Het aantal sectoren dat verplicht wordt om cyberincidenten te melden en maatregelen moet nemen om netwerk- en informatiesystemen te beveiligen, wordt hoogstwaarschijnlijk uitgebreid. De verantwoordelijke EU-ministers hebben daar vrijdag een akkoord over bereikt.

Op dit moment worden alleen aanbieders van essentiële diensten (zoals banken, drinkwaterbedrijven en de energiesector) hiertoe verplicht. Als het voorstel ook wordt goedgekeurd door het Europees Parlement en de Europese Commissie, betekent het dat de regels voor meer sectoren gaan gelden.

Het is dan de bedoeling dat dezelfde richtlijnen in 2022 worden ingevoerd voor zogenoemde "belangrijke aanbieders", zoals partijen die actief zijn in de voedselproductie en -distributie en post- en koeriersdiensten. Bij de essentiële diensten is het toezicht proactief, bij de belangrijke aanbieders vindt het toezicht achteraf plaats naar aanleiding van een incident.

"Digitale veiligheid regelen is in eerste instantie ieders eigen verantwoordelijkheid", zegt demissionair minister Stef Blok (Economische Zaken). "Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor de maatschappij en economie. Denk aan recente gevallen zoals lege supermarktschappen of een stilgevallen industriële productie. Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen."