaanval heeft meegemaakt, benadrukte ze.

"Aan het eind van de dag zal openheid en transparantie over uw ervaring leiden tot een betere omgeving voor alles, "zei ze.

De lidstaten zullen bepalen hoe zij de richtlijn in nationale wetgeving schrijven, zodat de sancties voor het niet melden van een incident per land kunnen verschillen.

Als onderdeel van de voorgestelde richtlijn zullen de lidstaten verplicht zijn een contactbureau aanwijzen dat verantwoordelijk is voor het delen van informatie over cyberdreigingen met andere landen, evenals het Europees Agentschap voor netwerk- en informatiebeveiliging.

Richard Archdeacon, hoofd beveiligingsstrategie bij Hewlett Packard, zei dat de voorgestelde richtlijn zou helpen bij het bouwen vertrouwen bij de consument. "Verwacht wordt dat alleen cloudcomputing de Europese economie in 2020 met Â1 biljoen zal stimuleren, maar een gebrek aan vertrouwen in de beveiliging van internet als gevolg van het alarmerende aantal kostbare aanvallen blokkeert wijdverspreide acceptatie," zei hij in een verklaring.

Europese statistieken vanaf 2012 laten zien dat internetgebruikers 18 procent minder geneigd zijn om te kopen en 15 procent minder waarschijnlijk om online bankieren te gebruiken vanwege veiligheidsrisico's. Bijna driekwart van de 160 respondenten op een online raadpleging van de Commissie zei dat de vereiste om cyberincidenten te rapporteren zou geen extra kosten met zich meebrengen, en meer dan twee derde zei dat het implementeren van een state-of-the-art risicobeheersysteem niet tot hogere kosten zou leiden.

De organisatie van het Europese telecommunicatienetwerk heeft het plan onvoorwaardelijk goedgekeurd, terwijl Het Chinese telecommunicatiebedrijf Huawei benadrukte het belang van wereldwijd werken om cyberaanvallen aan te pakken.

"Het voorstel in zijn huidige vorm zal zijn gestelde doel echter niet bereiken", waarschuwde Liam Benham, vice-president van overheidsprogramma's bij IBM Europe. "De uitdaging voor bedrijven is om het juiste beveiligingsniveau te vinden dat past bij het gepresenteerde risico. In dit opzicht is het voorstel in dit stadium wat vaag, "stemde Jörg Hladjk, associate lawyer bij Hunton & Williams in.

Het Europees Parlement zal de richtlijn nu moeten goedkeuren, dus verdere wijzigingen in de tekst zijn waarschijnlijk. Eens wet, E.U. lidstaten hebben 18 maanden om het in hun nationale wetgeving te schrijven.