De Richtlijn NIS2 vormt een aanzienlijke vooruitgang in de cyberbeveiliging van de kritieke infrastructuren, uitbreiding van de beveiligingseisen en heeft invloed op een groter aantal organisaties in vergelijking met haar voorganger. Hieronder worden de belangrijkste wijzigingen benadrukt en hoe organisaties zich kunnen voorbereiden om te voldoen aan de nieuwe regelgeving.
Wat is de Richtlijn NIS2?
De Richtlijn NIS2 (Network and Information System 2) bepaalt minimum cybersecurityeisen voor de kritieke infrastructuren in de Europese Unie. Het doel is om het niveau van cybersecurity in Europa te versterken en de samenwerking tussen lidstaten tegen cyberaanvallen te bevorderen. De richtlijn is in werking getreden op 16 januari 2023 en de lidstaten moeten deze voor 17 oktober 2024 in hun nationale wetgeving opnemen.
Belangrijkste Implicaties van NIS2
De Richtlijn NIS2 brengt substantiële wijzigingen met zich mee in vergelijking met de vorige, waaronder:
- Groter bereik: Het wordt uitgebreid naar 18 sectoren, inclusief zeven nieuwe belangrijke sectoren.
- Supply chain: Organisaties moeten het cyberrisico over hun hele supply chain heen evalueren.
- Verplichte risicobeheersing: Het beheer van cyberrisico’s wordt een verplichting.
- Opleiding en audits: Training voor werknemers en volledige cybersecurity audits zijn vereist.
- Verantwoordelijkheid van het management: Managers zijn persoonlijk aansprakelijk voor niet-naleving met het beheer van cyberrisico’s.
- Sancties: Er worden diverse sancties opgelegd in geval van overtreding.
- Rapportage: Er moeten strikte rapportagevereisten aan de toezichthoudende autoriteit worden voldaan.
- Reactieteams: Elk lidstaat moet een nationaal CSIRT (Computer Security Incident Response Team) benoemen.
Essentiële en belangrijke sectoren
NIS2 heeft directe invloed op de organisaties in de volgende essentiële sectoren:
- Energie, Gezondheidszorg, Transport, Bank- en Financiewezen, Drinkwater, Afvalwater, Digitale infrastructuur, ICT-dienstenbeheer, Ruimtelijke en Openbare administratie.
Verder worden belangrijke sectoren zoals postdiensten, afvalbeheer, chemicaliën, voedsel, productie, digitale diensten en onderzoek inbegrepen.
Verantwoordelijkheid van de Directeuren
De richtlijn benadrukt het belang van cyberrisicobestuur als integraal onderdeel van corporatief management. CEO’s dienen toezicht te houden en maatregelen te implementeren om te waarborgen dat de risico’s adequaat zijn geïdentificeerd en beheerst.
Vereisten voor Compliance Officers
Diegenen die de naleving van de regelgeving binnen hun organisaties leiden, moeten bekend zijn met de regelgeving, de genomen maatregelen documenteren en hun effectiviteit verifiëren. Daarnaast moeten zij procedures implementeren om incidenten binnen 24 uur naar de BSI te rapporteren in het geval van een aanval.
Sancties voor Niet-naleving
De sancties voor niet-naleving van NIS2 variëren per sector:
- Gemeenschappelijke inbreuken: Boetes tot 2 miljoen euro.
- Belangrijke sectoren: Boetes tot 7 miljoen euro of 1,4% van de jaarlijkse omzet.
- Leveranciers van kritieke infrastructuur: Boetes tot 10 miljoen euro of 2% van de jaarlijkse omzet.
De Richtlijn NIS2 herdefinieert het cybersecuritykader in Europa, door strengere eisen te stellen voor de bescherming van kritieke infrastructuren. Organisaties moeten hun huidige situatie beoordelen, de risico’s in kaart brengen en zorgen dat ze de noodzakelijke maatregelen nemen om aan deze nieuwe wetgeving te voldoen.