De Europese NIS2-richtlijn heeft als doel om cyberbeveiliging en weerbaarheid in de EU te verbeteren. Om dat doel te behalen, gaat de richtlijn gelden voor meer sectoren dan zijn voorganger en moeten gereguleerde entiteiten aan verschillende beveiligingsverplichtingen voldoen. De richtlijn wordt op dit moment omgezet in de Nederlandse Cyberbeveiligingswet. Om bedrijven alvast op weg te helpen, heeft Europees Agentschap voor Cybersecurity praktische richtlijnen opgesteld. Hierop kan door stakeholders tot a.s. 9 december feedback worden gegeven.
NIS2-richtlijn en de belangrijkste verplichtingen
De Network and Information Security directive, oftewel de NIS2-richtlijn, is een Europese wet en heeft als doel om de cyberbeveiliging en weerbaarheid in EU-lidstaten te verbeteren.
De NIS2-richtlijn heeft ten opzichte van zijn voorganger, de eerste NIS-richtlijn, een ruimere reikwijdte. De richtlijn gaat namelijk gelden voor meer sectoren, zoals onder andere energie, vervoer en de gezondheidszorg. Indien een bedrijf actief is in een van deze sectoren en meer dan 50 werknemers in dienst heeft of een jaaromzet van minimaal 10 miljoen, dan wordt deze aangemerkt als een essentiële of belangrijke entiteit.
Deze entiteiten moeten aan verschillende beveiligingsnormen voldoen. Zo moeten zij zich registreren in het entiteitenregister bij het Nationaal Cyber Security Centrum (NCSC). Daarnaast rust op hen een zorgplicht om een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen moet implementeren om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Verder geldt er een meldplicht voor incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren of financiële verliezen voor de entiteit (kunnen) veroorzaken. Ook gaat het om incidenten die (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. Deze incidenten moeten worden gemeld bij de bevoegde toezichthouder die verschilt per sector. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
De NIS2-richtlijn wordt momenteel omgezet naar Nederlandse wetgeving, de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni), die de eerste NIS-richtlijn implementeert.
ENISA’s richtlijnen
Het Europees Agentschap voor Cybersecurity (ENISA) heeft nu richtlijnen opgesteld om organisaties alvast te helpen met naleving van de NIS2-richtlijn, vooruitlopend op de verschillende nationale wetten die al van kracht zijn of gaan worden. Deze richtlijnen bieden een praktische handleiding met voorbeelden, specifiek toegespitst op verschillende risico’s en bedrijfsomgevingen. Ook bouwen ze voort op internationale normen zoals ISO 27001.
Het ENISA nodigt experts en belanghebbenden uit om tot 9 december 2024 feedback te geven op deze richtlijnen. Met input uit de praktijk kan ENISA ervoor zorgen dat de richtlijnen zo effectief en duidelijk mogelijk zijn voor organisaties.
Meer informatie en de mogelijkheid om feedback te geven zijn te vinden op de website van ENISA.
Neem contact op