NIS2 – Regelgeving voor een veiligere toekomst
NIS2 is de zogenaamde EU-brede cyberbeveiligingsrichtlijn die in oktober 2024 van kracht wordt. Vergeleken met NIS1 introduceert NIS2 aanzienlijke veranderingen, die ook strengere cyberbeveiligingsverplichtingen zullen opleggen aan meer organisaties. Lidstaten zullen nieuwe bepalingen moeten aannemen die deze strengere controle- en handhavingsmaatregelen bevatten om naleving van de richtlijn te waarborgen. NIS2 vervangt de NIS1-richtlijn, met een aantal belangrijke verschillen ten opzichte van NIS1: NIS2 breidt het toepassingsgebied uit naar grotere entiteiten, zoals fabrikanten van chemische en medische apparatuur, levensmiddelenfabrikanten en aanbieders van sociale netwerken, die voorheen niet onder NIS1 vielen. NIS2 vervangt het onderscheid tussen “essentiële dienstverlener” en “digitale dienstverlener” door “essentiële entiteiten” en “kritieke entiteiten” op basis van onder andere omvang en sector. Hoewel beide soortgelijke verplichtingen hebben, zijn de essentiële entiteiten onderworpen aan strengere handhavings- en controlemaatregelen. De sectortoezichthouder moet verantwoordelijk zijn voor de controlemaatregelen.
NIS2 legt nieuwe cyberbeveiligingsverplichtingen op aan “essentiële” en “kritieke” entiteiten, waaronder risico- en toeleveringsketenbeheer, melding van cyberincidenten en het delen van informatie. Om aan deze eisen te voldoen, moeten de betrokken entiteiten nieuw beleid en nieuwe procedures ontwikkelen en implementeren. NIS2 vereist dat EU-lidstaten hun nationale cyberbeveiligingsstrategieën verbeteren en reageren op de digitale dreigingen waarmee ze worden geconfronteerd. Het is belangrijk dat organisaties op de hoogte blijven van toekomstige initiatieven van lidstaten op dit gebied.
Verbeterde beveiligingseisen
NIS2 zal de beveiligingseisen van ondernemingen verbeteren door de invoering van een risicobeheermethode en een minimumlijst van basisbeveiligingselementen. De richtlijn bevat ook veel gedetailleerdere bepalingen over het melden van incidenten, waaronder bijvoorbeeld de inhoud en timing van meldingen. Volgens de richtlijn moet de melding binnen 24 uur na het optreden van het incident plaatsvinden en moet deze een meer gedetailleerd rapportageproces bevatten. NIS2 vereist ook dat de beveiliging van de toeleveringsketen wordt aangepakt. Hieronder vallen ook de risico’s van co-meetrelaties. NIS2 benadrukt ook de verantwoordelijkheid van het management voor organisatorische cyberbeveiliging en legt individuele verantwoordelijkheid bij bestuursorganen zoals de raad van bestuur en het management om ervoor te zorgen dat de cyberbeveiligingseisen effectief worden geïmplementeerd. Organisaties kunnen worden onderworpen aan verschillende handhavingsbevelen en niet-naleving kan leiden tot aanzienlijke boetes.
