Het Europees Parlement heeft onlangs ingestemd met nieuwe wetgeving die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiliging, de zogenaamde NIS2 Richtlijn. NIS2 verhoogt de cybersecurity-eisen door heel Europa en merkt meer organisaties aan als essentieel bedrijf. Het gaat om zo’n 160.000 organisaties over heel Europa. Deze bedrijven moeten daardoor voldoen aan hogere eisen en er komen verplichtingen voor risicobeheer, rapportage en het delen van informatie. In dit blog 4 vragen én antwoorden over NIS2.
Wat is NIS2?
NIS staat voor netwerk- en informatiesystemen en al in 2016 is de eerste NIS-richtlijn gepubliceerd. Deze was met name bedoeld voor grote bedrijven en instellingen die essentiële functies binnen de samenleving vervullen. Denk aan leveranciers voor energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheid, drinkwater en digitale infrastructuur. Zij zijn al enkele jaren verplicht om maatregelen te nemen om de cyberweerbaarheid te verhogen. Het Europees Parlement heeft nu ingestemd met de invoering van een strengere versie hiervan in de vorm van nieuwe wetgeving (NIS2) die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiliging.
Voor wie geldt NIS2?
NIS2 verhoogt de cybersecurity-eisen voor aanzienlijk meer organisaties in heel Europa door ze aan te merken als ‘essentieel bedrijf’. Naar schatting gaat het om zo’n 160.000 organisaties over heel Europa. Iedereen die een essentiële dienst aan consumenten levert, valt onder de nieuwe wet en dient derhalve te voldoen aan hogere eisen. De grote vraag is wat er precies verstaan wordt onder ‘essentieel’. Naast de genoemde sectoren die al onder de huidige NIS-richtlijn vallen, worden nieuwe sectoren in het toepassingsgebied opgenomen, waaronder telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, industrieën, overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer en afvalwaterbeheer. Daarnaast zullen entiteiten van het openbaar bestuur van centrale overheden onder de NIS2-richtlijn vallen en kunnen de afzonderlijke Europese lidstaten zelf besluiten om dit uit te breiden naar soortgelijke entiteiten op regionaal en lokaal niveau. Om kleine organisaties te beschermen tegen de organisatorische last, en bijbehorende kosten, zijn zij vrijgesteld, tenzij zij een hoog veiligheidsrisicoprofiel hebben. Wat nu precies als ‘klein’ wordt aangemerkt moet nog worden uitgewerkt.
Overigens is het van belang dat er wordt gekeken naar de plaats van de organisatie in de toevoerketen. NIS2 geldt namelijk voor de gehele toevoerketen van de ‘essentiële’ organisaties. Dit heeft tot gevolg dat ook bedrijven die zelf geen essentiële activiteiten ontplooien, maar wel zaken doen met partijen die dat wel doen, onder de nieuwe richtlijn vallen.
Hoe verhoudt een Europese richtlijn zich tot een nationale wet?
In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Hoewel de NIS-richtlijn de cyberbeveiligingscapaciteiten van de EU-lidstaten sterk heeft vergroot, is de algemene consensus dat de huidige richtlijn onvoldoende antwoord geeft op de toenemende dreigingen die verband houden met de verdere digitalisering van de maatschappij, waaronder de sterke toename van cyberaanvallen, waardoor er nu een nieuwe richtlijn wordt geïntroduceerd. Omdat het om een richtlijn gaat, dient deze door de EU-lidstaten in hun nationale wetgeving te worden omgezet. De termijn hiervoor is 21 maanden na de datum van inwerkingtreding van de richtlijn, waardoor die niet voor medio 2024 wordt verwacht.
Wat zijn de vervolgstappen?
Na formele goedkeuring zal de Ontwerp NIS2 Richtlijn de huidige NIS richtlijn vervangen en dient deze door de lidstaten te worden omgezet in nationale wetgeving. Het Europees Parlement nam de tekst aan met overweldigende meerderheid. Na de goedkeuring door het Parlement moet ook de Raad de wet formeel goedkeuren. Vervolgens hebben lidstaten 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving en krijgen de nationale toezichthouders meer rechtsmiddelen toebedeeld om handhaving van de regelgeving te waarborgen. Voor organisaties loont het om alvast te onderzoeken of zij onder de werkingssfeer van de Ontwerp NIS2 richtlijn zullen vallen. Indien dat het geval is, dienen er namelijk stappen te worden gezet richting een hoog niveau van cyberbeveiliging.
Een handig hulpmiddel hiervoor is om de basis maatregelen van het Nationaal Cyber Security Center (NCSC) te adopteren binnen de organisatie:
- Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert
- Pas multifactorauthenticatie toe waar nodig
- Bepaal wie toegang heeft tot je data en diensten
- Segmenteer netwerken
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
- Versleutel opslagmedia met gevoelige bedrijfsinformatie
- Maak regelmatig back-ups van je systemen en test deze
- Installeer software-updates
Als de NIS2 straks niet voor jouw organisatie geldt, betekent dat overigens niet dat je niets aan veiligheid hoeft te doen. Cybersecurity is uitermate belangrijk voor alle ondernemers. Cybersecurityincidenten en datalekken kunnen altijd en bij iedere organisatie ontstaan.
Meer weten of een keer vrijblijvend sparren met onze security-experts over NIS2 en de maatregelen die je kan nemen om je hierop voor te bereiden? Bel met 040-2393300 of vul onderstaand formulier in.
Event: Cyber Security Event 2023: NIS2 - Nog één jaar te gaan!
Ons jaarlijkse Event in de oktober Cyber Security-maand staat dit jaar in het teken van “NIS2 – nog één jaar te gaan!”. Op dinsdag 31 oktober geven we de handvatten om je organisatie voor te bereiden en een duidelijk beeld te krijgen wat er moet gebeuren.