Huidige situatie
De Minister van Justitie en Veiligheid heeft op 31 januari de Kamer geïnformeerd dat “het omzetten van de richtlijnen in nationale wetgeving meer tijd vergt dan in eerste instantie werd verwacht”. Naar verwachting betekend dit, dat er medio 2024 een internetconsulatie plaatsvindt om de wetsvoorstellen in het najaar van 2024 aan de Kamer aan te bieden. Desondanks de vertraging in de implementatie van de NIS2-richtlijn, blijft de implementatiedatum van 17 oktober 2024 ongewijzigd.
Randy Baerts, Cyber (Connects) Security Consultant, last updated: 10-05-2024 15:49.
Sectoren
De NIS2 breidt haar toepassingsgebied uit naar meerdere sectoren en organisaties die van vitaal belang zijn voor de maatschappij, zoals voedselproductie, afvalbeheer en de hele toeleveringsketen, en maakt hierbij zorgvuldig onderscheid tussen “essentiële bedrijven” en “belangrijke bedrijven”.
Essentiële Bedrijven
Essentiële bedrijven spelen een cruciale factor binnen de basisbehoeften van de samenlevingen, staan proactief onder toezicht en worden beter gecontroleerd. Deze bedrijven worden als essentieel aangemerkt vanaf het moment dat er 250 werknemers werkzaam zijn en/of een jaaromzet van €50 miljoen en/of een jaarlijkse balanstotaal van €43 miljoen aanwezig is.
Belangrijk voor de bescherming van energie-infrastructuur tegen mogelijke cyberaanvallen, en waarborging van de ononderbroken levering van elektriciteit.
Essentieel om de beschikbaarheid en vertrouwelijkheid van waterdiensten te handhaven, wat van levensbelang is voor de volksgezondheid.
Onmisbaar om de veiligheid van vervoerssystemen te waarborgen en gegevens te beschermen, voornamelijk in de geautomatiseerd transport.
Cruciaal om de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens te waarborgen en zo medische zorg en privacy te beschermen.
Onmisbaar voor financiële stabiliteit en het voorkomen van financiële cyberaanvallen die de economie kunnen ontwrichten.
Cruciaal om de integriteit en beschikbaarheid van digitale service providers -en diensten, en hun klantgegevens, te waarborgen.
Cruciaal voor de bescherming van overheidsdiensten en gevoelige gegevens, die van essentieel belang zijn voor het functioneren van de maatschappij.
Noodzakelijk om de veiligheid en betrouwbaarheid van lanceer- en communicatiesystemen te waarborgen, wat van invloed is op de digitalisering, communicatie, mobiliteit en het klimaat.
Belangrijke Bedrijven
Belangrijke bedrijven zijn ondernemingen die aanzienlijke invloed hebben op de maatschappij, maar die niet cruciaal zijn voor de directe basisbehoeften. Deze bedrijven hebben minimaal 50 werknemers en/of hebben een jaaromzet van ten minste (en/of een jaarlijks balanstotaal) van €10 miljoen, ondervinden minder controle en staan onder reactief toezicht.
Belangrijk voor de
operationele continuïteit en bescherming van gevoelige logistieke gegevens.
Noodzakelijk voor de
bescherming van operationele processen en gegevens in afvalverwerking en
recycling.
Essentieel om de veiligheid
van productieprocessen te waarborgen en het milieu te beschermen tegen
potentiële risico’s.
Belangrijk voor de
voedselveiligheid en de bescherming van productieprocessen tegen
cyberdreigingen.
Belangrijk voor de
bescherming van gevoelige onderzoeksgegevens en het behoud van
wetenschappelijke vooruitgang.
Essentieel voor de
beveiliging en continuïteit van productieprocessen en om het intellectuele
eigendom van concurrentievermogen te behouden.
Van belang voor de
stabiliteit en veiligheid van online diensten die essentieel zijn voor
communicatie, handel en informatie-uitwisseling.
Eisen NIS2
De NIS2-richtlijn voegt nieuwe eisen toe voor 4 primaire gebieden voor de organisaties: management, rapportage aan de autoriteiten, risicomanagement en bedrijfscontinuïteit.
Organisaties dienen
regelmatig risicoanalyses en evaluaties uit te voeren, en een
beveiligingsbeleid voor informatiesystemen in te richten om bewust te worden
van digitale risico’s en deze adequaat te behandelen.
Organisaties hebben
meldplicht, dit betekend dat zij in staat moeten zijn om een
beveiligingsincident effectief en efficiënt identificeren, analyseren, beperken,
en herstellen om weer operationeel te zijn. Ook moeten zij een melding maken van het
beveiligingsincident binnen 24 uur na ontdekking.
Organisaties moeten een
disaster recovery plan hanteren en bedrijfscontinuïteitsmaatregelen
implementeren, zoals back-ups en crisismanagement, om de veerkracht te
waarborgen tijdens en na security incidenten.
Organisaties moeten
leveranciers toetsen en beveiligingsmaatregelen per kwetsbaarheid implementeren,
om de beveiliging van de toeleveringsketen te waarborgen en potentiële risico’s
behandelen.
Organisaties dienen een
beleid te hebben voor het omgaan met, en het rapporteren van kwetsbaarheden in
de levenscyclus van systemen en applicaties.
Organisaties moeten
procedures hebben om de effectiviteit van cybersecurity
risicomanagementmaatregelen te beoordelen en te evalueren.
Organisaties dienen een
basis cyber hygiëne te hebben door medewerkers te voorzien van
cybersecurity-trainingen om bewustzijn en competentie te vergroten.
Organisaties moeten een beleid
en procedures hebben voor de implementatie en het correcte gebruik van
cryptografie en, indien relevant, encryptie.
Organisaties dienen beveiligingsprocedures
te hebben voor toegangscontrole, access control en asset management om gevoelige
gegevens en informatiebronnen adequaat te beschermen.
Organisaties moeten
Multi-Factor Authentication (MFA) of vergelijkbare authenticatiemethoden
implementeren om toegangscontrole te versterken.
Schending
Bedrijfsmanagement kan persoonlijk verantwoordelijk gesteld worden voor het niet nakomen van de vereisten.
Dat betekent dat ze juridische consequenties kunnen ondervinden als ze de nieuwe regels niet volgen.
€7,000,000 / 1,4% Omzet
Voor bedrijven gecategoriseerd als belangrijk risico boetes tot €7 miljoen euro of 1,4% van hun wereldwijde jaarlijkse omzet.
€10,000,000 / 2% Omzet
Voor bedrijven die gecategoriseerd zijn als essentieel, riskeren boetes tot €10 miljoen euro of 2% van hun wereldwijde jaarlijkse omzet.
Juridische gevolgen
Deze juridische gevolgen van het niet kunnen voldoen aan NIS2-naleving omvatten nu meer dan alleen maar in aanmerking komen voor boetes. De managementteams kunnen nu verantwoordelijk worden gehouden voor het niet voldoen aan de nieuwe vereisten. Met andere woorden, de nieuwe richtlijn benadrukt nu dat het management geconfronteerd kan worden met juridische gevolgen als zij zich niet aan de nieuwe regels houden.
NEEM GEEN RISICO'S
Ontdek Zorgeloze Cybersecurity
Beveilig uw bedrijf met zorgeloze cybersecurityoplossingen. Kies voor gemoedsrust en bescherming tegen digitale bedreigingen.