Inzicht in de NIS2-richtlijn: Een uitgebreide gids voor EU-organisaties
Een grensverleggende nieuwe EU-verordening. NIS2 zal het Europese cybersecurity landschap voorgoed veranderen voor zowat 160.000(!) ondernemingen uit verschillende (maatschappelijk) relevante sectoren. Maar welke verschuivingen veroorzaakt NIS2 juist? Welk effect heeft het op het reilen en zeilen van je onderneming en klanten en, de hamvraag, zijn jij en je bedrijf klaar voor NIS2?
De Richtlijn inzake netwerk- en informatiesystemen (NIS), aangenomen in 2016, was de eerste EU-wetgeving op het gebied van cyberbeveiliging. Het had als doel de veiligheid van kritieke sectoren en essentiële diensten in de hele EU te verbeteren door gemeenschappelijke normen en vereisten voor exploitanten en providers vast te stellen. Sindsdien is het digitale landschap enorm geëvolueerd, met nieuwe bedreigingen, technologieën en kansen. De COVID-19-pandemie benadrukte bovendien ook het belang van veerkrachtige en veilige digitale systemen.
Daarom stelde de Europese Commissie in december 2020 een herziening van NIS-richtlijn (NIS2) voor als onderdeel van haar bredere cyberbeveiligingsstrategie. De NIS2-richtlijn, kort voor Network and Information Security Directive Version 2, zal haar voorganger op 18 oktober 2024 vervangen. Deze EU-richtlijn heeft tot doel de cyberbeveiligingspraktijken in de lidstaten te verbeteren en te harmoniseren, en omvat een breder toepassingsgebied dan de oorspronkelijke NIS-richtlijn.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is een wetgevingshandeling van de Europese Unie die doelen vaststelt die alle EU-landen moeten bereiken om hun cyberbeveiliging te verbeteren. In tegenstelling tot verordeningen zoals GDPR, zijn de vooropgestelde richtlijnen hier niet rechtstreeks van toepassing op de lidstaten. Elk land moet de richtlijn omzetten in zijn eigen nationale wetgeving. Deze aanpak biedt flexibiliteit in de uitvoering, maar vereist gecoördineerde inspanningen voor consistentie.
Uitgebreide scope en sectoren
De scope van NIS2 is verregaand en omvat meer dan 160.000 organisaties. Het doel is om de handhaving van cyberbeveiliging in de hele EU te standaardiseren en de veerkracht op mondiale schaal te verbeteren. NIS2 heeft nu 18 sectoren in scope, waarvan 11 als zeer kritisch worden beschouwd. Deze zijn:
- Energie
- Transport
- Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg
- Ruimtevaart
- Overheid
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten (B2B)
Daarnaast zijn er 7 andere sectoren die als kritisch worden beschouwd:
- Post- en koeriersdiensten
- Afvalbeheer
- Productie, verwerking en distributie van chemicaliën
- Productie, verwerking en distributie van voedsel
- Productie
- Onderzoeksfaciliteiten
- Digitale providers zoals marktplaatsen en sociale mediaplatforms
Is je organisatie actief binnen een van deze 18 sectoren en tel je meer dan 50 werknemers of draai je meer dan €10 miljoen omzet, val je waarschijnlijk binnen de NIS2-scope. Kleine en micro-organisaties zijn over het algemeen niet in scope, tenzij ze deel uitmaken van een groter netwerk of kritieke rollen vervullen.
Belangrijke maatregelen en meldingsverplichtingen
NIS2 beschrijft twee hoofdgebieden als focus: risicobeheersingsmaatregelen en incidentmeldingsverplichtingen.
- Risicobeheer: Organisaties moeten basispraktijken voor cyberbeveiliging aannemen, waaronder regelmatige beoordelingen, handhaving van beveiligingsbeleid, procedures voor incidentbeheer, beveiliging van de toeleveringsketen, continuïteitsplanning en omgaan met kwetsbaarheden.
- Incidentmelding: Incidenten met een significante impact moeten binnen 24 uur na detectie worden gemeld met een eerste beoordeling. Een gedetailleerd rapport is binnen 72 uur vereist, gevolgd door maandelijkse voortgangsrapporten totdat het incident is opgelost.
Sancties bij niet-naleving
Sancties onder NIS2 zijn ontworpen om hoge normen voor cyberbeveiliging in de hele EU te waarborgen. Ze omvatten:
- Bindende instructies en waarschuwingen
- Administratieve boetes tot €10 miljoen of 2% van de wereldwijde jaarlijkse omzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten
Deze sancties benadrukken het belang van naleving en de mogelijke gevolgen van het negeren van cyberbeveiligingsverplichtingen.
Hoe bereid ik me voor op NIS2?
Om je voor te bereiden op NIS2-naleving, kunnen organisaties kiezen tussen naleving van de ISO 27001-standaard of het Cyber Fundamentals-framework, aangeboden door het Centrum voor Cybersecurity België (CCB). Dit framework biedt tools en middelen om cyberbeveiligingsmaatregelen te beoordelen en te verbeteren, waardoor je voorbereiding op NIS2-vereisten kan waarborgen.
Het Cyber Fundamentals-framework combineert erkende standaarden zoals ISO 27001, NIST Cybersecurity Framework, CIS Controls en IEC 62443 voor industriële controlesystemen.
Tijdlijn en implementatie van NIS2
De tijdlijn voor de implementatie van NIS2 is als volgt:
- Lidstaten zijn momenteel bezig met het opstellen van nationale wetgeving.
- De wet en het koninklijk besluit worden uiterlijk op 17 oktober 2024 gepubliceerd en treed de volgende dag in werking.
- Organisaties moeten binnen 18 maanden na de inwerkingtreding van de nationale wetgeving compliant zijn.
SecWise als partner voor je NIS2 journey
De NIS2-richtlijn is een belangrijke stap richting uniforme cyberbeveiliging in de EU. Door de scope uit te breiden en de strikte nalevingsvereisten op te leggen, wil de EU het cyberbeveiligingslandschap zoveel mogelijk versterken. Heb je nog begeleiding of ondersteuning nodig in je NIS2 journey? Neem dan contact op met onze NIS2-experts!