In een steeds meer gedigitaliseerde wereld zijn cyberaanvallen een constante en groeiende bedreiging geworden. Om deze uitdaging aan te gaan, heeft de Europese Unie (EU) een beslissende stap gezet met de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2), die de regelgeving uit 2016 actualiseert en uitbreidt. Deze nieuwe regulering, die al in Spanje in transpositieproces is via de Coördinatie- en Governancewet van de CyberbeveiligingCyberbeveiligingsoplossingen zijn essentieel in het digitale tijdperk, belooft de bedrijfscultuur op het gebied van cyberbeveiliging te transformeren, met impact op meer dan 33.000 bedrijven in kritieke en essentiële sectoren.
Een uniforme juridische kader voor cyberbeveiliging in de EU
De NIS2 stelt een uniforme juridische kader vast voor de lidstaten van de EU, met als doel de netwerken en informatiesystemen, evenals hun gebruikers, te beschermen tegen cyberdreigingen. In tegenstelling tot vrijwillige normen zoals het NIST CSF 2.0, legt de NIS2 specifieke juridische verplichtingen op voor essentiële sectoren en digitale diensten, waarbij de nadruk ligt op veiligheid en veerkracht in een grensoverschrijdende context.
Jacinto Cavestany, CEO van Evolutio, een bedrijf dat gespecialiseerd is in cloud- en cyberbeveiligingsdiensten, benadrukt de urgentie van deze regelgeving: “Cybercriminelen verhogen de sofisticatie van hun aanvallen en brengen niet alleen informatie, maar ook de continuïteit van de business in gevaar. De NIS2 is er om de bedrijfseffectiviteit te versterken en een gecoördineerde reactie op deze bedreigingen te garanderen.â€
De vijf pijlers van de NIS2 die organisaties zullen transformeren
Evolutio heeft vijf belangrijke aspecten van de NIS2 geïdentificeerd die een keerpunt zullen vormen in de cyberbeveiligingsstrategie van bedrijven:
- Identificatie van essentiële en belangrijke entiteiten
De NIS2 legt een specifiek accent op sectoren van hoge kriticiteit, zoals energie, vervoer, bankieren, gezondheid, water, digitale infrastructuren en publieke administratie. Bovendien omvat het andere sectoren zoals postdiensten, afvalbeheer, voedselproductie en particuliere beveiliging. In Spanje wordt geschat dat meer dan 33.000 bedrijven met meer dan 50 medewerkers worden getroffen. Tegen 17 april 2025 moeten de lidstaten een lijst van deze entiteiten opstellen, die om de twee jaar zal worden herzien. - Planning met passende en proportionele maatregelen
Organisaties moeten risicobeheermaatregelen implementeren die zijn afgestemd op hun grootte, potentiële impact en ernst van incidenten. Dit omvat beveiligingsbeleid, dreigingsanalyses, detectie- en reactiemethoden, continuïteitsplannen en voortdurende training voor werknemers. De integratie van experts op het gebied van veiligheid en regelgeving zal cruciaal zijn om naleving te waarborgen. - Risicobeheer in de supply chain
Cyberaanvallen gericht op de supply chain zijn aanzienlijk toegenomen, waarbij kwetsbaarheden in technologische infrastructuren worden geëxploiteerd. De NIS2 obligateert essentiële entiteiten om de veiligheid van hun leveranciers te waarborgen door middel van contractuele overeenkomsten en kwaliteitsevaluaties. Dit vereist geavanceerde oplossingen die onbevoegde toegang beperken en meer zichtbaarheid en controle bieden. - Aansprakelijkheid op het hoogste niveau
De NIS2 verhoogt het niveau van verantwoordelijkheid van de leidinggevenden, die de cyberbeveiligingsmaatregelen moeten goedkeuren en toezien, kennis moeten verwerven over risicobeheer en moeten zorgen voor voortdurende training van medewerkers. De implementatie van audits en controlemechanismen zal essentieel zijn om naleving te waarborgen en sancties te voorkomen. - Verplichte melding van significante incidenten
Bedrijven moeten significante incidenten, cyberdreigingen of “quasi-incidenten” binnen specifieke termijnen aan de bevoegde autoriteiten melden: 24 uur voor een vroege waarschuwing, 72 uur voor een initiële melding en een eindrapport binnen een maand. Het niet naleven van deze verplichtingen kan leiden tot strengere sancties dan voorheen.
Impact op investeringen en de toekomst van cyberbeveiliging
De implementatie van de NIS2 stimuleert al de uitgaven voor cyberbeveiliging in de EU. Volgens de Europese Unie Agency for Cybersecurity (Enisa) vertegenwoordigde informatiebeveiliging 9% van de IT-investeringen in 2023, met een totaal van 1,4 miljoen euro.
“De NIS2 vertegenwoordigt een significante vooruitgang in de ambitie van de EU om de cyberbeveiliging te versterken. Bij Evolutio integreren we veiligheid in de technologische strategieën van onze klanten vanaf het begin, waardoor we hen helpen dreigingen te voorkomen en aan de regelgeving te voldoen,†concludeert Cavestany.
In een scenario waarin cyberaanvallen steeds frequenter en geavanceerder worden, fungeert de NIS2 als een sleutelinstrument om essentiële bedrijven te beschermen en de veerkracht van de Europese digitale economie te waarborgen. Organisaties die proactief en strategisch optreden, zullen niet alleen voldoen aan de wet, maar ook beter voorbereid zijn op de uitdagingen van de toekomst.
Evolutio is een Spaans bedrijf met meer dan 30 jaar ervaring in cloud- en cyberbeveiligingsdiensten. Gevestigd in Madrid, is het de missie om de innovatie en digitale transformatie van hun corporate klanten en de publieke sector te bevorderen, waarbij zij de veiligheid en naleving van regelgeving waarborgen in een steeds meer met elkaar verbonden wereld.