Op 7 februari 2013 hebben EU commissarissen Kroes, Malmström en Ashton tijdens een persconference twee voorstellen voor Cybersecurity richtlijnen gepresenteerd. Het gaat om richtlijnen met de titels ‘concerning measures to ensure a high common level of network and information, security across the Union’ (in de wandelgangen het ‘Network and Information Security directive’) en ‘CyberSecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace’.
In de voorstellen wordt het melden van beveiligingsincidenten en datalekken door organisaties bij een nationale toezichthouder verplicht gesteld. De lidstaten dienen hiervoor een Computer Emergency Readiness Team (CERT) op te zetten en onderling informatie over beveiligingsincidenten uit te wisselen.
Aan een verplichte melding van datalekken werd in Nederland al langer gewerkt. De uitwerking en behandeling hiervan is echter uitgesteld in afwachting van het Europese voorstel.
De voorstellen bieden helaas nog wel ruimte voor interpretatie, bijvoorbeeld over welke incidenten precies moeten worden gemeld. Ook is over de classificatie van incidenten nog discussie mogelijk. Zo wordt als voorbeeld van ‘grote’ beveiligingsincidenten gesproken over het uitvallen van een online boekingsdienst voor hotelkamers.
De richtljnen zijn onderdeel van de Digitale Agenda van de Europese Commissie. De aankondiging hiervan is terug te lezen in een persbericht van de EC. Wanneer de nieuwe regels precies van kracht worden is nog niet duidelijk. Dit hangt af van goedkeuring door het Europese Parlement, waarna de lidstaten no 18 maanden hebben om te richtlijnen om te zetten in lokale wet- en regelgeving.