NIS2 Directieve

De EU-richtlijn Netwerk- en Informatiebeveiliging (NIS) was het eerste stuk EU-brede wetgeving inzake cyberbeveiliging dat in 2016 van kracht werd. Om echter de beperkingen aan te pakken die binnen het huidige kader zijn geïdentificeerd en om te reageren op de groeiende bedreigingen voor de cyberbeveiliging in de EU In de nasleep van de digitalisering en Covid-19 heeft de Europese Commissie de NIS-richtlijn vervangen door de NIS2-richtlijn, die strengere toezichtmaatregelen voor de nationale autoriteiten en strengere handhavingseisen introduceert, en gericht is op het harmoniseren van sanctieregimes in de lidstaten. De NIS2-richtlijn is op 16 januari 2023 in werking getreden en de lidstaten hebben 21 maanden, tot 17 oktober 2024, de tijd om de richtlijn in nationaal recht om te zetten.

De NIS2-richtlijn heeft tot doel de veiligheidseisen in de EU te versterken door de reikwijdte ervan uit te breiden naar meer sectoren en entiteiten; rekening houdend met maatregelen als risicoanalyse en beveiligingsbeleid voor informatiesystemen, afhandeling van incidenten en beveiliging van de toeleveringsketen; en het stroomlijnen van onder meer de rapportageverplichtingen. In geval van niet-naleving verplicht NIS2 de lidstaten om te voorzien in zware boetes: €10 miljoen of 2% van de mondiale omzet (afhankelijk van wat het hoogste is) voor essentiële entiteiten en €7 miljoen of 1,4% van de mondiale omzet (afhankelijk van wat het hoogste is) voor belangrijke entiteiten. NIS2 legt directe verplichtingen op aan de bestuursorganen voor de uitvoering van en het toezicht op de naleving van de wetgeving door hun organisatie. Niet-naleving zou mogelijk kunnen leiden tot het opleggen van een tijdelijk verbod op het uitoefenen van leidinggevende verantwoordelijkheden aan het senior management van de entiteit, inclusief de leidinggevenden op C-suiteniveau.

 

NIS2 vereisten

  1. De lidstaten zorgen ervoor dat de leden van de bestuursorganen van essentiële en belangrijke entiteiten verplicht zijn een opleiding te volgen, en moedigen essentiële en belangrijke entiteiten aan om hun werknemers regelmatig soortgelijke opleidingen aan te bieden, zodat zij voldoende kennis verwerven kennis en vaardigheden om hen in staat te stellen risico’s te identificeren en praktijken op het gebied van cyberbeveiligingsrisicobeheer en hun impact op de door de entiteit geleverde diensten te beoordelen.
  2. De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de veiligheid van netwerk- en informatiesystemen te beheersen, op basis van:
    a) beleid inzake risicoanalyse en beveiliging van informatiesystemen;
    b) afhandeling van incidenten;
    c) bedrijfscontinuïteit, zoals back-upbeheer en rampenherstel, en crisisbeheer;
    d) beveiliging van de toeleveringsketen, inclusief veiligheidsgerelateerde aspecten met betrekking tot de relaties tussen
        elke entiteit en haar directe entiteit leveranciers of dienstverleners;
    e) beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief
        kwetsbaarheid behandeling en openbaarmaking;
    f) beleid en procedures om de effectiviteit van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen;
    g) basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingstraining;
    h) beleid en procedures met betrekking tot het gebruik van cryptografie en, indien van toepassing, encryptie;
    i) beveiliging van personeelszaken, toegangscontrolebeleid en vermogensbeheer;
    j) het gebruik van multi-factor authenticatie of continue authenticatie-oplossingen, beveiligde spraak, video en tekst
      communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.
  3. Vanaf 18 oktober 2024 zijn alle NIS2-entiteiten verplicht om de CCB op de hoogte te stellen van significante incidenten, d.w.z. elk incident dat een significante impact heeft op de levering van hun diensten en dat:
    >
    heeft een ernstige operationele verstoring van de diensten of financieel verlies voor de entiteit veroorzaakt of kan dit
        veroorzaken
    >
    andere natuurlijke of rechtspersonen heeft getroffen of kan schade toebrengen door aanzienlijke materiële of
        immateriële schade te veroorzaken.
2.14.0.0
2.14.0.0

Heeft u hulp nodig bij implementatie van NIS2?

We kunnen u hiermee helpen.