Op 10 november 2022 (gepubliceerd op 27 december 2022) heeft het Europees Parlement nieuwe wetgeving aangenomen (de NIS2-richtlijn) om EU-breed de weerbaarheid op het gebied van cyberbeveiliging te versterken, die onder meer een glasheldere vereiste voor back-up en noodherstel omvat. De NIS2 richtlijn moet eind 2024 zijn vertaald naar nationale wetgeving.

De richtlijn netwerk- en informatiebeveiliging (NIS2) is een reactie op de toegenomen blootstelling van Europa aan cyberdreigingen. We zijn meer en meer met elkaar verbonden waardoor we kwetsbaarder zijn voor kwaadwillige cyberactiviteiten. De regelgevers stellen hierbij consistente regels vast voor bedrijven en zorgen ervoor dat handhavings- en justitiële autoriteiten doeltreffend kunnen werken en de EU-burgers bewuster kunnen maken van cyberbeveiliging. Dit alles voor de bescherming van onze digitale infrastructuur, onze gevoelige bedrijfsgegevens en onze persoonsgegevens.

Wat is het doel van de NIS-richtlijn?

In vergelijking met de eerste NIS-richtlijn is het doel van de NIS2-richtlijn om de vereisten en sancties voor cyberbeveiliging uit te breiden. Om daarmee het beveiligingsniveau in de lidstaten te harmoniseren en te stroomlijnen wat gepaard gaat met strengere vereisten voor verschillende sectoren.

Op wie is NIS2 van toepassing? Welke sectoren en entiteiten?

De richtlijn is van toepassing op twee categorieën: “essentiële” entiteiten en “belangrijke” entiteiten.

Onder de essentiële sectoren categorie vallen:

  1. Energie (elektriciteit, stadsverwarming, olie, gas en waterstof)
  2. Transport (lucht, spoor, water en weg)
  3. Bankwezen (kredietinstellingen)
  4. Financiële markt infrastructuren (marktplaatsen)
  5. De gezondheidssector (zorgverleners en fabrikanten van geneesmiddelen, enz.)
  6. Drinkwater en afvalwater
  7. Digitale infrastructuur (inclusief aanbieders van clouddiensten, datacenters, domeinnaamsystemen (DNS), topleveldomeinregisters (TLD) en openbare communicatienetwerken)
  8. Aanbieders van informatie- en communicatiediensten (ICT-diensten)
  9. Aanbieders van managed services en managed security service
  10. Overheidsadministratie
  11. Ruimte

    Onder de “belangrijke entiteiten” categorie vallen publieke en private entiteiten:

    1. Post- en koeriersdiensten
    2. Afvalverwerking
    3. Productie, productie en distributie van chemicaliën
    4. Productie, verwerking en distributie van levensmiddelen
    5. Productie van o.a., elektronica, machines en motorvoertuigen
    6. Aanbieders van bepaalde digitale diensten (onlinemarktplaatsen en zoekmachines en sociale netwerk diensten)
    7. Onderzoek (instellingen voor hoger onderwijs en onderzoeksinstellingen).

    Als u een entiteit bent die een dienst levert die essentieel is voor het onderhoud van kritieke maatschappelijke en/of economische activiteiten, bijvoorbeeld een transportbedrijf, wordt u in de ogen van de wet geclassificeerd als een ‘exploitant van essentiële diensten’.

    Deze classificatie zal veel druk met zich meebrengen op uw technische en organisatorische structuur en capaciteiten vanwege de uitgebreide risicobeheerbeveiliging die u wettelijk verplicht bent te implementeren en te onderhouden.

    Handige link om te bepalen of je als organisatie onder de NIS2 regelgeving valt: NIS2 zelf-evaluatie-tool

    NIS2-vereisten, risicobeheer en beveiligingsmaatregelen

    De huidige NIB-richtlijn vereist dat de onder de richtlijn vallende entiteiten passende, evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheren en de schade in geval van een beveiligingsincident te beperken.

    De NIS2-richtlijn handhaaft deze eis die ten minste de volgende beveiligingsmaatregelen moet omvatten:

    1. Beleid voor risicoanalyse en informatiebeveiliging
    2. Afhandeling van incidenten
    3. Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel en crisisbeheer
    4. Beveiliging van de toeleveringsketen, inclusief leveranciersbeheer/beveiliging
    5. Beveiliging in verband met de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen
    6. Beleid en procedures voor het beoordelen van de effectiviteit van maatregelen om cyberbeveiligingsrisico’s te beheren
    7. Richtlijnen voor basis “computerhygiëne” en cyber security training
    8. Beleid voor het gebruik van cryptografie en versleuteling
    9. Beveiliging van werknemers, toegangscontrole en activabeheer
    10. Beveiliging van interne communicatiesystemen.

      Governance

      Met de NIS2-richtlijn worden de governance-bepalingen aangescherpt, omdat de verantwoordelijkheid voor overtreding van de NIS2-richtlijn niet alleen bij de rechtspersoon wordt gelegd, maar ook bij het management zelf. Het management moet dus de risicobeheersmaatregelen goedkeuren die door de entiteit zijn genomen met betrekking tot cyberbeveiliging en toezicht houden op de implementatie en het onderhoud.

      Toezicht, handhaving en sancties

      Volgens de NIS2-richtlijn moeten de bevoegde nationale autoriteiten toezien op de naleving van de beveiligings- en kennisgevingsvereisten van de richtlijn op basis van specifieke incidenten en zijn de bevoegde autoriteiten bevoegd om bepaalde bevelen uit te vaardigen.

      Wat zijn de kosten van niet-naleving?

      De bevoegde autoriteit kan onder meer waarschuwingen en bevelen geven en (met name materieel) een persoon met managementverantwoordelijkheid (CEO of een ander senior lid van het management) tijdelijk schorsen of verzoeken om bestuursfuncties in de entiteit uit te oefenen.

      De NIS2-richtlijn scherpt ook de sanctiemogelijkheden aan. Naast de noodzaak om ervoor te zorgen dat overtredingen worden bestraft met sancties die doeltreffend zijn, in verhouding staan tot de overtreding en een afschrikkend effect hebben, heeft de bevoegde autoriteit in de lidstaten nu de concrete mogelijkheid om administratieve boetes op te leggen als de entiteit niet voldoet aan de vereisten van de richtlijn inzake risicobeheersmaatregelen of rapportageverplichtingen.

      De administratieve boetes zijn als volgt:

      Essentiële entiteiten kunnen – als minimum – een boete krijgen tot een maximum  van 10 miljoen EUR of 2% van de totale wereldwijde jaaromzet van het bedrijf.

      Belangrijke entiteiten kunnen – minimaal – een boete krijgen tot een maximum  van 7 miljoen EUR of 1,4% van de totale wereldwijde jaaromzet van het bedrijf.