NIS2 - Europese richtlijn voor Netwerk- en Informatiebeveiliging

De nieuwe Europese NIS2 richtlijn is in de wereld van cybersecurity een veelbesproken onderwerp. NIS2 staat voor Network and Information Security Directive 2 en is een wetgevend kader dat tot doel heeft de cybersecurity in de Europese Unie te verbeteren.

De eerste NIS-richtlijn werd in 2016 ingevoerd en bepaalde dat de EU-landen nationale strategieën voor cybersecurity moesten ontwikkelen en bedrijven in bepaalde sectoren, zoals de financiële en energie-industrie, moesten verplichten om passende veiligheidsmaatregelen te implementeren. NIS2 is de opvolger van deze richtlijn en bouwt voort op de ervaringen en inzichten die zijn opgedaan sinds de invoering van de eerste richtlijn. Tegen eind 2024 kunnen we de nieuwe Belgische NIS2 wetgeving verwachten.

In 2016 werd de NIS-1-richtlijn van kracht als de eerste EU-wetgeving op het gebied van cyberbeveiliging. De richtlijn werd vervolgens in 2019 in Belgische wetgeving omgezet. De NIS-1-richtlijn vereist dat lidstaten nationale cyberbeveiligingsstrategieën ontwikkelen en grensoverschrijdend samenwerken via de NIS Cooperation Group en het CSIRT-netwerk. Het verplicht ook lidstaten om aanbieders van essentiële diensten aan te wijzen in sectoren zoals energie, vervoer, bankwezen, financiële markten, gezondheidszorg, drinkwater en digitale infrastructuur. Deze aanbieders moeten minimale veiligheidsmaatregelen nemen en hebben een meldingsplicht voor ernstige incidenten. Verleners van essentiële digitale diensten moeten ook aan deze eisen voldoen.

De Europese Commissie heeft sinds de invoering van de NIS-1-richtlijn in 2016 de doeltreffendheid ervan onderzocht en vastgesteld dat het toepassingsgebied te beperkt is. Cyberdreigingen zijn de afgelopen jaren sterk toegenomen, terwijl onze economische en maatschappelijke verbondenheid en afhankelijkheid van de digitale wereld is gegroeid. Er is een gebrek aan duidelijkheid over het toepassingsgebied en de bevoegdheden. Daarnaast zijn er grote verschillen tussen nationale benaderingen en er is een algemeen gebrek aan informatie-uitwisseling.

Om deze problemen aan te pakken, heeft de Commissie voorgesteld om het toepassingsgebied van NIS-1 uit te breiden tot meer sectoren en entiteiten. Vooral om de identificatieregels te harmoniseren en de veiligheidsvereisten uit te breiden. Deze aanpassingen zitten vervat in de nieuwe NIS-2 directive.

De NIS2-richtlijn is uitgebreid en is nu van toepassing op middelgrote en grote entiteiten uit een scala aan sectoren die van cruciaal belang zijn voor de economie en de samenleving. Hieronder vallen onder andere aanbieders van openbare elektronische-communicatiediensten, digitale diensten, afvalwater- en afvalbeheer, de vervaardiging van kritieke producten, post- en koeriersdiensten, voedingsbedrijven, en medische bedrijven.

Bedrijven dienen zelf te controleren of zij onder de richtlijn vallen. Over het algemeen is de richtlijn van toepassing op grote en middelgrote bedrijven met 50 of meer medewerkers of een balanstotaal van ten minste 10 miljoen euro. Initeam adviseert ook (kleinere) bedrijven om een cyberveiligheidsplan op te stellen en zich te beschermen tegen toenemende digitale bedreigingen.

De NIS2-richtlijn heeft als doel om het bewustzijn rondom cyberveiligheid te vergroten, zodat overheden en bedrijven beter voorbereid zijn op de toenemende dreigingen op dit gebied. Naast het bevorderen van awareness, richt de herziene richtlijn zich ook op de beveiliging van toeleveringsketens en relaties tussen leveranciers. Bovendien wordt er strengere verantwoordingsplicht van het hoogste management ingevoerd om te zorgen dat de cyberbeveiligingsverplichtingen worden nageleefd.

Om de naleving van de richtlijn te waarborgen, worden verslagleggingsverplichtingen gestroomlijnd en worden er strengere toezichtmaatregelen voor nationale autoriteiten en handhavingsvereisten ingevoerd. Ook worden de sanctieregelingen in de lidstaten geharmoniseerd. Hiermee wil de NIS2-richtlijn een effectieve en uniforme aanpak van cyberbeveiliging binnen de EU bevorderen.