Er komen nieuwe regels aan op het gebied van cybersecurity. De NIS2-richtlijn is de opvolger van de NIS1-richtlijn en in het leven geroepen om de cyber- en informatiebeveiliging in Europa naar een hoger niveau te tillen. Waar de NIS1 zich vooral richtte op organisaties van kritieke aard, raakt de NIS2 veel meer organisaties en sectoren. Wat betekent dit voor u?
Van NIS1 naar NIS2
De NIS2-richtlijn (Network and Information Systems-richtlijn) is de opvolger van de NIS1-richtlijn. De NIS1 was de eerste richtlijn om de cybersecurity in de EU te verbeteren en eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging. De NIS1 is vooral gericht op bedrijven en instellingen van kritieke aard.
De NIS2 heeft een ruimer toepassingsgebied, waardoor er meer sectoren en entiteiten onder de richtlijn vallen. Daarnaast worden er strengere, aanvullende eisen gesteld aan cybersecurity, waaronder op het gebied van cyberrisicobeheer, controle en toezicht en bedrijfscontinuïteit.
Voor wie gaat de NIS2 gelden?
De NIS1 (ook bekend als de NIB1: netwerk- en informatiebeveiliging-richtlijn) leidde in Nederland tot de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Die wet is van toepassing op vitale aanbieders die zich onder meer in de energie-, de financiële en vervoerssector begeven.
Met de NIS2 wordt het aantal entiteiten en sectoren aardig uitgebreid. Overheidsdiensten, middelgrote en grote bedrijven gaan onder de richtlijn vallen, binnen de sectoren zoals opgenomen in bijlage 1 en 2 van de richtlijn.
Zorgplicht en meldplicht
Op basis van de richtlijn is er de zorgplicht en de meldplicht. Vanwege de zorgplicht zal een organisatie straks passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.
De technische en organisatorische maatregelen zijn - in tegenstelling tot in de AVG - in deze richtlijn gedetailleerder omschreven. Hierdoor is duidelijker wat er van organisaties verwacht wordt. Zo wordt het verplicht om te kunnen monitoren wat er gebeurt op het netwerk.
Voor de volgende partijen zal de Europese Commissie uiterlijk op 17 oktober 2024 bovendien met specifieke uitvoeringshandelingen komen:
DNS-dienstverleners;
registers voor topleveldomeinnamen; en
aanbieders van:
cloud computingdiensten
datacentra
netwerken voor de levering van inhoud
beheerde diensten
beheerde beveiligingsdiensten
online marktplaatsen, online zoekmachines en platforms voor sociale netwerkdiensten
vertrouwensdiensten
De meldplicht houdt in dat organisaties melding moeten maken bij de bevoegde autoriteit als ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten. Binnen 24 uur moeten zij een waarschuwing indienen en vervolgens binnen 72 uur een incidentmelding.
Boetes
De richtlijn verplicht effectieve handhaving en vermeldt dat er waar nodig doeltreffende, evenredige en afschrikwekkende sancties worden opgelegd bij overtreding. Er kunnen boetes worden opgelegd die kunnen oplopen tot:
voor essentiële entiteiten: 10 miljoen of 2% van de wereldwijde jaaromzet.
voor belangrijke entiteiten: 7 miljoen of 1,4% van de wereldwijde jaaromzet.
Op dit moment is het zo dat de betreffende bevoegde autoriteit en toezichthoudende dienst afhangt van de sector waarin u actief bent.
Uitwerking in Nederland
Organisaties in tal van sectoren zullen maatregelen moeten treffen om de cybersecurity naar een hoger niveau te tillen. De details zullen uiteindelijk blijken uit de resulterende wetgeving, net zoals de Wbni het resultaat is van de implementatie van de NIS1-richtlijn.
De NIS2-richtlijn moet uiterlijk 17 oktober 2024 worden omgezet in nationale wetgeving. De richtlijn laat ruimte voor nationale invulling, dus we gaan zien wat er in Nederland tot stand komt.
Op de hoogte blijven van deze en andere ontwikkelingen?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.