Digital Investigation

De NIS 2: Europese cyberwetgeving

Wat houdt het in en wat gaat het voor uw bedrijf betekenen?

16-6-2022
Door de digitale transformatie van de maatschappij en steeds inventiever wordende cybercriminelen nemen cyberaanvallen toe. Om de risico’s te beperken en het aantal incidenten te verminderen heeft de Europese Commissie de EU-richtlijn netwerk- en informatiebeveiliging in het leven gebracht. Een aantal jaar later is het tijd voor een nieuwe versie: NIS 2.

Wat is de NIS?
NIS staat voor netwerk- en informatiesysteem (Network and Information Security) en is de eerste EU-brede wetgeving op het gebied van cyberbeveiliging. Het specifieke doel van de Europese wetgeving, onderdeel van de cyberbeveiligingsstrategie van de Europese Commissie, was het tot stand brengen van een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten. De eerste richtlijn werd in 2016 aangenomen. Vanaf 2018 geldt NIS 1 voor essentiële bedrijven zoals water- en telecombedrijven.

Waarom NIS 2?
Door de invoering van NIS werd de cyberveiligheid van de lidstaten verhoogd. Door een zekere mate van flexibiliteit, die er was om rekening te houden met nationale omstandigheden, bleek de uitvoering moeilijk. Dit leidde tot versnippering. Daarnaast vinden cybercriminelen steeds weer nieuwe manieren om organisaties aan te vallen en blijven de cijfers fors toenemen.

Wat gaat er veranderen?
NIS 2 komt tegemoet aan de tekortkomingen van NIS 1 en past zich aan naar de huidige behoeftes en toekomstige wensen. Naast hogere security-eisen en boetes, krijgen bedrijven meer hulp van de overheid op het moment dat ze slachtoffer worden van een cyberincident.

Het voorstel bevat ook:

  • Het verscherpt de security-eisen voor bedrijven door het opleggen van een aanpak voor risicobeheersing.
  • Er wordt geen onderscheid meer gemaakt tussen exploitanten van essentiële diensten en aanbieders van digitale diensten.
  • Er worden nieuwe sectoren toegevoegd, gebaseerd op het belang voor de economie en de samenleving. Middelgrote en grote bedrijven worden opgenomen in het voorstel, maar er komt een duidelijke bovengrens voor de omvang.
  • Er worden meer precieze bepalingen ingevoerd inzake de procedure voor incidentmelding, de inhoud van meldingen en de termijnen. Entiteiten moeten elkaar en het ENISA op de hoogte brengen van aanmerkelijke incidenten en dreigingen.
  • Er wordt vereist dat individuele bedrijven beveiligingsrisico’s in toeleveringsketens en relaties met leveranciers aanpakken.
  • Er komen strengere toezichtsmaatregelen, strengere vereisten omtrent handhaving en harmonisatie van sanctieregelingen en rapportageverplichtingen.

Voor wie geldt de NIS 2?
De NIS 2 wordt in het leven geroepen voor bedrijven met meer dan vijftig medewerkers en meer dan tien miljoen omzet in de volgende sectoren: afvalbeheer, afvalwater, bankwezen, chemie, digitale aanbieders, digitale infrastructuur, drinkwater, energie, financiële instellingen, gezondheid, industrie, postbedrijven, ruimtevaart, overheidsdiensten, vervoer en voeding. Maar er zijn uitzonderingen. Op het moment dat u essentiële diensten verleent aan consumenten, valt u ook onder het nieuwe voorstel. Ongeacht de omvang van uw organisatie. Welke dienstverlening als essentieel gezien wordt, is op dit moment nog niet duidelijk.

Hoe verder?

De wetgeving heeft als doel om cybercrime te voorkomen. De verwachting is dat Nederlandse bedrijven in 2022 of 2023 met NIS 2 te maken gaan krijgen. Echter is het belangrijk om nu al bezig te zijn met het versterken van uw cyberbeveiliging. Gaat de NIS 2 voor uw bedrijf gelden óf valt uw bedrijf er buiten, maar heeft y behoefte aan een persoonlijk gesprek om uw security vraagstuk te bespreken? Neem dan contact met ons op.

info@digital-investigation.nl

+31 (0)35 677 4411