Wat is NIS2? Alles wat u moet weten over de EU-richtlijn inzake cyberbeveiliging
De NIS2-richtlijn is een EU-richtlijn die de cyberweerbaarheid van Europese lidstaten en bedrijven versterkt door middel van strengere regels. De richtlijn heeft betrekking op de implementatie van beveiligingsmaatregelen voor een betere IT-beveiliging, evenals op beveiligingscontroles en snelle meldingskanalen voor cyberincidenten. Hoewel het Verenigd Koninkrijk de richtlijn niet implementeert omdat het niet langer gebonden is aan EU-wetgeving, is het raadzaam om hiervan op de hoogte te zijn als u zaken doet binnen de EU.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn van de Europese Unie heeft tot doel de weerbaarheid tegen cyberdreigingen in essentiële en belangrijke infrastructuren van de lidstaten te verbeteren. De afkorting NIS2 staat voor ‘Network and Information Security 2’. Toen de richtlijn op 16 januari 2023 van kracht werd, verving deze de eerdere NIS1-richtlijn, die al had geleid tot een verschuiving in de aanpak van IT-beveiliging.
Om een maximale bescherming te waarborgen in zowel de particuliere als de publieke sector van de EU-lidstaten, introduceert de nieuwe NIS2-richtlijn uitgebreidere en strengere regels voor een bredere doelgroep. Op deze manier moeten de nieuwe regels zorgen voor een grotere cyberweerbaarheid en een effectievere aanpak van cyberdreigingen en beveiligingsinbreuken. NIS2 heeft ook tot doel ervoor te zorgen dat essentiële instellingen die de bevolking van vitale goederen of diensten voorzien, in geval van een crisis worden beschermd tegen uitval en verstoringen.
Het belangrijkste doel van NIS2 is bedrijven beter voor te bereiden op cyberaanvallen en efficiënt en snel te reageren op IT-storingen. Een meer samenhangende beveiligingsstrategie in de EU-lidstaten moet daarom zorgen voor een zo hoog mogelijk niveau van cyberbeveiliging, zowel op nationaal als op internationaal niveau binnen de EU. Alle lidstaten moeten de richtlijn omzetten in nationale wetgeving, wat gevolgen heeft voor grote bedrijven en kleine en middelgrote ondernemingen die onder de nieuwe regelgeving vallen.
Wat verandert er door de NIS2-richtlijn?
De verplichting om de NIS2-richtlijn ter versterking van de cyberbeveiliging (NIS2UmsuCG) ten uitvoer te leggen, brengt ingrijpende veranderingen met zich mee in 18 verschillende sectoren. Zo worden onder meer meer dan twee keer zoveel sectoren als essentieel aangemerkt en is de lijst met boetes voor niet-naleving aangescherpt. Bovendien zullen ook bestuurders aansprakelijk worden gesteld.
In Duitsland, Spanje, Italië en Frankrijk bijvoorbeeld zal de NIS2-richtlijn gevolgen hebben voor duizenden bedrijven. In Duitsland zullen tot 40.000 bedrijven aan de nieuwe richtlijn moeten voldoen en in Italië ongeveer 50.000 bedrijven. In Spanje zullen ongeveer 25.000 bedrijven onder de nieuwe richtlijn vallen, terwijl in Frankrijk meer dan 10.000 entiteiten hiermee te maken zullen krijgen.
Hier volgt een overzicht van alle wijzigingen die de NIS2-richtlijn met zich meebrengt:
- Uitbreiding van het toepassingsgebied van essentiële sectoren: NIS2 classificeert nog meer sectoren als essentieel.
- Strengere sancties: De richtlijn verhoogt de boetes voor overtredingen aanzienlijk
- Verantwoordelijkheid van leidinggevenden: Leidinggevenden dragen nu de directe verantwoordelijkheid voor de naleving van cyberbeveiliging.
- Uitgebreid toepassingsgebied: De NIS2-richtlijn is van toepassing op bedrijven met meer dan 50 werknemers of een omzet van meer dan 10 miljoen euro en op sommige bedrijven ongeacht hun omvang.
- Noodzaak van uitgebreide risicoanalyses: Bedrijven zijn verplicht grondige risicoanalyses uit te voeren.
- Vereist risico- en veiligheidsbeheer: Er gelden strenge eisen voor risicobeheer en beveiligingsmaatregelen. Diverse beschermende maatregelen, zoals penetratietests, hardwarefirewalls en back-upstrategieën, zijn verplicht.
- Verplicht crisisbeheer: Snelle en effectieve strategieën voor crisisbeheer, communicatiekanalen en rapportagesystemen zijn vereist in geval van beveiligingsincidenten.
- Gebruik van bestaande beveiligingsprotocollen: Bedrijven kunnen bestaande beveiligingsnormen uit gereguleerde sectoren als referentie gebruiken.
Voor wie geldt de NIS2-richtlijn?
NIS2 maakt onderscheid tussen bedrijven in de uitgebreide categorie „essentieel“ en de categorie „belangrijk“, die volledig nieuw is. Bedrijven met meer dan 50 werknemers of een jaaromzet van 10 miljoen euro of meer worden hierdoor rechtstreeks geraakt. Daarnaast kunnen bedrijven ook onder NIS2 vallen, ongeacht hun omvang, als hun faillissement tot systeemrisico’s leidt. De categorie ‘essentieel’ omvat bedrijven uit elf sectoren, waaronder met name bedrijven met kritieke infrastructuur die van vitaal belang zijn voor de overheid en de samenleving. De categorie ‘belangrijk’ is op haar beurt van toepassing op zeven sectoren die systeemrelevant zijn.
Essentiële sectoren en bedrijven
- Energie
- Watervoorziening
- Transport
- Financiële marktinfrastructuren
- Financiële marktinfrastructuren
- Gezondheidszorg
- Ruimtevaart
- Afvalverwerking
- Overheid
- Digitale infrastructuur
- ICT-servicemanagement (B2B)
Belangrijke sectoren en bedrijven
- Post- en koeriersdiensten
- Afval
- Chemische industrie
- Digitale dienstverleners
- Digitale dienstverleners
- Industrie (verwerking / productie)
- Onderzoek (optioneel)
Welke verplichtingen gelden er voor bedrijven?
In het kader van NIS2 gelden voor bedrijven strenge verplichtingen en ingrijpende veranderingen. Deze omvatten onder meer:
| Verplichtingen | Maatregelen |
|---|---|
| Risicobeheer en bedrijfscontinuïteitsbeheer (§30, 31) | Versleuteling, meervoudige authenticatie, cryptografie, cyberhygiëne, roltoewijzing en toegangscontrole, back-upbeheer en systeemherstel, beveiliging van de toeleveringsketen en risicoanalyses zijn verplicht. De minimumvereisten variëren afhankelijk van de omvang van het bedrijf dankzij de ‘size cap’-regel. |
| Rapportage- en meldingsverplichtingen (§32, 35) | Belangrijke beveiligingsincidenten moeten binnen 24 uur aan de autoriteiten worden gemeld. Eerste beoordelingen moeten na 72 uur beschikbaar zijn. Een gedetailleerd eindrapport is binnen een maand vereist. |
| Registratieverplichtingen (§33, 34) | Getroffen organisaties en aanbieders van domeinnaamregistratiediensten moeten uiterlijk drie maanden na de inwerkingtreding van NIS2 informatie indienen bij de verantwoordelijke autoriteiten. Als niet aan de registratieverplichting wordt voldaan, kan deze ook worden vervuld door een CSIRT (Computer Security Incident Response Team). |
| Goedkeurings-, monitoring- en opleidingsverplichtingen voor bestuurders (§38) | Het delegeren van veiligheidsmaatregelen door het management is niet langer voldoende. Het management moet de noodzakelijke maatregelen actief goedkeuren en is gedeeltelijk verplicht om training te verzorgen. |
| Toezichts- en handhavingsmaatregelen (§61, 62) | Een van de CSIRT’s zal naar verwachting optreden als toezichthoudende autoriteit voor de naleving van de vereiste maatregelen. Uiterlijk drie jaar na de inwerkingtreding van NIS2 heeft de toezichthoudende autoriteit de mogelijkheid om bewijs van naleving van de verplichtingen op te vragen. In geval van dreigend gevaar kunnen maatregelen worden opgelegd. |
Om in een vroeg stadium aan uw verplichtingen als betrokken onderneming te voldoen, dient u de volgende maatregelen te nemen:
- Analyse van de huidige situatie en de doelstellingen: Ga na of u onder de NIS2-verplichtingen valt en breng de huidige stand van zaken met betrekking tot de cyberweerbaarheid van uw bedrijf in kaart, evenals mogelijke verbeterpunten.
- Implementatie: Voor alle informatiesystemen moeten risicoanalyses en beveiligingsconcepten worden ingevoerd.
- Evaluatie: De effectiviteit van de eigen risicobeheermethoden van uw bedrijf moet regelmatig worden geëvalueerd.
- Opstelling: Het ontwikkelen van een concept voor het omgaan met beveiligingsincidenten is verplicht.
- Back-up en crisisbeheer: Er moeten maatregelen voor gegevensback-up en crisisbeheer worden geïmplementeerd.
- Meldingssysteem: Er moet een effectief meldingssysteem voor beveiligingsincidenten worden opgezet.
- Opleiding: Medewerkers moeten regelmatig worden opgeleid.
- Beveiliging van de toeleveringsketen: De beveiliging in de toeleveringsketen moet worden gewaarborgd.
Wat gebeurt er als NIS2 niet wordt geïmplementeerd?
Bedrijven die de voorgeschreven maatregelen niet uitvoeren, kunnen rekenen op aanzienlijke boetes (§65). Overeenkomstig NIS2 beschikken de toezichthoudende autoriteiten over uitgebreide bevoegdheden op het gebied van toezicht, controle en instructie, waaronder het afdwingen van termijnen. Daarnaast dragen bestuurders aanzienlijk meer verantwoordelijkheid voor beschermings- en beveiligingsmaatregelen en kunnen zij bij overtredingen of nalatigheid persoonlijk aansprakelijk worden gesteld (§38, §61).
Wanneer treedt de NIS2-richtlijn in werking?
Op 14 december 2022 hebben het Europees Parlement en de Raad Richtlijn (EU) 2022/2555 aangenomen, beter bekend als de NIS2-richtlijn. Deze richtlijn brengt ingrijpende wijzigingen aan in de eIDAS-verordening (EU) nr. 910/2014 en de EECC-richtlijn (EU) 2018/1972. Ze is officieel in werking getreden op 16 januari 2023 en vervangt de NIS-richtlijn. Alle EU-lidstaten moeten de richtlijn uiterlijk op 17 oktober 2024 in nationaal recht omzetten.
In verschillende landen zijn verschillende instanties verantwoordelijk voor de leiding bij de uitvoering van de richtlijn. In Frankrijk bijvoorbeeld geeft ANSSI (Nationaal Agentschap voor de Beveiliging van Informatiesystemen) leiding aan de uitvoeringswerkzaamheden en heeft het zelfs „Mon Espace NIS 2“ gelanceerd, een digitale dienst die tot doel heeft organisaties te ondersteunen bij de uitvoering van de richtlijn. In Duitsland is het BSI (Federaal Bureau voor Informatiebeveiliging) de verantwoordelijke instantie, en in Spanje houdt het CCN-CERT (Nationaal Cryptologisch Centrum) toezicht op cyberbeveiligingsmaatregelen en zorgt het voor naleving.