De NIS2-richtlijn is een EU-richtlijn die de cy­ber­weer­baar­heid van Europese lidstaten en bedrijven versterkt door middel van strengere regels. De richtlijn heeft be­trek­king op de im­ple­men­ta­tie van be­vei­li­gings­maat­re­ge­len voor een betere IT-be­scher­ming, evenals be­vei­li­gings­con­tro­les en snelle mel­dings­ka­na­len voor cy­ber­be­vei­li­gings­in­ci­den­ten. Hoewel het Verenigd Ko­nink­rijk de richtlijn niet im­ple­men­teert omdat het niet langer gebonden is aan EU-wetgeving, is het een goed idee om hiervan op de hoogte te zijn als u zaken doet binnen de EU.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn van de Europese Unie heeft tot doel de weer­baar­heid tegen cy­ber­drei­gin­gen in es­sen­ti­ë­le en be­lang­rij­ke in­fra­struc­tu­ren van de lidstaten te ver­be­te­ren. De afkorting NIS2 staat voor ‘Network and In­for­ma­ti­on Security 2’. Toen deze richtlijn op 16 januari 2023 van kracht werd, verving zij de vorige NIS1-richtlijn, die al een ver­schui­ving in de aanpak van IT-be­vei­li­ging teweeg had gebracht.

Om maximale be­scher­ming te ga­ran­de­ren in zowel de par­ti­cu­lie­re als de publieke sector van de EU-lidstaten, in­tro­du­ceert de nieuwe NIS2-richtlijn uit­ge­brei­de­re en strengere regels voor een bredere doelgroep. Op deze manier moeten de nieuwe regels zorgen voor een grotere cy­ber­weer­baar­heid en ef­fec­tie­ve­re maat­re­ge­len tegen cy­ber­drei­gin­gen en inbreuken op de vei­lig­heid. NIS2 heeft ook tot doel ervoor te zorgen dat es­sen­ti­ë­le in­stel­lin­gen die de bevolking voorzien van vitale goederen of diensten, worden beschermd tegen storingen en on­der­bre­kin­gen in geval van een crisis.

Het be­lang­rijk­ste doel van NIS2 is om bedrijven beter voor te bereiden op cy­ber­aan­val­len en efficiënt en snel te reageren op IT-storingen. Een meer con­sis­ten­te be­vei­li­gings­stra­te­gie in de EU-lidstaten moet daarom zorgen voor de hoogst mogelijke cy­ber­be­vei­li­ging op zowel nationaal als in­ter­na­ti­o­naal niveau in de EU. Alle lidstaten moeten de richtlijn omzetten in nationale wetgeving, wat gevolgen heeft voor grote bedrijven en kleine en mid­del­gro­te on­der­ne­min­gen die onder de nieuwe re­gel­ge­ving vallen.

Wat verandert er door de NIS2-richtlijn?

De ver­plich­ting om de NIS2-richtlijn ter ver­ster­king van de cy­ber­vei­lig­heid (NIS2UmsuCG) ten uitvoer te leggen, brengt in­grij­pen­de ver­an­de­rin­gen met zich mee in 18 ver­schil­len­de sectoren. Zo worden onder meer meer dan twee keer zoveel sectoren als es­sen­ti­eel aan­ge­merkt en is de lijst met boetes voor niet-naleving aan­ge­scherpt. Bovendien zullen ook di­rec­teu­ren aan­spra­ke­lijk worden gesteld.

In Duitsland, Spanje, Italië en Frankrijk bij­voor­beeld zal de NIS2-richtlijn gevolgen hebben voor duizenden bedrijven. In Duitsland zullen tot 40.000 bedrijven aan de nieuwe richtlijn moeten voldoen en in Italië ongeveer 50.000 bedrijven. In Spanje zullen ongeveer 25.000 bedrijven onder de nieuwe richtlijn vallen, terwijl in Frankrijk meer dan 10.000 en­ti­tei­ten zullen worden getroffen.

Hier volgt een overzicht van alle wij­zi­gin­gen die de NIS2-richtlijn met zich meebrengt:

  • Uit­brei­ding van het toe­pas­sings­ge­bied van es­sen­ti­ë­le sectoren: NIS2 clas­si­fi­ceert nog meer sectoren als es­sen­ti­eel.
  • Strengere sancties: de richtlijn voorziet in aan­zien­lijk hogere boetes voor over­tre­din­gen.
  • Ver­ant­woor­de­lijk­heid van lei­ding­ge­ven­den: lei­ding­ge­ven­den zijn nu recht­streeks ver­ant­woor­de­lijk voor de naleving van cy­ber­be­vei­li­gings­voor­schrif­ten.
  • Uit­ge­brei­de toe­pas­sings­ge­bie­den: de NIS2-richtlijn is van toe­pas­sing op bedrijven met meer dan 50 werk­ne­mers of een omzet van meer dan 10 miljoen euro en op sommige bedrijven, ongeacht hun omvang.
  • Noodzaak van uit­ge­brei­de ri­si­co­ana­ly­ses: bedrijven zijn verplicht om grondige ri­si­co­ana­ly­ses uit te voeren.
  • Vereist risico- en vei­lig­heids­be­heer: Er gelden strenge eisen voor ri­si­co­be­heer en vei­lig­heids­maat­re­ge­len. Diverse be­scher­men­de maat­re­ge­len, zoals pe­ne­tra­tie­tests, hard­wa­re­fire­walls en back-up­stra­te­gie­ën, zijn verplicht.
  • Verplicht cri­sis­be­heer: In geval van be­vei­li­gings­in­ci­den­ten zijn snelle en ef­fec­tie­ve cri­sis­be­heer­stra­te­gie­ën, com­mu­ni­ca­tie­ka­na­len en rap­por­ta­ge­sys­te­men vereist.
  • Gebruik van bestaande be­vei­li­gings­pro­to­col­len: Bedrijven kunnen bestaande be­vei­li­gings­nor­men uit ge­re­gu­leer­de sectoren als re­fe­ren­tie gebruiken.

Voor wie geldt de NIS2-richtlijn?

NIS2 maakt een on­der­scheid tussen bedrijven in de uit­ge­brei­de es­sen­ti­ë­le categorie en de be­lang­rij­ke categorie, die volledig nieuw is. Bedrijven met meer dan 50 werk­ne­mers of een jaaromzet van 10 miljoen euro of meer worden hierdoor recht­streeks getroffen. Daarnaast kunnen bedrijven ook onder NIS2 vallen, ongeacht hun omvang, als hun fail­lis­se­ment tot sys­teem­ri­si­co’s leidt. De categorie ‘es­sen­ti­eel’ omvat bedrijven uit elf sectoren, waaronder met name bedrijven met kritieke in­fra­struc­tuur die van vitaal belang zijn voor de overheid en de sa­men­le­ving. De categorie ‘be­lang­rijk’ is op zijn beurt van toe­pas­sing op zeven sectoren die sys­teem­re­le­vant zijn.

Es­sen­ti­ë­le sectoren en bedrijven

  • Energie
  • Wa­ter­voor­zie­ning
  • Vervoer
  • Bankwezen
  • Fi­nan­ci­ë­le markt­in­fra­struc­tu­ren
  • Ge­zond­heids­zorg
  • Ruim­te­vaart
  • Riolering
  • Overheid
  • Digitale in­fra­struc­tuur
  • ICT-ser­vi­cema­na­ge­ment (B2B)

Be­lang­rij­ke sectoren en bedrijven

  • Post- en koe­riers­dien­sten
  • Afval
  • Chemische industrie
  • Voed­sel­voor­zie­ning
  • Digitale dienst­ver­le­ners
  • Industrie (ver­wer­king/productie)
  • Onderzoek (optioneel)

Welke ver­plich­tin­gen gelden voor bedrijven?

Als onderdeel van NIS2 zijn bedrijven on­der­wor­pen aan strenge ver­plich­tin­gen en in­grij­pen­de ver­an­de­rin­gen. Deze omvatten:

Ver­plich­tin­gen Maat­re­ge­len
Ri­si­co­be­heer en be­drijfs­con­ti­nu­ï­teits­be­heer (§30, 31) Ver­sleu­te­ling, meer­vou­di­ge au­then­ti­ca­tie, cryp­to­gra­fie, cy­ber­hy­gi­ë­ne, rol­toe­wij­zing en toe­gangs­con­tro­le, back-upbeheer en sys­teem­her­stel, be­vei­li­ging van de toe­le­ve­rings­ke­ten en ri­si­co­ana­ly­ses zijn verplicht. De mi­ni­mum­ver­eis­ten variëren af­han­ke­lijk van de omvang van het bedrijf dankzij de ‘size cap’-regel.
Rap­por­ta­ge- en mel­dings­ver­plich­tin­gen (§32, 35) Sig­ni­fi­can­te be­vei­li­gings­in­ci­den­ten moeten binnen 24 uur aan de au­to­ri­tei­ten worden gemeld. De eerste be­oor­de­lin­gen moeten na 72 uur be­schik­baar zijn. Binnen een maand moet een ge­de­tail­leerd eind­rap­port worden ingediend.
Re­gi­stra­tie­ver­plich­tin­gen (§33, 34) Getroffen or­ga­ni­sa­ties en do­mein­naam­re­gi­stra­tie­dienst­ver­le­ners moeten uiterlijk drie maanden na de in­wer­king­tre­ding van NIS2 in­for­ma­tie indienen bij de ver­ant­woor­de­lij­ke au­to­ri­tei­ten. Als niet aan de re­gi­stra­tie­ver­plich­ting wordt voldaan, kan deze ook worden vervuld door een CSIRT (Computer Security Incident Response Team).
Goed­keu­rings-, toezichts- en op­lei­dings­ver­plich­tin­gen voor di­rec­teu­ren (§38) Het delegeren van vei­lig­heids­maat­re­ge­len door het ma­na­ge­ment is niet langer voldoende. Het ma­na­ge­ment moet de nodige maat­re­ge­len actief goed­keu­ren en is ge­deel­te­lijk verplicht om op­lei­din­gen te ver­strek­ken.
Toezichts- en hand­ha­vings­maat­re­ge­len (§61, 62) Een van de CSIRT’s zal naar ver­wach­ting optreden als toe­zicht­hou­den­de au­to­ri­teit voor de naleving van de vereiste maat­re­ge­len. Op zijn vroegst drie jaar na de in­wer­king­tre­ding van NIS2 heeft de toe­zicht­hou­den­de au­to­ri­teit de mo­ge­lijk­heid om bewijs van naleving van de ver­plich­tin­gen te vragen. Bij dreigend gevaar kunnen maat­re­ge­len worden opgelegd.

Om in een vroeg stadium aan uw ver­plich­tin­gen als betrokken on­der­ne­ming te voldoen, dient u de volgende maat­re­ge­len te nemen:

  • ACTUELE en DOEL­ANA­LY­SE: Con­tro­leer of u on­der­wor­pen bent aan de NIS2-ver­plich­tin­gen en bepaal de status quo van de cy­ber­weer­baar­heid van uw bedrijf en mogelijke ver­be­ter­pun­ten.
  • Im­ple­men­ta­tie: Voor alle in­for­ma­tie­sys­te­men moeten ri­si­co­ana­ly­ses en be­vei­li­gings­con­cep­ten worden ge­ïn­tro­du­ceerd.
  • Evaluatie: De ef­fec­ti­vi­teit van de ri­si­co­be­heer­sings­me­tho­den van uw bedrijf moet re­gel­ma­tig worden ge­ë­va­lu­eerd.
  • Opstellen: Het is verplicht om een concept te ont­wik­ke­len voor het omgaan met be­vei­li­gings­in­ci­den­ten.
  • Back-up en cri­sis­be­heer: Er moeten maat­re­ge­len voor ge­ge­vens­back-up en cri­sis­be­heer worden ge­ïm­ple­men­teerd.
  • Mel­dings­sys­teem: Er moet een effectief mel­dings­sys­teem voor be­vei­li­gings­in­ci­den­ten worden opgezet.
  • Opleiding: Me­de­wer­kers moeten re­gel­ma­tig worden opgeleid.
  • Be­vei­li­ging van de toe­le­ve­rings­ke­ten: De be­vei­li­ging in de toe­le­ve­rings­ke­ten moet worden ge­waar­borgd.

Wat gebeurt er als NIS2 niet wordt ge­ïm­ple­men­teerd?

Bedrijven die de voor­ge­schre­ven maat­re­ge­len niet im­ple­men­te­ren, kunnen aan­zien­lij­ke boetes ver­wach­ten (§65). In over­een­stem­ming met NIS2 krijgen de toe­zicht­hou­den­de au­to­ri­tei­ten uit­ge­brei­de toezichts-, controle- en in­struc­tie­be­voegd­he­den, waaronder het afdwingen van deadlines. Bovendien krijgen di­rec­teu­ren aan­zien­lijk meer ver­ant­woor­de­lijk­heid voor be­scher­mings- en vei­lig­heids­maat­re­ge­len en kunnen zij per­soon­lijk aan­spra­ke­lijk worden gesteld in geval van over­tre­din­gen of na­la­tig­heid (§38, §61).

Wanneer treedt de NIS2-richtlijn in werking?

Op 14 december 2022 hebben het Europees Parlement en de Raad Richtlijn (EU) 2022/2555, bekend als de NIS2-richtlijn, aan­ge­no­men. Deze richtlijn brengt in­grij­pen­de wij­zi­gin­gen aan in de eIDAS-ver­or­de­ning (EU) nr. 910/2014 en de EECC-richtlijn (EU) 2018/1972. De richtlijn is officieel in werking getreden op 16 januari 2023 en vervangt de NIS-richtlijn. Alle EU-lidstaten moeten de richtlijn uiterlijk op 17 oktober 2024 in nationaal recht omzetten.

In ver­schil­len­de landen zijn ver­schil­len­de au­to­ri­tei­ten ver­ant­woor­de­lijk voor de uit­voe­ring van de richtlijn. In Frankrijk bij­voor­beeld leidt ANSSI (Nationaal Agent­schap voor In­for­ma­tie­be­vei­li­ging) de im­ple­men­ta­tie en heeft het zelfs Mon Espace NIS 2 ge­lan­ceerd, een digitale dienst die en­ti­tei­ten on­der­steunt bij de im­ple­men­ta­tie van de richtlijn. In Duitsland is het BSI (Federaal Bureau voor In­for­ma­tie­be­vei­li­ging) de ver­ant­woor­de­lij­ke au­to­ri­teit en in Spanje houdt het CCN-CERT (Nationaal Cryp­to­lo­gisch Centrum) toezicht op cy­ber­be­vei­li­gings­maat­re­ge­len en ziet het toe op de naleving ervan.

Ga naar hoofdmenu