Wat is NIS2? Alles wat u moet weten over de EU-richtlijn inzake cyberbeveiliging
De NIS2-richtlijn is een EU-richtlijn die de cyberweerbaarheid van Europese lidstaten en bedrijven versterkt door middel van strengere regels. De richtlijn heeft betrekking op de implementatie van beveiligingsmaatregelen voor een betere IT-bescherming, evenals beveiligingscontroles en snelle meldingskanalen voor cyberbeveiligingsincidenten. Hoewel het Verenigd Koninkrijk de richtlijn niet implementeert omdat het niet langer gebonden is aan EU-wetgeving, is het een goed idee om hiervan op de hoogte te zijn als u zaken doet binnen de EU.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn van de Europese Unie heeft tot doel de weerbaarheid tegen cyberdreigingen in essentiële en belangrijke infrastructuren van de lidstaten te verbeteren. De afkorting NIS2 staat voor ‘Network and Information Security 2’. Toen deze richtlijn op 16 januari 2023 van kracht werd, verving zij de vorige NIS1-richtlijn, die al een verschuiving in de aanpak van IT-beveiliging teweeg had gebracht.
Om maximale bescherming te garanderen in zowel de particuliere als de publieke sector van de EU-lidstaten, introduceert de nieuwe NIS2-richtlijn uitgebreidere en strengere regels voor een bredere doelgroep. Op deze manier moeten de nieuwe regels zorgen voor een grotere cyberweerbaarheid en effectievere maatregelen tegen cyberdreigingen en inbreuken op de veiligheid. NIS2 heeft ook tot doel ervoor te zorgen dat essentiële instellingen die de bevolking voorzien van vitale goederen of diensten, worden beschermd tegen storingen en onderbrekingen in geval van een crisis.
Het belangrijkste doel van NIS2 is om bedrijven beter voor te bereiden op cyberaanvallen en efficiënt en snel te reageren op IT-storingen. Een meer consistente beveiligingsstrategie in de EU-lidstaten moet daarom zorgen voor de hoogst mogelijke cyberbeveiliging op zowel nationaal als internationaal niveau in de EU. Alle lidstaten moeten de richtlijn omzetten in nationale wetgeving, wat gevolgen heeft voor grote bedrijven en kleine en middelgrote ondernemingen die onder de nieuwe regelgeving vallen.
Wat verandert er door de NIS2-richtlijn?
De verplichting om de NIS2-richtlijn ter versterking van de cyberveiligheid (NIS2UmsuCG) ten uitvoer te leggen, brengt ingrijpende veranderingen met zich mee in 18 verschillende sectoren. Zo worden onder meer meer dan twee keer zoveel sectoren als essentieel aangemerkt en is de lijst met boetes voor niet-naleving aangescherpt. Bovendien zullen ook directeuren aansprakelijk worden gesteld.
In Duitsland, Spanje, Italië en Frankrijk bijvoorbeeld zal de NIS2-richtlijn gevolgen hebben voor duizenden bedrijven. In Duitsland zullen tot 40.000 bedrijven aan de nieuwe richtlijn moeten voldoen en in Italië ongeveer 50.000 bedrijven. In Spanje zullen ongeveer 25.000 bedrijven onder de nieuwe richtlijn vallen, terwijl in Frankrijk meer dan 10.000 entiteiten zullen worden getroffen.
Hier volgt een overzicht van alle wijzigingen die de NIS2-richtlijn met zich meebrengt:
- Uitbreiding van het toepassingsgebied van essentiële sectoren: NIS2 classificeert nog meer sectoren als essentieel.
- Strengere sancties: de richtlijn voorziet in aanzienlijk hogere boetes voor overtredingen.
- Verantwoordelijkheid van leidinggevenden: leidinggevenden zijn nu rechtstreeks verantwoordelijk voor de naleving van cyberbeveiligingsvoorschriften.
- Uitgebreide toepassingsgebieden: de NIS2-richtlijn is van toepassing op bedrijven met meer dan 50 werknemers of een omzet van meer dan 10 miljoen euro en op sommige bedrijven, ongeacht hun omvang.
- Noodzaak van uitgebreide risicoanalyses: bedrijven zijn verplicht om grondige risicoanalyses uit te voeren.
- Vereist risico- en veiligheidsbeheer: Er gelden strenge eisen voor risicobeheer en veiligheidsmaatregelen. Diverse beschermende maatregelen, zoals penetratietests, hardwarefirewalls en back-upstrategieën, zijn verplicht.
- Verplicht crisisbeheer: In geval van beveiligingsincidenten zijn snelle en effectieve crisisbeheerstrategieën, communicatiekanalen en rapportagesystemen vereist.
- Gebruik van bestaande beveiligingsprotocollen: Bedrijven kunnen bestaande beveiligingsnormen uit gereguleerde sectoren als referentie gebruiken.
Voor wie geldt de NIS2-richtlijn?
NIS2 maakt een onderscheid tussen bedrijven in de uitgebreide essentiële categorie en de belangrijke categorie, die volledig nieuw is. Bedrijven met meer dan 50 werknemers of een jaaromzet van 10 miljoen euro of meer worden hierdoor rechtstreeks getroffen. Daarnaast kunnen bedrijven ook onder NIS2 vallen, ongeacht hun omvang, als hun faillissement tot systeemrisico’s leidt. De categorie ‘essentieel’ omvat bedrijven uit elf sectoren, waaronder met name bedrijven met kritieke infrastructuur die van vitaal belang zijn voor de overheid en de samenleving. De categorie ‘belangrijk’ is op zijn beurt van toepassing op zeven sectoren die systeemrelevant zijn.
Essentiële sectoren en bedrijven
- Energie
- Watervoorziening
- Vervoer
- Bankwezen
- Financiële marktinfrastructuren
- Gezondheidszorg
- Ruimtevaart
- Riolering
- Overheid
- Digitale infrastructuur
- ICT-servicemanagement (B2B)
Belangrijke sectoren en bedrijven
- Post- en koeriersdiensten
- Afval
- Chemische industrie
- Voedselvoorziening
- Digitale dienstverleners
- Industrie (verwerking/productie)
- Onderzoek (optioneel)
Welke verplichtingen gelden voor bedrijven?
Als onderdeel van NIS2 zijn bedrijven onderworpen aan strenge verplichtingen en ingrijpende veranderingen. Deze omvatten:
| Verplichtingen | Maatregelen |
|---|---|
| Risicobeheer en bedrijfscontinuïteitsbeheer (§30, 31) | Versleuteling, meervoudige authenticatie, cryptografie, cyberhygiëne, roltoewijzing en toegangscontrole, back-upbeheer en systeemherstel, beveiliging van de toeleveringsketen en risicoanalyses zijn verplicht. De minimumvereisten variëren afhankelijk van de omvang van het bedrijf dankzij de ‘size cap’-regel. |
| Rapportage- en meldingsverplichtingen (§32, 35) | Significante beveiligingsincidenten moeten binnen 24 uur aan de autoriteiten worden gemeld. De eerste beoordelingen moeten na 72 uur beschikbaar zijn. Binnen een maand moet een gedetailleerd eindrapport worden ingediend. |
| Registratieverplichtingen (§33, 34) | Getroffen organisaties en domeinnaamregistratiedienstverleners moeten uiterlijk drie maanden na de inwerkingtreding van NIS2 informatie indienen bij de verantwoordelijke autoriteiten. Als niet aan de registratieverplichting wordt voldaan, kan deze ook worden vervuld door een CSIRT (Computer Security Incident Response Team). |
| Goedkeurings-, toezichts- en opleidingsverplichtingen voor directeuren (§38) | Het delegeren van veiligheidsmaatregelen door het management is niet langer voldoende. Het management moet de nodige maatregelen actief goedkeuren en is gedeeltelijk verplicht om opleidingen te verstrekken. |
| Toezichts- en handhavingsmaatregelen (§61, 62) | Een van de CSIRT’s zal naar verwachting optreden als toezichthoudende autoriteit voor de naleving van de vereiste maatregelen. Op zijn vroegst drie jaar na de inwerkingtreding van NIS2 heeft de toezichthoudende autoriteit de mogelijkheid om bewijs van naleving van de verplichtingen te vragen. Bij dreigend gevaar kunnen maatregelen worden opgelegd. |
Om in een vroeg stadium aan uw verplichtingen als betrokken onderneming te voldoen, dient u de volgende maatregelen te nemen:
- ACTUELE en DOELANALYSE: Controleer of u onderworpen bent aan de NIS2-verplichtingen en bepaal de status quo van de cyberweerbaarheid van uw bedrijf en mogelijke verbeterpunten.
- Implementatie: Voor alle informatiesystemen moeten risicoanalyses en beveiligingsconcepten worden geïntroduceerd.
- Evaluatie: De effectiviteit van de risicobeheersingsmethoden van uw bedrijf moet regelmatig worden geëvalueerd.
- Opstellen: Het is verplicht om een concept te ontwikkelen voor het omgaan met beveiligingsincidenten.
- Back-up en crisisbeheer: Er moeten maatregelen voor gegevensback-up en crisisbeheer worden geïmplementeerd.
- Meldingssysteem: Er moet een effectief meldingssysteem voor beveiligingsincidenten worden opgezet.
- Opleiding: Medewerkers moeten regelmatig worden opgeleid.
- Beveiliging van de toeleveringsketen: De beveiliging in de toeleveringsketen moet worden gewaarborgd.
Wat gebeurt er als NIS2 niet wordt geïmplementeerd?
Bedrijven die de voorgeschreven maatregelen niet implementeren, kunnen aanzienlijke boetes verwachten (§65). In overeenstemming met NIS2 krijgen de toezichthoudende autoriteiten uitgebreide toezichts-, controle- en instructiebevoegdheden, waaronder het afdwingen van deadlines. Bovendien krijgen directeuren aanzienlijk meer verantwoordelijkheid voor beschermings- en veiligheidsmaatregelen en kunnen zij persoonlijk aansprakelijk worden gesteld in geval van overtredingen of nalatigheid (§38, §61).
Wanneer treedt de NIS2-richtlijn in werking?
Op 14 december 2022 hebben het Europees Parlement en de Raad Richtlijn (EU) 2022/2555, bekend als de NIS2-richtlijn, aangenomen. Deze richtlijn brengt ingrijpende wijzigingen aan in de eIDAS-verordening (EU) nr. 910/2014 en de EECC-richtlijn (EU) 2018/1972. De richtlijn is officieel in werking getreden op 16 januari 2023 en vervangt de NIS-richtlijn. Alle EU-lidstaten moeten de richtlijn uiterlijk op 17 oktober 2024 in nationaal recht omzetten.
In verschillende landen zijn verschillende autoriteiten verantwoordelijk voor de uitvoering van de richtlijn. In Frankrijk bijvoorbeeld leidt ANSSI (Nationaal Agentschap voor Informatiebeveiliging) de implementatie en heeft het zelfs Mon Espace NIS 2 gelanceerd, een digitale dienst die entiteiten ondersteunt bij de implementatie van de richtlijn. In Duitsland is het BSI (Federaal Bureau voor Informatiebeveiliging) de verantwoordelijke autoriteit en in Spanje houdt het CCN-CERT (Nationaal Cryptologisch Centrum) toezicht op cyberbeveiligingsmaatregelen en ziet het toe op de naleving ervan.