Wat is NIS2?

Is jouw organisatie middelgroot of groot en actief binnen een van de kritieke sectoren zoals energie, vervoer, gezondheid en digitale infrastructuur? Dan kan nieuwe wetgeving vanuit de EU veel invloed hebben op de eisen voor cybersecurity binnen jouw organisatie. “Dit … gaat meer dan 100.000 vitale entiteiten helpen om hun greep op veiligheid te verstevigen en Europa een veilige plek te maken om te wonen en te werken”, zei de Nederlandse Europarlementariër Bart Groothuis.¹

Omdat cybersecurity ontzettend belangrijk is voor de bescherming van onze samenleving, heeft de Europese Unie (EU) in 2016 de Directive on Security of Network and Information Systems (NIS Directive) geïntroduceerd.² Hoewel deze Europese richtlijn heeft gezorgd voor meer samenhang binnen de EU op het gebied van netwerk- en informatiebeveiliging, moet de cyberweerbaarheid nog verder omhoog om de samenleving te beschermen. Met de toenemende digitalisering en grote hoeveelheid cyberaanvallen, is de NIS-richtlijn herzien en verbeterd. De NIS2 richtlijn zal dan ook een groter bereik hebben en zich richten op meer sectoren om op die manier de cyberweerbaarheid van de EU-lidstaten gelijk te trekken en vergroten.³

Maar hoe gaat deze herziene richtlijn zorgen voor betere cyberweerbaarheid? Het ziet er naar uit dat de NIS2 op verschillende manieren tracht de cybersecurity te verbeteren binnen EU-lidstaten. De richtlijn doelt op het aanscherpen van opgelegde beveiligingseisen, het aanpakken van de beveiliging van supply chains, het stroomlijnen van rapportageverplichtingen, strengere toezicht maatregelen en het invoeren van handhavingsvereisten met geharmoniseerde sancties in alle lidstaten. Daarbij wordt ook het belang van informatie delen en (inter)nationale samenwerking op het gebied van crisismanagement benoemd. Omdat niet alleen digitale dreigingen een risico kunnen vormen voor de continuïteit van vitale netwerk en informatiesystemen, zal de NIS2 risico’s van alle aard omvatten. Op die manier ziet de herziene richtlijn toe op zowel natuurlijke als door de mens veroorzaakte risico’s zoals onder andere natuurrampen, terroristisch misdrijven en noodsituaties op het gebied van volksgezondheid, zoals pandemieën.

De herziene NIS2 richtlijn heeft invloed op een stuk meer sectoren dan de oorspronkelijke NIS-richtlijn. De NIS-richtlijn wees alleen Gezondheidszorg, Vervoer, Bankwezen En Financiële Marktinfrastructuur, Digitale Infrastructuur, Watervoorziening, Energie en Digitale Dienst Aanbieders aan met de ruimte voor lidstaten om zelf te definiëren welke organisaties als essentieel bestempeld werden. De NIS2 introduceert uniforme regels voor middelgrote en grote instanties die actief zijn in kritieke sectoren, zoals energie, vervoer, gezondheid en digitale infrastructuur.¹ Hieronder vallen onder andere aanbieders van telecomdiensten en energievoorziening, beheerders van spoorweginfrastructuur, financiële diensten, afval- en waterbeheerbedrijven, post- en koeriersdiensten, fabrikanten van medische hulpmiddelen en overheidsdiensten.

De manier waarop gehandhaafd zal gaan worden is verschillend voor de twee categorieën waaronder organisaties gaan vallen. Organisaties kunnen bestempeld worden als essentieel of als belangrijk. Het grootste verschil tussen essentiële en belangrijke entiteiten zit in de monitoring van het naleven van de regels. Bij de essentiële aanbieders, voornamelijk partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. Dit betekent dat bij deze organisaties actief gecheckt zal worden of de wetgeving wordt nageleefd. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, als er aanwijzingen zijn dat er sprake is van een incident. Mocht na een incident blijken dat de organisatie niet de vereiste stappen heeft genomen, dan zullen ook deze organisaties te maken kunnen krijgen met mogelijke consequenties van het niet naleven van deze wetgeving.

Zoals het er nu naar uit ziet, kunnen organisaties waarvan blijkt dat zij de wetgeving niet volgen te kampen kunnen krijgen met onder andere boetes en schorsingen. Zoals het er naar uit ziet, kunnen er boetes uitgedeeld worden van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet - afhankelijk van welke hoger is - en personen met een relevante autoriteit of management rol kunnen persoonlijk verantwoordelijk gehouden worden.¹ Op deze manier worden organisaties aangespoord om de benodigde stappen te zetten en te investeren in weerbaarheid tegen digitale dreigingen en andere risico’s die impact kunnen hebben op hun netwerk en informatiesystemen.

Verder zal er door de NIS2 voor gezorgd worden dat er een European Cyber Crises Liaison Organisation Network (EU-CyCLONe) opgericht wordt om support en coördinatie te bieden in het geval van een grootschalige cyberaanval in de EU. Ook zal er door experts op gehamerd worden om samen te werken en onderling tussen lidstaten van elkaar te leren om zo tips uit te delen en onderling vertrouwen te vergroten. Op vrijdag 13 mei zijn het Europese parlement en de Europese lidstaten tot een voorlopig akkoord gekomen over de NIS2. Zodra het akkoord formeel is aangenomen, hebben lidstaten 21 maanden om de nieuwe eisen te vertalen naar nationale wetgeving.

Op deze pagina lees je alles over de NIS2-richtlijn.