'Een veilige werkomgeving
beschermt wat waardevol is'

Michael Cybersecurity Architect
IT-security versterken? Samen met ACA.

In het kort

De Europese Unie besluit de cyberbeveiliging en weerbaarheid in de hele EU te versterken: De Raad neemt een nieuwe wetgeving aan. Deze nieuwe wetgeving gaat de NIS2 Cybersecurity wet heten.

Wat houdt de NIS2 Cybersecurity wet in?

De Europese Raad heeft de wetgeving aangenomen om een ​​hoog niveau van cyberbeveiliging in de hele Europese Unie tot stand te brengen om de weerbaarheid en reactie op cyberincidenten van de publieke en private sector en de EU als geheel verder te vergroten.

De nieuwe richtlijn genaamd “NIS2” vervangt de huidige richtlijn over de beveiliging van netwerken en informatiesystemen (NIS-richtlijn).

Betere risico- en incidentenbeheer en samenwerking

NIS2 gaat de basis vormen op het gebied van cyberbeveiliging en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen. Denk hierbij aan energie, vervoer, gezondheid en digitale infrastructuur.

De herziene richtlijn heeft als doel de cyberbeveiligingsvereisten en de implementatie van cyberbeveiligingsmaatregelen in alle lidstaten te harmoniseren. Daartoe bevat het minimumvereisten voor het regelgevingskader en mechanismen voor effectieve samenwerking tussen de autoriteiten in elke lidstaat.

De richtlijn actualiseert de lijst van sectoren en activiteiten die onderworpen zijn aan cyberbeveiligingsverplichtingen en voorziet in rechtsmiddelen en sancties om handhaving te waarborgen. Met de richtlijn wordt formeel EU-CyCLONE opgericht, een Europees verbindingsnetwerk voor cybercrisissen, dat het gecoördineerde beheer van grootschalige cyberveiligheidsincidenten zal ondersteunen.

Uitbreiding van de regels

Onder de oude NIS-richtlijn waren de lidstaten verantwoordelijk voor het bepalen welke entiteiten kwalificeren als essentiële dienstverleners, maar de nieuwe NIS2-richtlijn introduceert size cap-regels als algemene regel voor het identificeren van gereguleerde entiteiten.

Dit betekent dat alle grote en middelgrote entiteiten die actief zijn in bedrijfstakken die onder de richtlijn vallen of die diensten verlenen, binnen het toepassingsgebied van de richtlijn zullen vallen. Hoewel de herziene richtlijn deze algemene regel handhaaft, bevat de tekst aanvullende bepalingen om te zorgen voor evenredigheid, een hoger niveau van risicobeheer en duidelijke kritikaliteitscriteria voor nationale autoriteiten om te bepalen welke aanvullende entiteiten onder de richtlijn vallen.

De tekst verduidelijkt ook dat de richtlijn niet van toepassing is op entiteiten die actief zijn op gebieden als defensie of nationale veiligheid, openbare veiligheid en wetshandhaving. Ook de rechterlijke macht, het parlement en de centrale banken vallen buiten het bereik.

NIS2 zal ook van toepassing zijn op de rijks- en regionale overheidsdiensten. Bovendien kunnen de lidstaten besluiten dat het ook van toepassing is op dergelijke entiteiten op lokaal niveau.

Ingevoerde wijzigingen

Bovendien voldoet de nieuwe richtlijn aan branchespecifieke wetgeving, met name de Financial Sector Digital Operational Resilience Regulation (DORA) en de Critical Entity Resilience Directive (CER), om juridische duidelijkheid en consistentie te bieden tussen NIS2 en deze garantiewetten. Een vrijwillig mechanisme voor peer learning zou het wederzijdse vertrouwen vergroten en leren van goede praktijken en ervaringen in de hele alliantie, en zo bijdragen aan het bereiken van een zeer gemeenschappelijk niveau van cyberbeveiliging. De nieuwe wetgeving vereenvoudigt ook de rapportageverplichtingen om overrapportage en onnodige belasting van relevante entiteiten te voorkomen.

De nieuwe NIS 2-richtlijn, belangrijkste elementen

Het nieuwe Commissievoorstel heeft tot doel de tekortkomingen van de vorige NIS-richtlijn aan te pakken, de richtlijn aan te passen aan de huidige behoeften en haar toekomstbestendig te maken.

Daartoe breidt de Commissie het toepassingsgebied van de huidige NIB-richtlijn uit door nieuwe sectoren toe te voegen op basis van het belang ervan voor de economie en de samenleving, en door een duidelijk plafond voor de omvang in te voeren – wat betekent dat alle middelgrote en grote ondernemingen in bepaalde sectoren onder het toepassingsgebied zullen vallen. Tegelijkertijd laat het de lidstaten enige flexibiliteit om kleinere entiteiten met een hoog veiligheidsrisicoprofiel te identificeren.

Het voorstel maakt ook een einde aan het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Entiteiten worden ingedeeld op basis van hun belang, en verdeeld in essentiële en belangrijke categorieën, waarvoor verschillende toezichtregelingen gelden.

Het voorstel versterkt en stroomlijnt de beveiligings- en rapportagevereisten voor bedrijven door een risicobeheerbenadering op te leggen, die voorziet in een minimumlijst van basisbeveiligingselementen die moeten worden toegepast. Het voorstel bevat nauwkeuriger bepalingen inzake de procedure voor het melden van incidenten, de inhoud van de rapporten en de termijnen.

Voorts stelt de Commissie voor de beveiliging van toeleveringsketens en relaties met leveranciers aan te pakken door individuele bedrijven te verplichten de risico’s van cyberbeveiliging in toeleveringsketens en relaties met leveranciers aan te pakken. Op Europees niveau versterkt het voorstel de cyberbeveiliging van de bevoorradingsketen voor belangrijke informatie- en communicatietechnologieën. De lidstaten kunnen, in samenwerking met de Commissie en het ENISA, gecoördineerde risicobeoordelingen van kritieke toeleveringsketens uitvoeren, voortbouwend op de succesvolle aanpak in het kader van de aanbeveling van de Commissie inzake de cyberbeveiliging van 5G-netwerken.

Het voorstel voorziet in strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingseisen en beoogt harmonisatie van de sanctieregelingen in de lidstaten.

Het voorstel versterkt ook de rol van de samenwerkingsgroep bij het nemen van strategische beleidsbeslissingen en versterkt de informatie-uitwisseling en samenwerking tussen de autoriteiten van de lidstaten. Het versterkt ook de operationele samenwerking, onder meer op het gebied van cybercrisisbeheer.

Het Commissievoorstel voorziet ook in een basiskader met verantwoordelijke hoofdrolspelers voor de gecoördineerde bekendmaking van nieuw ontdekte kwetsbaarheden in de hele EU en creëert een EU-register op dit gebied, dat wordt beheerd door het EU-agentschap voor cyberbeveiliging (ENISA).

Volgende stappen

De richtlijn wordt de komende dagen bekendgemaakt in het Publicatieblad van de Europese Unie en treedt in werking op de twintigste dag na die bekendmaking.

De lidstaten hebben vanaf de inwerkingtreding van de richtlijn 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.