NIS2.0: de nieuwe wet op het gebied van cybersecurity waarover je als ondernemer of IT-verantwoordelijke alles moet weten. De Europese Unie heeft namelijk besloten de cyberbeveiliging en weerbaarheid in de hele EU te versterken: De Raad neemt een nieuwe wetgeving aan. Deze nieuwe wetgeving gaat de NIS2 Cybersecurity wet heten.
Europa werkt momenteel aan wetgeving op het gebied van cybersecurity, genaamd NIS2. Deze richtlijn dwingt steeds meer organisaties (met name bedrijven die van groot belang zijn voor de economie en maatschappij) om de kwaliteit van hun cybersecurity te verbeteren en een bepaald minimumniveau te garanderen.
Hoewel het bewustzijn rondom cybersecurity bij organisaties toeneemt, blijkt uit analyses van security-incidenten en datalekken nog te vaak dat deze incidenten voorkomen hadden kunnen worden als organisaties zorgvuldiger te werk waren gegaan. Het is belangrijk om te voldoen aan de wet en aansprakelijkheid uit te sluiten door te zorgen voor protect, detect, respond & cover.
NIS staat voor de richtlijn ‘Network and Information Security’, die in 2016 werd ingevoerd en binnenkort wordt vervangen door een zwaardere versie. De NIS is in Nederland opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en heeft drie pijlers van beveiliging: het in kaart brengen van security risico’s, het beperken van risico’s door bescherming en detectie, en het beperken van de gevolgen van cyberincidenten.
De Europese Raad heeft de wetgeving aangenomen om een hoog niveau van cyberbeveiliging in de hele Europese Unie tot stand te brengen om de weerbaarheid en reactie op cyberincidenten van de publieke en private sector en de EU als geheel verder te vergroten.
De nieuwe richtlijn genaamd “NIS2” vervangt de huidige richtlijn over de beveiliging van netwerken en informatiesystemen (NIS-richtlijn).
NIS2 heeft als doel om de veiligheid van toeleveringsketens te verbeteren door individuele bedrijven te verplichten om cyberveiligheidsrisico’s in toeleveringsketens en leveranciersrelaties te beheersen. De voorgestelde wijzigingen hebben ook tot doel de cyberbeveiliging van de toeleveringsketen voor belangrijke informatie- en communicatietechnologieën op Europees niveau te versterken.
NIS2 gaat de basis vormen op het gebied van cyberbeveiliging en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen. Hierin wordt onderscheid gemaakt in de volgende categorieën:
De beveiligingseisen gelden voor zowel organisaties in vitale sectoren als voor bedrijven die indirect of direct daaraan verbonden kunnen worden en dat is al snel. Denk bijvoorbeeld aan bedrijven die in een keten zitten, waar vitale sectoren gebruik van maken of afhankelijk van zijn op wat voor manier dan ook.
Kleine bedrijven (minder dan 50 medewerkers en bedrijven met minder dan 10 miljoen omzet) vormen een uitzondering en hoeven dus niet aan de NIS2.0 wetgeving te voldoen. Organisaties en bedrijven die wel dienen te voldoen zijn ingedeeld in een aantal generiek beschreven branches.
Voorbeelden van vitale sectoren (Annex 1):
Voorbeelden van andere sectoren die van belang zijn voor de continuïteit (Annex 2)
De richtlijn heeft als doel de cyberbeveiligingsvereisten en de implementatie van cyberbeveiligingsmaatregelen in alle lidstaten te harmoniseren. Daartoe bevat het minimumvereisten voor het regelgevingskader en mechanismen voor effectieve samenwerking tussen de autoriteiten in elke lidstaat.
De richtlijn actualiseert de lijst van sectoren en activiteiten die onderworpen zijn aan cyberbeveiligingsverplichtingen en voorziet in rechtsmiddelen en sancties om handhaving te waarborgen. Met de NIS2 richtlijn wordt formeel EU-CyCLONE opgericht, een Europees verbindingsnetwerk voor cybercrisissen, dat het gecoördineerde beheer van grootschalige cyberveiligheidsincidenten zal ondersteunen.
Onder de oude NIS-richtlijn waren de lidstaten verantwoordelijk voor het bepalen welke entiteiten kwalificeren als essentiële dienstverleners, maar de nieuwe NIS2-richtlijn introduceert size cap-regels als algemene regel voor het identificeren van gereguleerde entiteiten.
Dit betekent dat alle grote en middelgrote entiteiten die actief zijn in bedrijfstakken die onder de richtlijn vallen of die diensten verlenen, binnen het toepassingsgebied van de richtlijn zullen vallen. Hoewel de herziene richtlijn deze algemene regel handhaaft, bevat de tekst aanvullende bepalingen om te zorgen voor evenredigheid, een hoger niveau van risicobeheer en duidelijke kritikaliteitscriteria voor nationale autoriteiten om te bepalen welke aanvullende entiteiten onder de richtlijn vallen.
De tekst verduidelijkt ook dat de richtlijn niet van toepassing is op entiteiten die actief zijn op gebieden als defensie of nationale veiligheid, openbare veiligheid en wetshandhaving. Ook de rechterlijke macht, het parlement en de centrale banken vallen buiten het bereik.
NIS2 zal ook van toepassing zijn op de rijks- en regionale overheidsdiensten. Bovendien kunnen de lidstaten besluiten dat het ook van toepassing is op dergelijke entiteiten op lokaal niveau.
Bovendien voldoet de nieuwe richtlijn aan branchespecifieke wetgeving, met name de Financial Sector Digital Operational Resilience Regulation (DORA) en de Critical Entity Resilience Directive (CER), om juridische duidelijkheid en consistentie te bieden tussen NIS2 en deze garantiewetten.
Een vrijwillig mechanisme voor peer learning zou het wederzijdse vertrouwen vergroten en leren van goede praktijken en ervaringen in de hele alliantie, en zo bijdragen aan het bereiken van een zeer gemeenschappelijk niveau van cyberbeveiliging. De nieuwe wetgeving vereenvoudigt ook de rapportageverplichtingen om overrapportage en onnodige belasting van relevante entiteiten te voorkomen.
Het nieuwe Commissievoorstel heeft tot doel de tekortkomingen van de vorige NIS-richtlijn aan te pakken, de richtlijn aan te passen aan de huidige behoeften en haar toekomstbestendig te maken.
Daartoe breidt de Commissie het toepassingsgebied van de huidige NIB-richtlijn uit door nieuwe sectoren toe te voegen op basis van het belang ervan voor de economie en de samenleving, en door een duidelijk plafond voor de omvang in te voeren – wat betekent dat alle middelgrote en grote ondernemingen in bepaalde sectoren onder het toepassingsgebied zullen vallen. Tegelijkertijd laat het de lidstaten enige flexibiliteit om kleinere entiteiten met een hoog veiligheidsrisicoprofiel te identificeren.
Het voorstel maakt ook een einde aan het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Entiteiten worden ingedeeld op basis van hun belang, en verdeeld in essentiële en belangrijke categorieën, waarvoor verschillende toezichtregelingen gelden.
Het voorstel versterkt en stroomlijnt de beveiligings- en rapportagevereisten voor bedrijven door een risicobeheerbenadering op te leggen, die voorziet in een minimumlijst van basisbeveiligingselementen die moeten worden toegepast. Het voorstel bevat nauwkeuriger bepalingen inzake de procedure voor het melden van incidenten, de inhoud van de rapporten en de termijnen.
Voorts stelt de Commissie voor de beveiliging van toeleveringsketens en relaties met leveranciers aan te pakken door individuele bedrijven te verplichten de risico’s van cyberbeveiliging in toeleveringsketens en relaties met leveranciers aan te pakken. Op Europees niveau versterkt het voorstel de cyberbeveiliging van de bevoorradingsketen voor belangrijke informatie- en communicatietechnologieën.
De lidstaten kunnen, in samenwerking met de Commissie en het ENISA, gecoördineerde risicobeoordelingen van kritieke toeleveringsketens uitvoeren, voortbouwend op de succesvolle aanpak in het kader van de aanbeveling van de Commissie inzake de cyberbeveiliging van 5G-netwerken.
Het voorstel voorziet in strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingseisen en beoogt harmonisatie van de sanctieregelingen in de lidstaten.
Het voorstel versterkt ook de rol van de samenwerkingsgroep bij het nemen van strategische beleidsbeslissingen en versterkt de informatie-uitwisseling en samenwerking tussen de autoriteiten van de lidstaten. Het versterkt ook de operationele samenwerking, onder meer op het gebied van cybercrisisbeheer.
Het Commissievoorstel voorziet ook in een basiskader met verantwoordelijke hoofdrolspelers voor de gecoördineerde bekendmaking van nieuw ontdekte kwetsbaarheden in de hele EU en creëert een EU-register op dit gebied, dat wordt beheerd door het EU-agentschap voor cyberbeveiliging (ENISA).
De richtlijn wordt de komende dagen bekendgemaakt in het Publicatieblad van de Europese Unie en treedt in werking op de twintigste dag na die bekendmaking.
De lidstaten hebben vanaf de inwerkingtreding van de richtlijn 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.
Meer weten? Bekijk dan het webinar over dit onderwerp: