Het aantal sectoren dat verplicht wordt om passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen en ernstige cyberincidenten moet melden, wordt uitgebreid. Het gaat bijvoorbeeld om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten.
De verantwoordelijke EU-bewindspersonen, waaronder demissionair minister Blok (EZK), hebben in Brussel tijdens de Telecomraad een akkoord bereikt over dit voorstel. Op dit moment worden aanbieders van essentiële diensten zoals banken, drinkwater en energiesector onder de huidige richtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen, vallen nu al onder de richtlijn.
Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. Er vindt hierop ook toezicht plaats. In Nederland verleent het Nationaal Cyber Security Centrum bijstand en advies aan deze aanbieders en het CSIRT DSP (Computer Security Incident Response Team) doet dit voor de digitale dienstverleners.
Proactief
In de toekomstige situatie wordt het aantal sectoren fors uitgebreid. De herziene richtlijn kent dan twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële, voornamelijk partijen uit vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aan aanbieders worden naast een meldplicht ook veiligheidsmaatregelen gesteld, zoals de beveiliging van de toeleveringsketen en de afhandeling van incidenten op orde brengen.
De EU-ministers zijn akkoord gegaan met het voorstel van de Europese Commissie om de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB) te herzien. Over deze herziening (de NIB2) wordt hierna nog onderhandeld met het Europees Parlement en de Europese Commissie. Streven is een definitief akkoord in 2022, waarna lidstaten de wetgeving in eigen land kunnen aanpassen.