Cybersecurity in Europa
De herziene Netwerk- en Informatiebeveiligingsrichtlijn (NIS 2)
In juli 2016 heeft de Europese wetgever de Netwerk- en Informatiebeveiligingsrichtlijn (NIS 1) aangenomen. Deze beoogt overkoepelende doelen en waarden te creëren, die bedrijven en organisaties naar eigen inzicht, maar bezien vanuit de betreffende cyberrisico’s, dienen na te streven en te bewerkstelligen. Een nieuw voorstel (NIS 2) beoogt het gemeenschappelijk niveau van cybersecurity in de Europese Unie verder te verhogen, mede wegens aanzienlijke implementatieverschillen tussen de lidstaten. In deze bijdrage worden de verschillen in kaart gebracht tussen het huidige regelgevende kader (NIS 1 en de nationale implementatie daarvan) en het toekomstige kader gericht op vier onderwerpen: toepassingsbereik, beveiligingsplicht, meldplicht en toezicht en handhaving. NIS 2 draait op al deze fronten de duimschroeven aan en vormt een belangrijke stap in de digitale strategie van de EU. Daarbij verschuift NIS 2 de verantwoordelijkheid voor cybersecurity duidelijk omhoog richting de boardroom.
De ontwikkeling van cyberveiligheid in Europa
Voorstel voor de Cyber Resilience Act
In dit artikel wordt het voorstel voor de Cyber Resilience Act (CRA) besproken. Daarnaast wordt ingegaan op de inpassing van de CRA in het regelgevend kader dat ziet op productveiligheid, digitale beveiliging, veiligheid en aansprakelijkheid. Eerst wordt daartoe het voorstel zelf op hoofdlijnen besproken. Met het voorstel wordt beoogd dat producten met digitale elementen die in de EU op de markt worden gebracht veilig(er) zijn, dat fabrikanten verantwoordelijk blijven voor de cyberbeveiliging gedurende de hele levenscyclus van een product en dat consumenten de nodige bescherming genieten. Vervolgens wordt besproken hoe de CRA zich verhoudt tot productveiligheids- en productaansprakelijkheidswetgeving. Daarna wordt ingegaan op de vraag hoe de CRA zich verhoudt tot andere EU-wetgeving en voorstellen waarnaar de CRA verwijst, namelijk de Algemene verordening gegevensbescherming (AVG), en de voorstellen voor de AI-verordening en de herziene Netwerk- en informatiebeveiligingsrichtlijn (NIS 2-richtlijn).
Inbreuken op data protection by design in de zorgsector
Leidt handhaving tot verbetering van eHealth?
De zorgsector verwerkt zeer gevoelige persoonsgegevens, waaronder gezondheidsgegevens. Bij onvoorzichtige omgang kan dit een grote impact hebben op de rechten en vrijheden van natuurlijke personen. eHealth moet daarom voldoen aan het vereiste van data protection by design. Wanneer hieraan niet is voldaan, is het zaak om handhavend op te treden ter voorkoming van datalekken. Sinds de Algemene verordening gegevensbescherming (AVG) van toepassing is, bereikten meerdere datalekken het voorpaginanieuws waarbij eHealth niet voldeed aan voornoemde verplichting. In dit artikel onderzoeken de auteurs in hoeverre de in de AVG opgenomen handhavingsmogelijkheden met bijbehorende rechtsmiddelen de bescherming van persoonsgegevens waarborgen bij de inzet van eHealth.
Eerder verschenen
NJB 9 (2023)
8 maart 2023
NJB 8 (2023)
22 februari 2023
NJB 7 (2023)
15 februari 2023
NJB 6 (2023)
8 februari 2023
NJB 5 (2023)
1 februari 2023