NIS2 staat voor "Network and Information Security Directive" en is een voortzetting en uitbreiding van de vorige EU-cybersecurityrichtlijn, NIS1. Het doel van NIS2 is om het collectieve cyberbeveiligingsniveau van de EU-lidstaten te versterken door de handhavingsvereisten voor cyberbeveiliging voor kritieke infrastructuursectoren te verhogen.
De NIS2-richtlijn reguleert bedrijven en overheidsinstanties op het gebied van cybersecurity. De richtlijn zal zich manifesteren als nationale wetgeving, wat betekent dat elke organisatie die onder de richtlijn valt, aan haar eisen moet voldoen.
NIS2 breidt zijn EU-brede cyberbeveiligingsvereisten en -sancties uit om het beveiligingsniveau in alle EU-lidstaten te harmoniseren en te stroomlijnen en strengere vereisten betekenen dat organisaties nu duidelijke plannen moet opstellen voor de manier waarop zij risicobeheer, controle en toezicht uitvoeren.
Wanneer is de NIS2 in werking getreden?
De richtlijn werd op 10 november 2022 door het Europees Parlement aangenomen en organisaties (waarop NIS2 van toepassing is) hadden tot 17 oktober 2024 de tijd om aan de nieuwe wettelijke vereisten te voldoen, waarna ze in aanmerking kwamen voor mogelijke boetes.
Volgens de richtlijn zijn bedrijven in de betreffende sectoren verplicht om de nieuwe regels, vereisten en richtlijnen te begrijpen en aan te pakken.
Overzicht integrale beveiliging wetgeving
Hoe verhoudt de NIS2 zich tot de AVG, CER en DORA?
AVG
De link tussen de AVG en NIS2 ligt in hun gezamenlijke focus op beveiligingsmaatregelen en het beschermen van gegevens. Terwijl de AVG specifiek gericht is op de bescherming van persoonsgegevens en privacy van individuen, is de NIS2-richtlijn breder en omvat de beveiliging van netwerk- en informatiesystemen die essentieel zijn voor de continuïteit van bepaalde sectoren. Beide vereisen dat organisaties robuuste technische en organisatorische maatregelen nemen om risico’s en incidenten te beperken en te voorkomen.
CER
NIS2 richt zich op de beveiliging van netwerkinformatie, terwijl CER dit aanvult met een focus op fysieke beveiliging. Zo ontstaat een allesomvattende strategie om de veerkracht (resilience) van kritieke entiteiten te verbeteren.
DORA
DORA is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen. DORA is van kracht sinds januari 2023 en is een aanvulling op bestaande wetgeving NIS en AVG.
Voor welke sectoren is NIS2 bedoeld?
Het aantal gedekte sectoren neemt toe omdat de NIS2-commissie wil dat alle organisaties die een kritische positie in de samenleving innemen, onder de richtlijn vallen om de cyberweerbaarheid van Europa te versterken.
Welke eisen stelt NIS2 aan organisaties?
De NIS2-richtlijn voegt nieuwe vereisten toe voor 4 primaire gebieden van de organisatie:
- Management
Het is noodzakelijk dat het management op de hoogte is van de vereisten van de richtlijn en de inspanningen op het gebied van risicobeheer en deze begrijpt. Zij hebben een directe verantwoordelijkheid om cyberrisico's te identificeren en aan te pakken om aan de vereisten te voldoen. - Melding aan de autoriteiten
Organisaties moeten processen hebben vastgesteld om te zorgen voor een goede rapportage aan de autoriteiten. Zo zijn er eisen dat grote incidenten binnen 24 uur gemeld moeten worden. - Risicobeheer
Om aan de nieuwe eisen te voldoen, moeten organisaties maatregelen nemen om risico's en gevolgen te minimaliseren. Dit omvat incidentbeheer, verbeterde beveiliging van de toeleveringsketen, netwerkbeveiliging, toegangscontrole en versleuteling. - Bedrijfscontinuïteit
Organisaties moeten nadenken over hoe ze de bedrijfscontinuïteit kunnen waarborgen in het geval van grote cyberincidenten. Dit omvat bijvoorbeeld systeemherstel, noodprocedures en de oprichting van een crisisresponsteam.
Het doel hiervan is om Europa beter in staat te stellen huidige en toekomstige cyberdreigingen het hoofd te bieden.
Minimale maatregelen die geïmplementeerd moeten worden
Afhankelijk van de grootte van het bedrijf, de maatschappelijke functie en hoe kwetsbaar de organisatie is, varieert het niveau van de vereisten. Dit is om ervoor te zorgen dat de vereisten evenredig blijven, zodat kleinere bedrijven niet onevenredig worden getroffen, en dat de vereisten voor grotere bedrijven hun rol in de samenleving weerspiegelen. Dat gezegd hebbende, zijn er een aantal minimummaatregelen die NIS2 vereist dat alle relevante bedrijven implementeren.
Zoals het geval is met de vier bovengenoemde aandachtsgebieden, zijn de volgende minimummaatregelen algemene samenvattingen van de vereisten van de richtlijn en moeten ze niet als volledig worden beschouwd:
- Risicobeoordelingen en beveiligingsbeleid voor informatiesystemen
- Een plan voor het afhandelen van beveiligingsincidenten
- Een plan voor het beheren van de bedrijfsvoering tijdens en na een beveiligingsincident. Dit betekent dat back-ups up-to-date moeten zijn. Er moet ook een plan zijn om de toegang tot IT-systemen en hun operationele functies tijdens en na een beveiligingsincident te waarborgen.
- Beveiliging rond toeleveringsketens en de relatie tussen het bedrijf en de directe leverancier. Bedrijven moeten beveiligingsmaatregelen kiezen die passen bij de kwetsbaarheden van elke directe leverancier. En dan moeten bedrijven het algehele beveiligingsniveau voor alle leveranciers beoordelen.
- Beleid en procedures voor het evalueren van de effectiviteit van beveiligingsmaatregelen.
- Beveiliging rondom de aanschaf van systemen en de ontwikkeling en exploitatie van systemen. Dit betekent dat er beleid moet zijn voor het omgaan met en rapporteren van kwetsbaarheden.
- Cybersecurity-training en een richtlijn voor basiscomputerhygiëne.
- Beleid en procedures voor het gebruik van cryptografie en encryptie.
- Beveiligingsprocedures voor werknemers met toegang tot gevoelige of belangrijke gegevens, inclusief beleid voor toegang tot gegevens. De organisatie moet ook een overzicht hebben van alle relevante activa en ervoor zorgen dat deze op de juiste manier worden gebruikt en behandeld.
- Het gebruik van multi-factor authenticatie, continue authenticatieoplossingen, spraak-, video- en tekstversleuteling en versleutelde interne noodcommunicatie, indien van toepassing.
Deze beschrijvingen zijn algemene samenvattingen van de gebieden die onder de richtlijn vallen en zijn derhalve niet volledig volledig. Heb je specifieke vragen neem gerust contact op met CPRM
Wat gebeurt er als je niet voldoet aan NIS2?
Boetes
Organisaties die niet voldoen aan NIS2, kunnen aanzienlijke boetes krijgen op basis van het feit of ze worden gecategoriseerd als essentiële of belangrijke bedrijven:
- Essentiële organisaties
Organisaties die als essentieel zijn gecategoriseerd, riskeren boetes tot 10 miljoen euro of 2% van hun wereldwijde jaaromzet. - Belangrijke organisaties
Organisaties die als belangrijk zijn gecategoriseerd, riskeren boetes tot 7 miljoen euro of 1,4% van hun wereldwijde jaaromzet.
Juridische gevolgen
De gevolgen van het niet kunnen behalen van NIS2-compliance omvatten nu meer dan sec in aanmerking komen voor boetes. Bovendien kunnen bestuurders van organisaties nu verantwoordelijk worden gehouden voor het niet voldoen aan de nieuwe eisen. Met andere woorden, de nieuwe richtlijn benadrukt nu dat het bestuur te maken kan krijgen met juridische gevolgen als ze zich niet aan de nieuwe regels houden. Bovendien moet het bestuur verplicht cursussen volgen om hun vermogen om cyberbeveiligingsrisico's te beoordelen te verbeteren en hun organisatie aanmoedigen om regelmatig soortgelijke cursussen voor alle werknemers aan te bieden. CPRM biedt deze cursussen aan. Neem contact op voor meer informatie of een training op maat.