Huidige situatie

De Minister van Justitie en Veiligheid heeft op 31 januari de Kamer geïnformeerd dat “het omzetten van de richtlijnen in nationale wetgeving meer tijd vergt dan in eerste instantie werd verwacht”. Naar verwachting betekend dit, dat er medio 2024 een internetconsulatie plaatsvindt om de wetsvoorstellen in het najaar van 2024 aan de Kamer aan te bieden. Desondanks de vertraging in de implementatie van de NIS2-richtlijn, blijft de implementatiedatum van 17 oktober 2024 ongewijzigd. 
Randy Baerts, Cyber (Connects) Security Consultant, last updated: 10-05-2024 15:49.

Wat Is NIS2?

Network and Information Security Directive 2 (NIS2) is een Europese richtlijn die als doel heeft het cyberbeveiligingsniveau van EU-lidstaten te versterken, door strengere handhavingseisen voor cyberbeveiliging in te voeren, met name voor sectoren binnen de kritieke infrastructuur.

Sectoren

De NIS2 breidt haar toepassingsgebied uit naar meerdere sectoren en organisaties die van vitaal belang zijn voor de maatschappij, zoals voedselproductie, afvalbeheer en de hele toeleveringsketen, en maakt hierbij zorgvuldig onderscheid tussen “essentiële bedrijven” en “belangrijke bedrijven”.

Essentiële Bedrijven

Essentiële bedrijven spelen een cruciale factor binnen de basisbehoeften van de samenlevingen, staan proactief onder toezicht en worden beter gecontroleerd. Deze bedrijven worden als essentieel aangemerkt vanaf het moment dat er 250 werknemers werkzaam zijn en/of een jaaromzet van €50 miljoen en/of een jaarlijkse balanstotaal van €43 miljoen aanwezig is.

Belangrijk voor de bescherming van energie-infrastructuur tegen mogelijke cyberaanvallen, en waarborging van de ononderbroken levering van elektriciteit.

Essentieel om de beschikbaarheid en vertrouwelijkheid van waterdiensten te handhaven, wat van levensbelang is voor de volksgezondheid.

Onmisbaar om de veiligheid van vervoerssystemen te waarborgen en gegevens te beschermen, voornamelijk in de geautomatiseerd transport.

Cruciaal om de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens te waarborgen en zo medische zorg en privacy te beschermen.

Onmisbaar voor financiële stabiliteit en het voorkomen van financiële cyberaanvallen die de economie kunnen ontwrichten.

Cruciaal om de integriteit en beschikbaarheid van digitale service providers -en diensten, en hun klantgegevens, te waarborgen.

Cruciaal voor de bescherming van overheidsdiensten en gevoelige gegevens, die van essentieel belang zijn voor het functioneren van de maatschappij.

Noodzakelijk om de veiligheid en betrouwbaarheid van lanceer- en communicatiesystemen te waarborgen, wat van invloed is op de digitalisering, communicatie, mobiliteit en het klimaat.

Belangrijke Bedrijven

Belangrijke bedrijven zijn ondernemingen die aanzienlijke invloed hebben op de maatschappij, maar die niet cruciaal zijn voor de directe basisbehoeften. Deze bedrijven hebben minimaal 50 werknemers en/of hebben een jaaromzet van ten minste (en/of een jaarlijks balanstotaal) van €10 miljoen, ondervinden minder controle en staan onder reactief toezicht.

Belangrijk voor de operationele continuïteit en bescherming van gevoelige logistieke gegevens.

Noodzakelijk voor de bescherming van operationele processen en gegevens in afvalverwerking en recycling.

Essentieel om de veiligheid van productieprocessen te waarborgen en het milieu te beschermen tegen potentiële risico’s.

Belangrijk voor de voedselveiligheid en de bescherming van productieprocessen tegen cyberdreigingen.

Belangrijk voor de bescherming van gevoelige onderzoeksgegevens en het behoud van wetenschappelijke vooruitgang.

Essentieel voor de beveiliging en continuïteit van productieprocessen en om het intellectuele eigendom van concurrentievermogen te behouden.

Van belang voor de stabiliteit en veiligheid van online diensten die essentieel zijn voor communicatie, handel en informatie-uitwisseling.

Eisen NIS2

De NIS2-richtlijn voegt nieuwe eisen toe voor 4 primaire gebieden voor de organisaties: management, rapportage aan de autoriteiten, risicomanagement en bedrijfscontinuïteit.

Organisaties dienen regelmatig risicoanalyses en evaluaties uit te voeren, en een beveiligingsbeleid voor informatiesystemen in te richten om bewust te worden van digitale risico’s en deze adequaat te behandelen. 

Organisaties hebben meldplicht, dit betekend dat zij in staat moeten zijn om een beveiligingsincident effectief en efficiënt identificeren, analyseren, beperken, en herstellen om weer operationeel te zijn.  Ook moeten zij een melding maken van het beveiligingsincident binnen 24 uur na ontdekking. 

Organisaties moeten een disaster recovery plan hanteren en bedrijfscontinuïteitsmaatregelen implementeren, zoals back-ups en crisismanagement, om de veerkracht te waarborgen tijdens en na security incidenten.

Organisaties moeten leveranciers toetsen en beveiligingsmaatregelen per kwetsbaarheid implementeren, om de beveiliging van de toeleveringsketen te waarborgen en potentiële risico’s behandelen.

Organisaties dienen een beleid te hebben voor het omgaan met, en het rapporteren van kwetsbaarheden in de levenscyclus van systemen en applicaties.

Organisaties moeten procedures hebben om de effectiviteit van cybersecurity risicomanagementmaatregelen te beoordelen en te evalueren.

Organisaties dienen een basis cyber hygiëne te hebben door medewerkers te voorzien van cybersecurity-trainingen om bewustzijn en competentie te vergroten.

Organisaties moeten een beleid en procedures hebben voor de implementatie en het correcte gebruik van cryptografie en, indien relevant, encryptie.

Organisaties dienen beveiligingsprocedures te hebben voor toegangscontrole, access control en asset management om gevoelige gegevens en informatiebronnen adequaat te beschermen.

Organisaties moeten Multi-Factor Authentication (MFA) of vergelijkbare authenticatiemethoden implementeren om toegangscontrole te versterken.

Schending

Bedrijfsmanagement kan persoonlijk verantwoordelijk gesteld worden voor het niet nakomen van de vereisten.

Dat betekent dat ze juridische consequenties kunnen ondervinden als ze de nieuwe regels niet volgen. 

€7,000,000 / 1,4% Omzet

Voor bedrijven gecategoriseerd als belangrijk risico boetes tot €7 miljoen euro of 1,4% van hun wereldwijde jaarlijkse omzet.

€10,000,000 / 2% Omzet

Voor bedrijven die gecategoriseerd zijn als essentieel, riskeren boetes tot €10 miljoen euro of 2% van hun wereldwijde jaarlijkse omzet.

Juridische gevolgen

Deze juridische gevolgen van het niet kunnen voldoen aan NIS2-naleving omvatten nu meer dan alleen maar in aanmerking komen voor boetes. De managementteams kunnen nu verantwoordelijk worden gehouden voor het niet voldoen aan de nieuwe vereisten. Met andere woorden, de nieuwe richtlijn benadrukt nu dat het management geconfronteerd kan worden met juridische gevolgen als zij zich niet aan de nieuwe regels houden.

NEEM GEEN RISICO'S

Ontdek Zorgeloze Cybersecurity

Beveilig uw bedrijf met zorgeloze cybersecurityoplossingen. Kies voor gemoedsrust en bescherming tegen digitale bedreigingen.