NIS2-richtlijn

Wat is NIS2?

De EU-richtlijn NIS2 is bedoeld om de cyberbeveiligingsveerkracht binnen de EU te versterken door consistente regels vast te stellen voor bedrijven, en waarschuwingen en boetes op te leggen aan entiteiten die de vereisten niet naleven. Er worden ook maatregelen voorgeschreven voor back-upbeheer, noodherstel, risicoanalyse, toeleveringsketenbeveiliging en meer. Het is van toepassing op twee categorieën entiteiten, namelijk essentiële sectoren en belangrijke entiteiten. Lidstaten hebben 20 maanden om de richtlijn om te zetten in nationaal recht. Organisaties zijn verplicht om de vereisten nauwgezet te volgen, anders riskeren ze waarschuwingen of boetes van maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet.

Wat is het doel van deze richtlijn?

In vergelijking met de eerste NIS-richtlijn is het doel van de NIS2-richtlijn om de vereisten en sancties van cyberbeveiliging uit te breiden om het beveiligingsniveau in de lidstaten te harmoniseren en te stroomlijnen – en met strengere vereisten voor verschillende sectoren.
De Onderzoeksdienst van het Europees Parlement (EPRS) vertelt dat vanwege het feit dat cyberaanvallen wereldwijd snel in aantal toenemen en ook in schaal, kosten en complexiteit toenemen:

“de Commissie dit voorstel heeft ingediend ter vervanging van de oorspronkelijke NIS Richtlijn en daarmee de beveiligingseisen aanscherpen, de beveiliging van toeleveringsketens aanpakken, rapportageverplichtingen stroomlijnen en strengere toezichtmaatregelen en strengere handhavingseisen invoeren.”

Moet ik er aan voldoen?

• Energie (elektriciteit, stadsverwarming, olie, gas en waterstof)
• Transport (lucht, spoor, water en weg)
• Bankwezen (kredietinstellingen)
• Financiële marktinfrastructuren (financiële markten)
• De gezondheidssector (zorgverleners en fabrikanten van geneesmiddelen, enz.)
• Drink- en afvalwater
• Digitale infrastructuur (waaronder aanbieders van clouddiensten, datacenters, domeinnaamsystemen (DNS), top-level domeinregistraties (TLD) en openbare communicatienetwerken)
• Informatie- en communicatiedienstverleners (ICT-diensten)
• Aanbieders van beheerde diensten en beheerde beveiligingsdiensten
• Overheid
• Ruimtevaart

De ‘belangrijke entiteiten’ omvatten publieke en private entiteiten binnen:

• Post- en koeriersdiensten
• Afvalbeheer
• Fabricage, productie en distributie van chemicaliën
• Produceren, verwerken en distribueren van voedsel
• Productie van o.a. elektronica, machines en motorvoertuigen
• Aanbieders van bepaalde digitale diensten (online marktplaatsen en zoekmachines en sociale netwerkdiensten)
• Aanbieders van bepaalde digitale diensten (online marktplaatsen en zoekmachines en sociale netwerkdiensten)

Kortom: als je een bedrijf bent die een dienst levert die essentieel is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, bijvoorbeeld een transportbedrijf, word je volgens de wet geclassificeerd als een “operator van essentiële diensten”.

Wat moet ik dan doen?

De huidige NIS-richtlijn vereist dat de betrokken entiteiten passende en evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheersen en de schade in geval van een beveiligingsincident te beperken.
De NIS2-richtlijn zet deze eis voort en stelt aanvullende eisen voor passende beveiligingsmaatregelen, die nu minimaal moeten omvatten:

• Afhandeling van incidenten
• Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel en crisisbeheer
• Beleid voor risicoanalyse en informatiebeveiliging
• Beleid en procedures voor het beoordelen van de effectiviteit van maatregelen om cyberveiligheidsrisico’s te beheersen
• Beleid voor het gebruik van cryptografie en encryptie
• Beveiliging van de toeleveringsketen, inclusief leveranciersbeheer/beveiliging
• Beveiliging in verband met aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen
• Beveiliging van werknemers, toegangscontrole en activabeheer
• Het beveiligen van interne communicatiesystemen.
• Richtlijnen voor basistraining ‘computerhygiëne’ en cyberbeveiliging

Governance

Met de NIS2-richtlijn worden de governance bepalingen aangescherpt, omdat de verantwoordelijkheid voor overtreding van de NIS2-richtlijn niet alleen bij de rechtspersoon wordt gelegd, maar bij het management zelf.

Het management moet dus de door de entiteit genomen risicobeheersmaatregelen met betrekking tot cyberbeveiliging goedkeuren en toezicht houden op de implementatie en het onderhoud.

Om voldoende competenties te waarborgen, moeten managementleden regelmatig specifieke cursussen volgen om de nodige kennis, inzicht en vaardigheden te verwerven om cyberbeveiligingsrisico’s en beheers praktijken en hun impact op de activiteiten van de entiteit te begrijpen en te beoordelen.