Europees Parlement 2014-2019 Commissie interne markt en consumentenbescherming 8.5.2017 MEDEDELING AAN DE LEDEN (03/2017) Betreft: "Toetsing wetgeving" inzake de uitvoering van Richtlijn 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (NIS-richtlijn) Praktische regelingen Op 26 januari 2017 hebben de IMCO-coördinatoren besloten om een toetsingsronde te houden inzake de status van de uitvoering van de NIS-richtlijn. Dit is de eerste toetsingsronde sinds de richtlijn op 8 augustus 2016 formeel in werking is getreden. De toetsing zal op 11 mei 2017 in de IMCO-commissie plaatsvinden. Het plaatsvervangend afdelingshoofd van directoraat-generaal Communicatienetwerken, Inhoud en Technologie (DG CNECT) van de Europese Commissie, mevrouw Rosa Marcelo, zal het woord tot de leden van IMCO richten. De voorzitter zal daarna het woord geven aan leden die vragen aan de Commissie willen stellen, te beginnen met de voormalige rapporteur van het Parlement voor het wetgevingsdossier, te weten de heer Andreas Schwab (EPP) als "volger", gevolgd door de "schaduwvolgers" van de andere fracties, te weten Nicola Danti (S&D), Vicky Ford (ECR), Dita Charanzová (ALDE), Jan-Philipp Albrecht (Verts/ALE) en Robert Jarosław Iwaszkiewicz (EFDD). Inhoud van de toetsingsronde Na een ingewikkeld en langdurig onderhandelingsproces tussen oktober 2014 en december CM\1125418.docx PE604.662v01-00 In verscheidenheid verenigd
2015 werd de NIS-richtlijn op 6 juli 2016 door het Parlement aangenomen. De richtlijn trad op 8 augustus 2016 in werking, met 9 mei als omzettingstermijn. De aanneming van de NIS-richtlijn was een belangrijke stap richting een betere weerbaarheid op Europees niveau tegen bedreigingen van de cyberveiligheid. De werkelijke impact van deze eerste Europese rechtshandeling betreffende cyberveiligheid hangt echter grotendeels af van het succes van de omzetting en uitvoering ervan in de lidstaten. De toetsingsronde heeft tot doel de leden te informeren over de lopende omzetting en uitvoering van de richtlijn in de verschillende lidstaten, met bijzondere aandacht voor: de algemene stand van zaken met betrekking tot de omzetting/uitvoering de werkzaamheden van de samenwerkingsgroep, waaronder - Actielijn betreffende de identificatie van belangrijke aanbieders - Actielijn betreffende beveiligingsvereisten - Actielijn betreffende meldingsvereisten ontwerpuitvoeringshandeling in voorbereiding inzake de beveiligings- en meldingsvereisten van digitale diensten (art. 16, lid 8). 1. Stand van zaken met betrekking tot de omzetting/uitvoering De lidstaten hebben nog 1 jaar tot de omzettingstermijn van 9 mei. Naast het omzetten van de wetgeving zullen de lidstaten ook een procedure moeten starten om de aanbieders van essentiële diensten die onder het toepassingsgebied van de NIS-richtlijn vallen te identificeren. Ook zullen zij moeten samenwerken om tot een gezamenlijke aanpak omtrent beveiligings- en meldingsvereisten te komen. 2. Oprichting van de samenwerkingsgroep en het CSIRT-netwerk Om een strategische samenwerking en uitwisseling van informatie tussen de lidstaten tijdens de omzettingsperiode en daarna te bevorderen, voorziet de richtlijn in de oprichting van een zogenoemde samenwerkingsgroep. Deze samenwerkingsgroep zal erop toezien dat de richtlijn zowel in de verschillende sectoren als in de verschillende lidstaten op consistente wijze wordt toegepast, om zo een samenhangende aanpak te waarborgen en marktversnippering te voorkomen. De richtlijn voorziet ook in de oprichting van een CSIRT-netwerk om een soepele en doeltreffende operationele samenwerking tussen de lidstaten te bevorderen. Zowel de samenwerkingsgroep als het CSIRT-netwerk is in februari 2017 opgericht. De leden zullen de Commissie mogelijk om een update omtrent de oprichting en lopende werkzaamheden van de samenwerkingsgroep en het CSIRT-netwerk vragen. 3. Beveiligings- en meldingsvereisten voor aanbieders van essentiële diensten In de NIS-richtlijn zijn beveiligings- en meldingsvereisten opgenomen voor verschillende sectoren die van wezenlijk belang zijn voor onze economie en maatschappij en bovendien PE604.662v01-00 2/5 CM\1125418.docx
sterk afhankelijk zijn van ICT, zoals de energiesector, vervoerssector, watersector, het bankwezen, financiële marktinfrastructuren, de gezondheidszorg en de digitale infrastructuur. Entiteiten in deze sectoren die door de lidstaten zijn geïdentificeerd als aanbieders van essentiële diensten zullen adequate beveiligingsmaatregelen moeten nemen en ernstige incidenten aan de bevoegde nationale autoriteiten moeten melden. Om entiteiten in deze sectoren als aanbieders van essentiële diensten te identificeren zullen de EU-lidstaten specifieke criteria moeten gebruiken, bijvoorbeeld of de dienst in kwestie essentieel is voor de maatschappij en de economie, en of een incident aanzienlijke verstorende effecten zou hebben op de verlening van de dienst. Op grond van de richtlijn zijn de lidstaten verplicht om een lijst op te stellen van zulke essentiële diensten (artikel 5, lid 3) en om voor elke sector die essentiële diensten levert de aanbieders daarvan voor 9 november te identificeren. In de richtlijn is een aantal beschermingsmaatregelen opgenomen om een consistente aanpak van de lidstaten bij de identificatie van de aanbieders te waarborgen: er dienen gemeenschappelijke criteria en richtsnoeren voor de samenwerkingsgroep opgesteld te worden om een samenhangende werkwijze te garanderen de lidstaten zijn verplicht om elkaar te raadplegen indien een aanbieder in meer dan één lidstaat diensten verleent, om te garanderen dat zij deze op dezelfde manier behandelen en rekening houden met grensoverschrijdende afhankelijkheid men dient alle noodzakelijke informatie aan de Commissie te verstrekken opdat deze kan beoordelen of de lidstaten een consistente aanpak hanteren in het identificatieproces. De leden zullen de Commissie mogelijk om een update vragen omtrent de geboekte vooruitgang, de problemen waar men tegenaan is gelopen en de volgende stappen die de Commissie van plan is te zetten. 4. Beveiligings- en meldingsvereisten voor aanbieders van digitale diensten Op grond van de richtlijn zijn de voornaamste aanbieders van digitale diensten (zoekmachines, cloudcomputerdiensten en online marktplaatsen) verplicht om aan beveiligings- en meldingsvereisten te voldoen. Vanwege hun grensoverschrijdende rol en hun innovatieve aard binnen een snel, dynamisch digitaal ecosysteem, verschilt het regelgevingskader in dit geval echter wezenlijk van dat voor aanbieders van essentiële diensten: alle entiteiten die aan de definitie voldoen zijn automatisch onderworpen aan de beveiligings- en meldingsvereisten (geen extra identificatieproces nodig) er is sprake van één geheel van regels binnen de Unie, met één bevoegde EUautoriteit die verantwoordelijk is voor het toezicht de Commissie is bevoegd om uitvoeringshandelingen vast te stellen om ervoor te zorgen dat de voorwaarden voor de toepassing van de richtlijn beter harmoniseren De Commissie is op dit moment bezig met de voorbereiding van een ontwerpuitvoeringshandeling inzake de beveiligings- en meldingsvereisten van digitale diensten (art. 16, lid 8). Het doel is om deze uitvoeringshandeling in augustus 2017 vastgesteld te hebben. CM\1125418.docx 3/5 PE604.662v01-00
De leden zullen de Commissie mogelijk om een update vragen omtrent de geboekte vooruitgang, de problemen waar men tegenaan is gelopen en de volgende stappen die de Commissie van plan is te zetten. Meer concreet zullen de leden de Commissie mogelijk vragen om een overzicht van de ontwerpuitvoeringshandeling en de eerste reacties van de lidstaten daarop. Augustus 2016 December 2016 Februari 2017 Augustus 2017 BIJLAGE: Tijdlijn voor de uitvoering van de richtlijn - Inwerkingtreding 4 maanden Indiening van de eerste ontwerpuitvoeringshandeling waarin de procedurele regelingen zijn vastgelegd die nodig zijn voor het functioneren van de samenwerkingsgroep voor het Comité beveiliging netwerk- en informatiesystemen 1 6 maanden De samenwerkingsgroep en het CSIRT-netwerk beginnen met de uitvoering van hun taken 12 maanden Vaststelling van uitvoeringshandelingen met betrekking tot de beveiligings- en meldingsvereisten voor aanbieders van digitale diensten 2 Februari 18 maanden Samenwerkingsgroep stelt werkprogramma vast Mei 21 maanden Omzetting in nationaal recht November November Mei 2019 27 maanden De lidstaten identificeren aanbieders van essentiële diensten 27 maanden De lidstaten verstrekken de Commissie de informatie die zij nodig heeft voor de beoordeling van de uitvoering van deze richtlijn, met name omtrent de samenhang van de aanpak van de lidstaten voor de identificatie van aanbieders van essentiële diensten. 33 maanden (d.w.z. 1 jaar na de omzetting) De Commissie doet verslag van haar beoordeling aangaande de samenhang bij de identificatie van aanbieders van essentiële diensten door de lidstaten. Mei 2020 45 maanden De lidstaten bekijken de lijst van geïdentificeerde aanbieders van essentiële diensten opnieuw en werken deze indien nodig bij Mei 2021 57 maanden (d.w.z. 3 jaar na de omzetting) Evaluatie van de werking van de richtlijn door de Commissie, met bijzondere aandacht voor strategische en operationele samenwerking, evenals de reikwijdte ervan in relatie tot aanbieders van essentiële diensten en aanbieders van digitale diensten 1 Overeenkomstig artikel 11, lid 5, van de NIS richtlijn is de formele deadline voor de indiening van het eerste ontwerp 9 februari 2017. De Commissie heeft bewust voor een vroege deadline gekozen opdat de procedurele regelingen goedgekeurd kunnen worden voordat de samenwerkingsgroep officieel met de uitvoering van zijn taken begint. Op deze manier hoopt de Commissie ervoor zorgen dat de werkzaamheden van de groep vanaf het begin soepel zullen verlopen. 2 Een ruwe opzet voor de uitvoeringshandeling zal eind december 2016 / januari 2017 worden gepresenteerd aan de leden van de NIS-expertgroep (die onder meer bestaat uit vertegenwoordigers van de lidstaten die de Commissie adviseren). PE604.662v01-00 4/5 CM\1125418.docx
CM\1125418.docx 5/5 PE604.662v01-00