Voorkom boetes en volg de nieuwe EU-richtlijn NIS2 op

De EU-richtlijn NIS2 is bedoeld om de cyberbeveiligingsveerkracht binnen de EU te versterken door consistente regels vast te stellen voor bedrijven, en waarschuwingen en boetes op te leggen aan entiteiten die de vereisten niet naleven. Er worden ook maatregelen voorgeschreven voor back-upbeheer, noodherstel, risicoanalyse, toeleveringsketenbeveiliging en meer. Het is van toepassing op twee categorieën entiteiten, namelijk essentiële sectoren en belangrijke entiteiten. Lidstaten hebben 20 maanden om de richtlijn om te zetten in nationaal recht. Organisaties zijn verplicht om de vereisten nauwgezet te volgen, anders riskeren ze waarschuwingen of boetes van maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet.

Op 10 november 2022 (gepubliceerd op 27 december 2022) heeft het EU-parlement nieuwe wetgeving aangenomen (de NIS2-richtlijn) om de EU-brede cyberbeveiligingsveerkracht te versterken, die onder meer een kristalheldere vereiste voor back-up en noodherstel omvat.

De Netwerk- en Informatiebeveiligingsrichtlijn (NIS2) is een reactie op de toegenomen blootstelling van Europa aan cyberdreigingen en het feit dat hoe meer we onderling verbonden zijn, hoe kwetsbaarder we zijn voor kwaadaardige cyberactiviteiten. De toezichthouders stellen hierbij consistente regels vast voor bedrijven en zorgen ervoor dat wetshandhavingsinstanties en gerechtelijke autoriteiten effectief kunnen werken en de EU-burgers bewuster maken van cyberbeveiliging.

Wat is het doel van deze NIS-richtlijn?

In vergelijking met de eerste NIS-richtlijn is het doel van de NIS2-richtlijn om de vereisten en sancties van cyberbeveiliging uit te breiden om het beveiligingsniveau in de lidstaten te harmoniseren en te stroomlijnen - en met strengere vereisten voor verschillende sectoren.

De Onderzoeksdienst van het Europees Parlement (EPRS) vertelt dat vanwege het feit dat cyberaanvallen wereldwijd snel in aantal toenemen en ook in schaal, kosten en complexiteit toenemen: “de Commissie dit voorstel heeft ingediend ter vervanging van de oorspronkelijke NIS Richtlijn en daarmee de beveiligingseisen aanscherpen, de beveiliging van toeleveringsketens aanpakken, rapportageverplichtingen stroomlijnen en strengere toezichtmaatregelen en strengere handhavingseisen invoeren.”

Op wie is NIS2 van toepassing? Welke sectoren en entiteiten?

De richtlijn is met name van toepassing op twee categorieën.

Als essentiële sectoren worden aangemerkt:

Energie (elektriciteit, stadsverwarming, olie, gas en waterstof)
Transport (lucht, spoor, water en weg)
Bankwezen (kredietinstellingen)
Financiële marktinfrastructuren (financiële markten)
De gezondheidssector (zorgverleners en fabrikanten van geneesmiddelen, enz.)
Drink- en afvalwater
Digitale infrastructuur (waaronder aanbieders van clouddiensten, datacenters, domeinnaamsystemen (DNS), top-level domeinregistraties (TLD) en openbare communicatienetwerken)
Informatie- en communicatiedienstverleners (ICT-diensten)
Aanbieders van beheerde diensten en beheerde beveiligingsdiensten
Overheid
Ruimtevaart

De 'belangrijke entiteiten' omvatten publieke en private entiteiten binnen:

Post- en koeriersdiensten
Afvalbeheer
Fabricage, productie en distributie van chemicaliën
Produceren, verwerken en distribueren van voedsel
Productie van o.a. elektronica, machines en motorvoertuigen
Aanbieders van bepaalde digitale diensten (online marktplaatsen en zoekmachines en sociale netwerkdiensten)
Onderzoek (instellingen voor hoger onderwijs en onderzoeksinstellingen)

Kortom: als je een bedrijf bent die een dienst levert die essentieel is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, bijvoorbeeld een transportbedrijf, word je volgens de wet geclassificeerd als een "operator van essentiële diensten".

Deze classificatie legt een grote druk op uw technische en organisatorische structuur en capaciteiten vanwege de uitgebreide risicobeheerbeveiliging die u wettelijk verplicht bent te implementeren en te onderhouden.

NIS2-vereisten, risicobeheer en beveiligingsmaatregelen

De huidige NIS-richtlijn vereist dat de betrokken entiteiten passende en evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico's te beheersen en de schade in geval van een beveiligingsincident te beperken.

De NIS2-richtlijn zet deze eis voort en stelt aanvullende eisen voor passende beveiligingsmaatregelen, die nu minimaal moeten omvatten:

Afhandeling van incidenten
Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel en crisisbeheer
Beleid voor risicoanalyse en informatiebeveiliging
Beleid en procedures voor het beoordelen van de effectiviteit van maatregelen om cyberveiligheidsrisico's te beheersen
Beleid voor het gebruik van cryptografie en encryptie
Beveiliging van de toeleveringsketen, inclusief leveranciersbeheer/beveiliging
Beveiliging in verband met aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen
Beveiliging van werknemers, toegangscontrole en activabeheer
Het beveiligen van interne communicatiesystemen.
Richtlijnen voor basistraining 'computerhygiëne' en cyberbeveiliging

Onderbouwen en navigeren door de NIS2-richtlijn

Een speciale oplossing voor back-up en gegevensbeheer kan de organisatie helpen bij het implementeren van veerkrachtige gegevensbescherming- en beheerservices voor eventuele SaaS-diensten, zoals Microsoft 365 en Salesforce.

ShareValue heeft hiervoor partners aangetrokken waarmee je kunt voldoen aan de wettelijke vereisten van deze NIS2-richtlijn met als algemeen doel uw bedrijfscontinuïteit te beschermen.

Je moet echter beslissen welke functies essentieel zijn en bepalen hoe voorbereid je bent om die kritieke functies te behouden na een noodgeval of een verstoring - en ten slotte moet je het beschikbare budget (dienovereenkomstig) toewijzen.

Governance

Met de NIS2-richtlijn worden de governance bepalingen aangescherpt, omdat de verantwoordelijkheid voor overtreding van de NIS2-richtlijn niet alleen bij de rechtspersoon wordt gelegd, maar bij het management zelf.

Het management moet dus de door de entiteit genomen risicobeheersmaatregelen met betrekking tot cyberbeveiliging goedkeuren en toezicht houden op de implementatie en het onderhoud.

Om voldoende competenties te waarborgen, moeten managementleden regelmatig specifieke cursussen volgen om de nodige kennis, inzicht en vaardigheden te verwerven om cyberbeveiligingsrisico's en beheers praktijken en hun impact op de activiteiten van de entiteit te begrijpen en te beoordelen.

Toezicht, handhaving en sancties

Volgens de NIS2-richtlijn moeten de bevoegde nationale autoriteiten toezicht houden op de naleving van de beveiligings- en meldingsvereisten van de richtlijn op basis van specifieke incidenten en de bevoegde autoriteiten zijn bevoegd om bepaalde bevelen uit te vaardigen.

Wat zijn de kosten van niet-naleving?

Het bevoegd gezag kan onder meer waarschuwingen en bevelen uitvaardigen en (in het bijzonder materieel) tijdelijk schorsen of verzoeken om een persoon met leidinggevende verantwoordelijkheid (CEO of een ander senior lid van het management) tijdelijk te schorsen voor het uitoefenen van leidinggevende functies in de entiteit.

De NIS2-richtlijn scherpt ook de sanctiemogelijkheden aan. Naast ervoor te moeten zorgen dat overtredingen worden bestraft met sancties die doeltreffend zijn, in verhouding staan tot de overtreding en een afschrikkende werking hebben, heeft de bevoegde autoriteit in de lidstaten nu de concrete mogelijkheid om administratieve boetes op te leggen als de entiteit zich niet houdt aan de eisen van de richtlijn voor risicobeheersmaatregelen of rapportageverplichtingen.

De bestuurlijke boetes zijn als volgt:

Essentiële entiteiten kunnen – minimaal – een boete krijgen van maximaal 10 miljoen EUR of 2% van de totale wereldwijde jaaromzet van het bedrijf.

Belangrijke entiteiten kunnen – minimaal – een boete krijgen van maximaal 7 miljoen EUR of 1,4% van de totale wereldwijde jaaromzet van het bedrijf.

Tijdlijn en belangrijke data. Wanneer begint het?

De EU-lidstaten hebben nu 20 maanden de tijd om de nieuwe richtlijn om te zetten in nationaal recht. Meer weten over de belangrijke data en het tijdpad rondom de inwerkingtreding van NIS2? Ga naar https://www.nis-2-directive.com/ voor meer informatie over de belangrijke data.

Wat kunnen de volgende stappen zijn?

We raden aan om jezelf en je organisatie te informeren over de wettelijke vereisten en om te beginnen, samen met ShareValue, met het in kaart brengen van compliance hiaten met de vereisten voor risicobeheer en risicomaatregelen. ShareValue kan daarbij ook helpen om mee te werken aan zowel een sluitende governance plan als zo ook een back-up oplossing die voldoet aan deze nieuwe richtlijnen en wetgevingen of verbetering te brengen aan de security awareness van je organisatie.

Heb je meer interesse in de complete stukken, dan heeft het Europees Parlement de volledige teksten gedeeld die met betrekking tot dit voorstel zijn aangenomen, deze kunnen hier worden gelezen.

Deel deze pagina:

Auteur

Bert

Consultant

Heb je vragen over dit onderwerp of zou je Bert willen inhuren voor een vergelijkbare opdracht?

Neem contact met ons op

Lees ook onze andere berichten

Blog

Grenzeloos samenwerken: Ontdek de magie van Microsoft Mesh in Teams

De afgelopen jaren is het online vergaderen via Teams al niet meer weg te denken. Medewerkers krijgen steeds meer vrijheid om overal te werken en ze kunnen dus gemakkelijk online aansluiten. Het tijdperk van het missen van vergaderingen omdat je niet naar kantoor kan komen, is voorbij. Toch brengt het vergaderen via Teams wel nog wat beperkingen met zich mee. Zo kun je via een schermpje lastiger zien wat iemands gezichtsuitdrukkingen zijn, als diegene überhaupt zijn of haar camera wel aan heeft staan. Hoe je je collega's op het scherm ziet, is hierdoor een stuk platter dan wanneer je fysiek met elkaar afspreekt. Om dit obstakel te overbruggen, komt Microsoft met een nieuwe, interactieve en virtuele manier van vergaderen, Microsoft Mesh!

Efficiënter digitaal samenwerken en betere controle over data

Heemskerk is de laatste 35 jaar uitgegroeid tot een bloeiende gemeente met ruim 39.000 inwoners. Met haar rustige familiestrand, dorpse gezelligheid en groene omgeving is Heemskerk het best bewaarde geheim van de Noordzeekust. (bron: heemskerk.nl). Hans Bosman, Teamleider Informatievoorziening bij de gemeente Heemskerk, vertelt: “De interne samenwerking en het informatiebeheer moesten dringend gemoderniseerd worden. Nu verliep die samenwerking niet overal even efficiënt. Er werd vooral veel gemaild. Daardoor waren er regelmatig spraakverwarringen, bijvoorbeeld over bepaalde documenten.

30-01-2024

Microsoft 365

Blog

De 5 Copilot-functionaliteiten die Microsoft Teams transformeren

Is samenwerken in jouw organisatie een belangrijk aspect en wil je de organisatie hier graag verder in laten ontwikkelen? Dan is Copilot binnen Microsoft Teams de tool voor jouw bedrijf! De afgelopen jaren heeft Microsoft Teams bedrijven geholpen om effectief in teamverband te werken. Om deze samenwerking naar nieuwe hoogten te tillen, introduceert Microsoft nu het gloednieuwe Copilot. Copilot is de kunstmatige intelligentie-tool die de Microsoft 365-omgeving verrijkt. In dit blog duiken we in de vijf functionaliteiten waarmee Copilot de Teams-ervaring transformeert en vernieuwt.

Lees de blogs die onze experts geschreven hebben

Lees ze hier

Heb je een Microsoft 365 expert nodig?

Neem contact met ons op