De NIS2-richtlijn, die in januari 2023 in werking is getreden, is een reeks wetten en regels op het gebied van cybersecurityCybersecurityoplossingen zijn essentieel in het digitale tijdperk… die ontworpen zijn om de beveiliging in alle lidstaten van de Europese Unie te verenigen en te versterken. Lidstaten hebben tot 17 oktober 2024 om deze richtlijn in nationale wetgeving om te zetten, wat betekent dat getroffen bedrijven en sectoren hun systemen en protocollen binnen een beperkte termijn moeten updaten.
Doelstellingen en Reikwijdte van NIS2
NIS2 is een update van de vorige NIS-richtlijn en streeft ernaar veiligheidsmaatregelen in essentiële en belangrijke sectoren te harmoniseren, vooral die welke als kritiek worden beschouwd. Deze sectoren omvatten energie, vervoer, bankwezen, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur en openbaar bestuur, onder anderen. Bovendien legt de richtlijn een bijzondere nadruk op de beveiliging van de toeleveringsketen en op dienstverleners afkomstig van buiten de EU.
Classificatie van Entiteiten
De richtlijn onderscheidt tussen essentiële entiteiten en belangrijke entiteiten:
- Essentiële Entiteiten: Behoren tot sectoren van hoge kritikaliteit en hebben strengere verplichtingen op het gebied van cybersecurity. Ze omvatten bedrijven actief op het gebied van energie, vervoer, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur en centrale en regionale overheidsadministraties.
- Belangrijke Entiteiten: Maken deel uit van kritieke sectoren maar worden niet als essentieel beschouwd. Ze omvatten post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselvoorziening en digitale aanbieders zoals zoekmachines en sociale netwerken.
Verplichtingen op het gebied van Cybersecurity
Organisaties die als essentieel of belangrijk worden geclassificeerd, moeten adequate cybersecuritymaatregelen implementeren om risico’s in hun netwerken en informatiesystemen te beheersen en te minimaliseren. Enkele van de belangrijkste maatregelen zijn:
- Toegangscontrole: Implementatie van strikt toegangsbeleid en multifactorauthenticatie.
- Bescherming tegen kwaadaardige code: Gebruik van hulpmiddelen en protocollen om malware en ransomware te voorkomen en te detecteren.
- Incidentbeheer: Het opzetten van procedures voor de melding en respons op beveiligingsincidenten.
Verplichte Melding van Incidenten
Een van de meest opvallende verplichtingen van de NIS2 is de verplichte melding van cybersecurityincidenten. Organisaties moeten bevoegde autoriteiten of hun Computer Security Incident Response Team (CSIRT) in drie fasen informeren:
- Initiële Melding: Binnen 24 uur na detectie van het incident.
- Tussentijdse Melding: Na 72 uur, met updates over de status en mogelijke gevolgen.
- Eindmelding: Binnen een maximale termijn van een maand, met een gedetailleerd verslag over de ernst, impact en genomen maatregelen.
Het niet naleven van deze verplichtingen kan leiden tot aanzienlijke financiële sancties, die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten en tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet voor belangrijke entiteiten.
Ondersteuning van het Nationaal Cryptologisch Centrum
Om naleving van de richtlijn te vergemakkelijken, heeft het Nationaal Cryptologisch Centrum (CCN) een consultatiedienst geopend via de e-mail [email protected]. Daarnaast biedt het CCN middelen en richtlijnen, zoals de CCN-STIC 892, die de vereiste maatregelen uiteenzetten om zich aan te passen aan de NIS2 in lijn met het Nationale Veiligheidsschema (ENS).
De NIS2-richtlijn vertegenwoordigt een significante stap voorwaarts in de verbetering van cybersecurity in de Europese Unie. Organisaties moeten proactief maatregelen nemen om aan de nieuwe eisen te voldoen, hun beveiligingssystemen en -protocollen versterken. Samenwerking en naleving zullen essentieel zijn om de kritieke infrastructuur te beschermen en de veerkracht in het Europese digitale landschap te waarborgen.