Voorkom boetes en volg de nieuwe EU-richtlijn NIS2 op

Op 10 november 2022 (gepubliceerd op 27 december 2022) heeft het EU-parlement nieuwe wetgeving aangenomen (de NIS2-richtlijn) om de EU-brede cyberbeveiligingsveerkracht te versterken, die onder meer een kristalheldere vereiste voor back-up en noodherstel omvat.

De Netwerk- en Informatiebeveiligingsrichtlijn (NIS2) is een reactie op de toegenomen blootstelling van Europa aan cyberdreigingen en het feit dat hoe meer we onderling verbonden zijn, hoe kwetsbaarder we zijn voor kwaadaardige cyberactiviteiten. De toezichthouders stellen hierbij consistente regels vast voor bedrijven en zorgen ervoor dat wetshandhavingsinstanties en gerechtelijke autoriteiten effectief kunnen werken en de EU-burgers bewuster maken van cyberbeveiliging. 

Wat is het doel van deze NIS-richtlijn?

In vergelijking met de eerste NIS-richtlijn is het doel van de NIS2-richtlijn om de vereisten en sancties van cyberbeveiliging uit te breiden om het beveiligingsniveau in de lidstaten te harmoniseren en te stroomlijnen - en met strengere vereisten voor verschillende sectoren.

De Onderzoeksdienst van het Europees Parlement (EPRS) vertelt dat vanwege het feit dat cyberaanvallen wereldwijd snel in aantal toenemen en ook in schaal, kosten en complexiteit toenemen: “de Commissie dit voorstel heeft ingediend ter vervanging van de oorspronkelijke NIS Richtlijn en daarmee de beveiligingseisen aanscherpen, de beveiliging van toeleveringsketens aanpakken, rapportageverplichtingen stroomlijnen en strengere toezichtmaatregelen en strengere handhavingseisen invoeren.” 

Op wie is NIS2 van toepassing? Welke sectoren en entiteiten?

De richtlijn is met name van toepassing op twee categorieën.

Als essentiële sectoren worden aangemerkt:

• Energie (elektriciteit, stadsverwarming, olie, gas en waterstof)
• Transport (lucht, spoor, water en weg)
• Bankwezen (kredietinstellingen)
• Financiële marktinfrastructuren (financiële markten)
• De gezondheidssector (zorgverleners en fabrikanten van geneesmiddelen, enz.)
• Drink- en afvalwater
• Digitale infrastructuur (waaronder aanbieders van clouddiensten, datacenters, domeinnaamsystemen (DNS), top-level domeinregistraties (TLD) en openbare communicatienetwerken)
• Informatie- en communicatiedienstverleners (ICT-diensten)
• Aanbieders van beheerde diensten en beheerde beveiligingsdiensten
• Overheid
• Ruimtevaart

De 'belangrijke entiteiten' omvatten publieke en private entiteiten binnen:

• Post- en koeriersdiensten
• Afvalbeheer
• Fabricage, productie en distributie van chemicaliën
• Produceren, verwerken en distribueren van voedsel
• Productie van o.a. elektronica, machines en motorvoertuigen
• Aanbieders van bepaalde digitale diensten (online marktplaatsen en zoekmachines en sociale netwerkdiensten)
• Onderzoek (instellingen voor hoger onderwijs en onderzoeksinstellingen)

Kortom: als je een bedrijf bent die een dienst levert die essentieel is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, bijvoorbeeld een transportbedrijf, word je volgens de wet geclassificeerd als een "operator van essentiële diensten".

Deze classificatie legt een grote druk op uw technische en organisatorische structuur en capaciteiten vanwege de uitgebreide risicobeheerbeveiliging die u wettelijk verplicht bent te implementeren en te onderhouden. 

NIS2-vereisten, risicobeheer en beveiligingsmaatregelen

De huidige NIS-richtlijn vereist dat de betrokken entiteiten passende en evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico's te beheersen en de schade in geval van een beveiligingsincident te beperken.

De NIS2-richtlijn zet deze eis voort en stelt aanvullende eisen voor passende beveiligingsmaatregelen, die nu minimaal moeten omvatten:

• Afhandeling van incidenten
• Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel en crisisbeheer
• Beleid voor risicoanalyse en informatiebeveiliging
• Beleid en procedures voor het beoordelen van de effectiviteit van maatregelen om cyberveiligheidsrisico's te beheersen
• Beleid voor het gebruik van cryptografie en encryptie
• Beveiliging van de toeleveringsketen, inclusief leveranciersbeheer/beveiliging
• Beveiliging in verband met aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen
• Beveiliging van werknemers, toegangscontrole en activabeheer
• Het beveiligen van interne communicatiesystemen.
• Richtlijnen voor basistraining 'computerhygiëne' en cyberbeveiliging

Onderbouwen en navigeren door de NIS2-richtlijn

Een speciale oplossing voor back-up en gegevensbeheer kan de organisatie helpen bij het implementeren van veerkrachtige gegevensbescherming- en beheerservices voor eventuele SaaS-diensten, zoals Microsoft 365 en Salesforce.

ShareValue heeft hiervoor partners aangetrokken waarmee je kunt voldoen aan de wettelijke vereisten van deze NIS2-richtlijn met als algemeen doel uw bedrijfscontinuïteit te beschermen.

Je moet echter beslissen welke functies essentieel zijn en bepalen hoe voorbereid je bent om die kritieke functies te behouden na een noodgeval of een verstoring - en ten slotte moet je het beschikbare budget (dienovereenkomstig) toewijzen. 

Governance

Met de NIS2-richtlijn worden de governance bepalingen aangescherpt, omdat de verantwoordelijkheid voor overtreding van de NIS2-richtlijn niet alleen bij de rechtspersoon wordt gelegd, maar bij het management zelf.

Het management moet dus de door de entiteit genomen risicobeheersmaatregelen met betrekking tot cyberbeveiliging goedkeuren en toezicht houden op de implementatie en het onderhoud.

Om voldoende competenties te waarborgen, moeten managementleden regelmatig specifieke cursussen volgen om de nodige kennis, inzicht en vaardigheden te verwerven om cyberbeveiligingsrisico's en beheers praktijken en hun impact op de activiteiten van de entiteit te begrijpen en te beoordelen. 

Toezicht, handhaving en sancties

Volgens de NIS2-richtlijn moeten de bevoegde nationale autoriteiten toezicht houden op de naleving van de beveiligings- en meldingsvereisten van de richtlijn op basis van specifieke incidenten en de bevoegde autoriteiten zijn bevoegd om bepaalde bevelen uit te vaardigen.

Wat zijn de kosten van niet-naleving?

Het bevoegd gezag kan onder meer waarschuwingen en bevelen uitvaardigen en (in het bijzonder materieel) tijdelijk schorsen of verzoeken om een persoon met leidinggevende verantwoordelijkheid (CEO of een ander senior lid van het management) tijdelijk te schorsen voor het uitoefenen van leidinggevende functies in de entiteit.

De NIS2-richtlijn scherpt ook de sanctiemogelijkheden aan. Naast ervoor te moeten zorgen dat overtredingen worden bestraft met sancties die doeltreffend zijn, in verhouding staan tot de overtreding en een afschrikkende werking hebben, heeft de bevoegde autoriteit in de lidstaten nu de concrete mogelijkheid om administratieve boetes op te leggen als de entiteit zich niet houdt aan de eisen van de richtlijn voor risicobeheersmaatregelen of rapportageverplichtingen. 

De bestuurlijke boetes zijn als volgt:

Essentiële entiteiten kunnen – minimaal – een boete krijgen van maximaal 10 miljoen EUR of 2% van de totale wereldwijde jaaromzet van het bedrijf.

Belangrijke entiteiten kunnen – minimaal – een boete krijgen van maximaal 7 miljoen EUR of 1,4% van de totale wereldwijde jaaromzet van het bedrijf. 

Tijdlijn en belangrijke data. Wanneer begint het? 

De EU-lidstaten hebben nu 20 maanden de tijd om de nieuwe richtlijn om te zetten in nationaal recht. Meer weten over de belangrijke data en het tijdpad rondom de inwerkingtreding van NIS2? Ga naar https://www.nis-2-directive.com/ voor meer informatie over de belangrijke data. 

Wat kunnen de volgende stappen zijn?

We raden aan om jezelf en je organisatie te informeren over de wettelijke vereisten en om te beginnen, samen met ShareValue, met het in kaart brengen van compliance hiaten met de vereisten voor risicobeheer en risicomaatregelen. ShareValue kan daarbij ook helpen om mee te werken aan zowel een sluitende governance plan als zo ook een back-up oplossing die voldoet aan deze nieuwe richtlijnen en wetgevingen of verbetering te brengen aan de security awareness van je organisatie.

Heb je meer interesse in de complete stukken, dan heeft het Europees Parlement de volledige teksten gedeeld die met betrekking tot dit voorstel zijn aangenomen, deze kunnen hier worden gelezen.