NIS2

Wat is de NIS2-richtlijn?

De Network and Information Security (NIS2)-richtlijn van de Europese Unie vervangt de NIS-richtlijn 2016 en heeft tot doel een "hoog gemeenschappelijk niveau van cyberbeveiliging in alle EU-lidstaten" te waarborgen door de vereisten voor cyberbeveiliging verder te versterken in cruciale infrastructuur en in die bedrijfstakken en organisaties die onmisbaar zijn voor het functioneren van de economie.

NIS2 is op 16 januari 2023 goedgekeurd en alle EU-lidstaten moesten de nodige maatregelen treffen en publiceren om uiterlijk op 17 oktober 2024 aan de richtlijnen te voldoen. Deze maatregelen zouden dan op 18 oktober 2024 van kracht worden. De meeste EU-landen hebben echter uitstel aangevraagd, waaronder dus ook Nederland. Bedrijven die binnen de EU actief zijn, zullen moeten voldoen aan NIS2 om ervoor te zorgen dat ze een hoger niveau van cyberbeveiliging kunnen aantonen.

Wat zijn de belangrijkste wijzigingen?

De belangrijkste wijzigingen onder NIS2 zijn:

1. Uitbreiding van industriële sectoren en entiteiten die onder de reikwijdte vallen
   De oorspronkelijke NIS omvatte zogenaamde exploitanten van essentiële diensten zoals watervoorziening, gezondheidszorg, transport en sommige digitale dienstverleners. NIS2 is uitgebreid met sectoren zoals post- en koeriersdiensten, voedsel, ruimtevaart en afvalwaterverwerking, evenals tal van middelgrote bedrijven met minimaal 50 werknemers en een omzet van meer dan € 10 miljoen.
2. Bestuurdersaansprakelijk
   Het management is verantwoordelijk voor het goedkeuren van de maatregelen voor het beheer van cyberbeveiligingsrisico's die door hun bedrijf zijn genomen, voor het toezicht op de uitvoering ervan, en kan aansprakelijk worden gesteld voor overtreding van de regels. Managementleden moeten een training volgen zodat ze voldoende kennis en vaardigheden opdoen om risico's te identificeren en risicobeheerpraktijken op het gebied van cyberbeveiliging en de impact ervan op hun diensten te beoordelen.
3. Aangescherpte maatregelen voor risicobeheer op het gebied van cyberbeveiliging
   Bedrijven dienen passende en evenredige technische, operationele en organisatorische maatregelen te nemen om hun cyberrisico's te beheersen en de impact van incidenten op ontvangers van hun diensten te voorkomen of tot een minimum te beperken.
   
   Voor bedrijven die nu onder NIS2 vallen gelden minimumvereisten die zij moeten implementeren. Deze vereisten variëren van het gebruik van meervoudige authenticatie tot het afhandelen van incidenten en beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen.
   
   Door het bedrijf genomen maatregelen voor risicobeheer op het gebied van cyberbeveiliging moeten worden gedocumenteerd en er moet bewijs van de implementatie van het cyberbeveiligingsbeleid beschikbaar zijn. Zo moet incidentenafhandeling duidelijk omschreven zijn en moet elk bedrijf over rampherstelplannen beschikken.
   
   Bij een cyberincident moeten organisaties binnen een kort tijdsbestek drie specifieke stappen doorlopen:
   1. Binnen 24 uur na een cyberaanval moet een eerste waarschuwing worden gestuurd naar de verantwoordelijke autoriteit in het land waarin de aanval heeft plaatsgevonden.
   2. Binnen 72 uur moet nadere informatie over het incident worden verstrekt.
   3. Binnen een maand moet een definitief detailrapport over het incident beschikbaar zijn.
4. Beveiliging van de toeleveringsketen valt ook binnen het toepassingsgebied 
   Cybersecurity risicomanagement wordt uitgebreid met supply chain security. Bedrijven die onder NIS2 vallen, moeten rekening houden met de kwetsbaarheden die specifiek zijn voor elk van hun directe leveranciers en dienstverleners om de impact van incidenten in de toeleveringsketen op ontvangers van hun diensten en op andere diensten te voorkomen of te minimaliseren.
5. Hogere boetes
   "Essentiële" bedrijven die NIS2 niet naleven, krijgen te maken met administratieve boetes van maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde jaaromzet (welke van beide het hoogst is), terwijl "belangrijke" bedrijven boetes krijgen van maximaal € 7 miljoen of 1,4 procent (welke van beide het hoogst is).

Voor welke bedrijven geldt de NIS2-richtlijn?

De EU verdeelt de lijst van bedrijven waarop de NIS2-richtlijn van toepassing is in 'essentieel' en 'belangrijk' (zie hieronder). Deze lijst bevat energieleveranciers, online marktplaatsen, bedrijven, maar ook tal van middelgrote bedrijven en overheidsinstanties. Hoewel de belangrijkste doelstellingen voor NIS2 middelgrote bedrijven en grote bedrijven zijn, kunnen sommige kleinere bedrijven ook onder de vereisten van NIS2 vallen als aan bepaalde voorwaarden wordt voldaan of als ze als essentieel worden beschouwd.

Bedrijven moeten zelf vaststellen of NIS2 op hen van toepassing is. Dit geldt ook voor bedrijven die deel uitmaken van de toeleveringsketen van als essentieel of belangrijk aangemerkte bedrijven of sectoren. In de NIS2-richtlijn is een bijlage met essentiële en belangrijke sectoren opgenomen, waarvan u hieronder een overzicht ziet. U kunt aan de hand hiervan vaststellen of deze richtlijn (mogelijk) ook op uw bedrijf van toepassing is. De consultants van Aon gaan graag met u in gesprek over wat NIS2 voor uw organisatie gaat betekenen en hoe uw organisatie zich kan voorbereiden.

Wat moeten bedrijven weten?

Of uw bedrijf nu een essentiële of belangrijke entiteit is, elke organisatie moet vóór het in werking treden van de Cyberbeveiligingswet naar de vereisten hiervan kijken en beoordelen of ze daaraan voldoen. Deze vereisten omvatten het ondernemen van stappen rond operationeel cyberrisicobeheer; cyberhygiëne; incidentafhandeling; melding van incidenten; en beveiliging van de toeleveringsketen.

Net als bij de AVG-wetgeving van de EU loont het voor bedrijven om dit proces ruim op tijd te starten om problemen te voorkomen. Door gebruik te maken van meer dan 20 jaar ervaring met het leveren van cyberoplossingen in verschillende domeinen, kunnen wij u hulp, ondersteuning en advies bieden in elke fase inzake NIS2.