Wat is Network and Information Systems Directive (NIS2)?

Wat is Network and Information Systems Directive (NIS2)?

De NIS2-richtlijn (Network and Information Systems Directive 2) is een herziening van de oorspronkelijke NIS-richtlijn, die in 2016 is aangenomen door de Europese Unie. De NIS2-richtlijn is bedoeld om de cyberbeveiliging en veerkracht van essentiële netwerk- en informatiesystemen in EU-lidstaten te versterken.

Toepassingsgebied van de NIS2-richtlijn: Sectoren en belangrijke digitale dienstverleners.

De NIS2-richtlijn is van toepassing op organisaties in verschillende sectoren die als essentiële entiteiten worden beschouwd, evenals op belangrijke digitale dienstverleners (KDD's). Het toepassingsgebied van de richtlijn is uitgebreid in vergelijking met de oorspronkelijke NIS-richtlijn. De NIS2-richtlijn kan van toepassing zijn op organisaties in de volgende sectoren:

Essentiële entiteiten

Dit zijn organisaties die essentieel zijn voor het behoud van maatschappelijke functies. Ze opereren in sectoren zoals energie, gezondheid en transport. Ze worden strenger gecontroleerd en kunnen mogelijk hogere boetes krijgen bij niet-naleving.

Essentiële sectoren

  • Energie
  • Transport
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Beheer van ICT Diensten
  • Bankwezen

Belangrijke entiteiten

Deze organisaties spelen een belangrijke rol in de economie, maar zijn niet essentieel voor maatschappelijke functies. Sectoren zoals banken en digitale diensten vallen onder deze categorie. Ook zij worden gecontroleerd en kunnen boetes krijgen, zij het op een relatief lager niveau.

Belangrijke sectoren:

  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging/manufacturing

De exacte toepassing van de NIS2-richtlijn kan variëren, afhankelijk van de nationale wetgeving van elke EU-lidstaat, omdat elke lidstaat de richtlijn moet omzetten in nationale wetgeving. Organisaties die onder de NIS2-richtlijn vallen, moeten voldoen aan beveiligingsvereisten, incidentmeldingsprocedures en andere verplichtingen die door de richtlijn zijn vastgesteld om de cyberbeveiliging en veerkracht van kritieke infrastructuren te waarborgen.

Vóór 17 oktober 2024 moeten lidstaten de maatregelen aannemen en publiceren die nodig zijn om te voldoen aan de NIS 2-richtlijn. Zij dienen die maatregelen vanaf 18 oktober 2024 toe te passen. Het is belangrijk op de hoogte te blijven van de laatste ontwikkelingen in de richtlijn en de nationale wetgeving om te begrijpen wanneer en op wie de NIS2-richtlijn van toepassing zal zijn.

Belangrijke onderdelen van de voorgestelde NIS2-richtlijn voor cyberbeveiliging in de EU

De NIS2-richtlijn (Network and Information Systems Directive 2) is een herziening van de oorspronkelijke NIS-richtlijn en bevat verschillende belangrijke onderdelen die gericht zijn op het verbeteren van de cyberbeveiliging en veerkracht van netwerk- en informatiesystemen in de EU-lidstaten. Hoewel de NIS2-richtlijn nog niet is aangenomen en mijn kennis tot en met september 2021 loopt, zijn hier enkele van de belangrijkste onderdelen van de voorgestelde NIS2-richtlijn:

  1. Uitbreiding van de toepassingsgebied: De NIS2-richtlijn breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en sub sectoren op te nemen, zoals overheidsinstanties, energie, transport, banken, gezondheidszorg, digitale infrastructuur, voedselproductie en -distributie, en ruimte.
  2. Striktere beveiligingseisen: De NIS2-richtlijn stelt striktere beveiligingseisen voor essentiële en belangrijke entiteiten. Deze eisen omvatten het nemen van passende technische en organisatorische maatregelen om de beveiliging en veerkracht van hun netwerk- en informatiesystemen te waarborgen, evenals het beheersen van de risico's verbonden aan de leveranciersketen.
  3. Incidentmeldingsverplichtingen: De NIS2-richtlijn verduidelijkt en harmoniseert de incidentmeldingsverplichtingen en -procedures, met inbegrip van de criteria voor de beoordeling van de ernst van een incident en de tijdige melding van incidenten aan de bevoegde nationale autoriteiten.
  4. Toezicht en handhaving: De NIS2-richtlijn versterkt het toezicht en de handhaving door de bevoegde nationale autoriteiten. Dit omvat het uitvoeren van audits, het opleggen van sancties en het bevorderen van samenwerking en informatie-uitwisseling tussen de autoriteiten van de lidstaten.
  5. Grensoverschrijdende samenwerking: De NIS2-richtlijn benadrukt het belang van samenwerking en informatie-uitwisseling tussen de EU-lidstaten om een hoog niveau van cyberbeveiliging in de hele EU te waarborgen. Dit omvat het verbeteren van de rol en het functioneren van het samenwerkingsnetwerk van de NIS, evenals de betrokkenheid van het Europees Agentschap voor cyberbeveiliging (ENISA) bij het ondersteunen van de lidstaten en de Europese Commissie.
  6. Crisisbeheer: De NIS2-richtlijn introduceert crisisbeheersingsmaatregelen op EU-niveau om gecoördineerde actie te waarborgen in geval van grootschalige of grensoverschrijdende cyberincidenten die een impact kunnen hebben op de economie en samenleving van de EU.
  7. Nationale strategieën: De NIS2-richtlijn verplicht EU-lidstaten om nationale strategieën voor de beveiliging van netwerk- en informatiesystemen te ontwikkelen en bij te werken. Deze strategieën moeten onder andere nationale doelstellingen en prioriteiten bevatten, evenals een Governance kader dat de verdeling van rollen en verantwoordelijkheden tussen nationale autoriteiten en relevante belanghebbenden definieert.
  8. Capaciteitsopbouw: De NIS2-richtlijn benadrukt het belang van capaciteitsopbouw op nationaal en EU-niveau. Dit omvat investeringen in menselijke en technische middelen, onderzoek en ontwikkeling, opleiding en bewustwording, evenals het bevorderen van publiek-private partnerschappen om de cyberbeveiliging en veerkracht te versterken.
  9. Toeleveringsketenbeveiliging: De NIS2-richtlijn vestigt meer aandacht op het beheer van risico's in de toeleveringsketen en verplicht organisaties om passende beveiligingsmaatregelen te treffen om de risico's in hun toeleveringsketen te beperken.
  10. Integratie met andere regelgeving: De NIS2-richtlijn is bedoeld om samen te werken met andere EU-regelgeving op het gebied van cyberbeveiliging, zoals de Algemene verordening gegevensbescherming (AVG) en de Richtlijn inzake beveiliging van netwerk- en informatiesystemen (NIS-richtlijn). Dit helpt bij het creëren van een samenhangend en consistent regelgevingskader op EU-niveau.

Samenvattend is de voorgestelde NIS2-richtlijn gericht op het versterken van de cyberbeveiliging en veerkracht van netwerk- en informatiesystemen in de EU-lidstaten door het uitbreiden van de toepassingsgebied, het aanscherpen van beveiligingseisen, het harmoniseren van incidentmeldingsverplichtingen, het versterken van toezicht en handhaving, en het bevorderen van grensoverschrijdende samenwerking en capaciteitsopbouw.

Versterking van de cyberbeveiliging in Europa door de NIS2-richtlijn

De NIS2-richtlijn zal de cyberbeveiliging in Europa versterken door verschillende maatregelen te implementeren:

  1. Uitbreiding van de reikwijdte: De NIS2-richtlijn breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en organisaties te betrekken, waaronder belangrijke digitale dienstverleners, zoals Cloud providers en sociale mediaplatforms.
  2. Geharmoniseerde beveiligingsnormen: De richtlijn legt minimumbeveiligingsnormen vast voor netwerken en informatiesystemen die door de lidstaten moeten worden toegepast, wat leidt tot een consistenter beveiligingsniveau in de hele EU.
  3. Sterkere toezichthoudende autoriteiten: De NIS2-richtlijn versterkt de rol en bevoegdheden van nationale toezichthoudende autoriteiten, waardoor ze effectiever kunnen optreden tegen bedrijven die niet voldoen aan de beveiligingseisen.
  4. Verplichte incidentmelding: Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht om ernstige beveiligingsincidenten te melden bij de relevante nationale autoriteiten. Dit bevordert de uitwisseling van informatie over bedreigingen en kwetsbaarheden en helpt bij het ontwikkelen van een gecoördineerde respons op cyberaanvallen.
  5. Samenwerking en informatie-uitwisseling: De richtlijn stimuleert de samenwerking tussen de lidstaten door middel van het Coöperatienetwerk voor cyberbeveiliging en het CSIRT-netwerk (Computer Security Incident Response Teams). Deze netwerken bevorderen de uitwisseling van informatie, beste praktijken en gezamenlijke respons op grensoverschrijdende cyberincidenten.
  6. Hogere sancties: De NIS2-richtlijn introduceert hogere financiële sancties voor organisaties die niet voldoen aan de beveiligingsvereisten of hun verplichtingen op het gebied van incidentmelding niet nakomen.

Al deze maatregelen dragen bij aan het versterken van de algehele cyberbeveiliging in Europa en het vergroten van het vertrouwen van burgers en bedrijven in digitale diensten.

Maatregelen voor de bescherming van netwerk- en informatiesystemen: Alomvattende benadering

De in lid 1 genoemde maatregelen zijn gebaseerd op een alomvattende benadering die tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen incidenten. Deze maatregelen omvatten ten minste het volgende:

  1. Beleid voor risicoanalyse en beveiliging van informatiesystemen;
  2. Incidentenbehandeling;
  3. Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  4. Beveiliging van de toeleveringsketen, inclusief beveiligingsaspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners;
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief respons op en bekendmaking van kwetsbaarheden;
  6. Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen;
  7. Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  8. Beleid en procedures inzake het gebruik van cryptografie en, indien van toepassing, encryptie;
  9. Beveiligingsaspecten met betrekking tot personeel, toegangsbeleid en beheer van activa;
  10. Indien gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekst communicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit.

Gevolgen van het niet naleven van de richtlijnen

Het niet naleven van de NIS2-richtlijn (of de oorspronkelijke NIS-richtlijn, afhankelijk van de huidige wetgeving in een EU-lidstaat) kan leiden tot verschillende negatieve gevolgen voor organisaties die onder de reikwijdte van deze richtlijn vallen.

Hoewel de exacte gevolgen kunnen variëren, afhankelijk van de nationale wetgeving van elke EU-lidstaat, zijn hier enkele mogelijke consequenties van niet-naleving:

  1. Boetes en sancties: Organisaties die niet voldoen aan de NIS-richtlijnen kunnen te maken krijgen met aanzienlijke boetes en sancties, opgelegd door de bevoegde nationale autoriteiten. Het bedrag van de boete kan variëren, maar het kan oplopen tot miljoenen euro's, afhankelijk van de ernst van de overtreding en de omvang van de betrokken organisatie.
  2. Reputatieschade: Het niet naleven van de NIS-richtlijn kan leiden tot reputatieschade voor de betrokken organisaties. Klanten, partners en andere belanghebbenden kunnen hun vertrouwen in de organisatie verliezen als gevolg van onvoldoende cyberbeveiliging en het onvermogen om te voldoen aan de wettelijke vereisten.
  3. Verlies van klanten en marktaandeel: Organisaties die niet voldoen aan de NIS-richtlijnen lopen het risico klanten en marktaandeel te verliezen, vooral als ze te maken krijgen met ernstige cyberincidenten die hadden kunnen worden voorkomen door het naleven van de richtlijnen.
  4. Juridische gevolgen: Naast boetes en sancties kunnen organisaties die niet voldoen aan de NIS-richtlijnen ook te maken krijgen met juridische gevolgen, zoals civiele rechtszaken door klanten, partners of andere getroffen partijen.
  5. Verhoogde toezicht en handhaving: Organisaties die niet voldoen aan de NIS-richtlijnen kunnen onderworpen worden aan verhoogd toezicht en handhaving door de bevoegde nationale autoriteiten, wat kan leiden tot extra kosten en administratieve lasten.

Om deze negatieve gevolgen te voorkomen, is het essentieel dat organisaties die onder de NIS-richtlijnen vallen, de vereiste beveiligingsmaatregelen en procedures implementeren om te voldoen aan de wetgeving en hun cyberbeveiliging en veerkracht te versterken. Dit omvat het opstellen en onderhouden van een gedegen risicobeheerplan, het implementeren van passende technische en organisatorische beveiligingsmaatregelen en het naleven van de incidentmeldingsprocedures zoals uiteengezet in de richtlijn en de nationale wetgeving.