De NIS2-richtlijn is een onlangs door de Europese Unie (EU) vastgestelde reeks richtsnoeren en eisen inzake cyberbeveiliging om het algemene niveau van cyberbeveiliging in haar lidstaten te verbeteren. De richtlijn is op 27 december 2022 bekendgemaakt in het Publicatieblad van de EU en de lidstaten hebben 21 maanden, tot september 2024, om de richtlijn in nationaal recht om te zetten.

De NIS2-richtlijn heeft tot doel de veerkracht en het reactievermogen bij incidenten van zowel de publieke als de private sector, alsmede de EU als geheel, te verbeteren. Zij vervangt de vorige richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIB-richtlijn) en brengt een aantal wijzigingen aan, zoals een uitbreiding van het toepassingsgebied met meer sectoren en diensten en een actualisering van de eisen inzake beveiligingsverplichtingen en incidentenmelding, zodat deze strenger zijn. NIS2 heeft ook tot doel de regelgevingslast voor de bevoegde autoriteiten en de nalevingskosten voor openbare en particuliere entiteiten te verminderen.

Een van de belangrijke wijzigingen die met NIS2 zijn ingevoerd, is de verplichting om een verlies binnen 72 uur te melden, zodat de autoriteiten snel kunnen reageren en de cyberdreiging kunnen indammen. De richtlijn geeft de bevoegde autoriteiten ook uitgebreidere bevoegdheden, waardoor zij niet-nalevende organisaties kunnen bestraffen met boetes die gelijk zijn aan een vast bedrag of 2% van de wereldwijde omzet voor essentiële diensten.

De NIS2-richtlijn is voortgekomen uit een evaluatieproces dat in de oorspronkelijke NIS-richtlijn was ingebouwd en waarmee vastgestelde tekortkomingen in de oorspronkelijke wetgeving werden aangepakt. Na het voorlopige akkoord over de richtlijn medio mei 2022 werd de tekst op technisch niveau afgerond, wat betekent dat juristen-linguïsten werkten aan verdere details en consistentie van de tekst die in december 2022 werd gepubliceerd.

Samengevat is de NIS2-richtlijn een belangrijke actualisering van de EU-regelgeving inzake cyberbeveiliging, die tot doel heeft de algemene cyberbeveiligingshouding in alle lidstaten te verbeteren. De richtlijn breidt het toepassingsgebied van de vorige NIB-richtlijn uit, voert strengere beveiligingsverplichtingen en meldingsvoorschriften voor incidenten in en verleent de bevoegde autoriteiten meer bevoegdheden. De richtlijn biedt Chief Information Security Officers (CISO’s) een waardevolle gelegenheid om hun positie binnen organisaties te versterken en de naleving van de bijgewerkte vereisten te waarborgen.

De NIS2-richtlijn, die de EU-regelgeving inzake cyberbeveiliging actualiseert, heeft gevolgen voor zowel Chief Information Security Officers (CISO’s) als Chief Technology Officers (CTO’s).

 

Voor CISO’s biedt de NIS2-richtlijn een kans om hun positie binnen organisaties te versterken door ervoor te zorgen dat de geactualiseerde beveiligingsverplichtingen en de vereisten voor het melden van incidenten worden nageleefd. CISO’s zullen de beveiligingsstrategieën en -praktijken van hun organisaties moeten aanpassen aan de nieuwe voorschriften en ervoor moeten zorgen dat incidenten binnen de termijn van 72 uur worden gemeld. Bovendien moeten CISO’s nauw contact onderhouden met de door de NIS2-richtlijn aangewezen bevoegde instanties, zoals ANSSI in Frankrijk, BSI in Duitsland en CCB in België.

Voor CTO’s heeft de NIS2-richtlijn gevolgen voor hun rol bij het toezicht op de ontwikkeling en implementatie van technologische oplossingen om te voldoen aan de bijgewerkte cyberbeveiligingsvereisten. CTO’s moeten ervoor zorgen dat de technologische infrastructuur van hun organisaties voldoet aan de nieuwe voorschriften en in staat is te voldoen aan de strengere veiligheidsverplichtingen. Bovendien moeten CTO’s samenwerken met CISO’s en andere belanghebbenden in de organisatie om strategieën te ontwikkelen en uit te voeren om potentiële kwetsbaarheden en risico’s aan te pakken.

Samengevat heeft de NIS2-richtlijn gevolgen voor zowel CISO’s als CTO’s. CISO’s zullen ervoor moeten zorgen dat de bijgewerkte beveiligingsverplichtingen worden nageleefd, dat incidenten worden gemeld en dat de communicatie met de bevoegde autoriteiten in stand wordt gehouden. CTO’s zullen verantwoordelijk zijn voor het toezicht op de ontwikkeling en implementatie van technologische oplossingen die voldoen aan de nieuwe voorschriften en de cyberbeveiligingsstrategieën van organisaties ondersteunen.

 

De NIS2-richtlijn heeft gevolgen voor zowel CEO’s als bestuursleden, aangezien zij ervoor moeten zorgen dat hun organisaties aan de bijgewerkte cyberbeveiligingseisen voldoen en de nodige beveiligingsmaatregelen nemen.

 

Voor CEO’s betekent de NIS2-richtlijn dat zij ervoor moeten zorgen dat hun organisaties de zeven in de verordening genoemde elementen aanpakken en uitvoeren. Deze elementen omvatten risicoanalyse en beleid voor de beveiliging van informatiesystemen, afhandeling van incidenten, bedrijfscontinuïteit en crisisbeheer, en beveiliging van de toeleveringsketen. CEO’s moeten nauw samenwerken met hun CISO’s, CTO’s en andere senior executives om strategieën te ontwikkelen en uit te voeren om aan de richtlijn te voldoen, en de nodige middelen toe te wijzen om aan de nieuwe beveiligingsverplichtingen te voldoen.

Voor bestuursleden vereist de NIS2-richtlijn dat zij een hoog niveau van bewustzijn en begrip van de cyberbeveiligingshouding en -risico’s van de organisatie handhaven. Bestuursleden moeten ervoor zorgen dat het risicobeheer en het cyberbeveiligingsbeleid van de organisatie in overeenstemming zijn met de NIS2-richtlijn en dat zij actief toezien op de inspanningen van de organisatie om aan de nieuwe eisen te voldoen. Zij moeten ook samenwerken met de CEO en senior executives om cyberbeveiligingsstrategieën te ontwikkelen en te overzien, zodat de organisatie voorbereid is om potentiële kwetsbaarheden aan te pakken en effectief te reageren op incidenten.

Kortom, de NIS2-richtlijn heeft gevolgen voor zowel CEO’s als leden van de raad van bestuur. CEO’s moeten ervoor zorgen dat hun organisaties de vereiste beveiligingsmaatregelen aanpakken en uitvoeren, terwijl bestuursleden toezicht moeten houden op de cyberbeveiligingshouding van de organisatie en de inspanningen om aan de nieuwe voorschriften te voldoen. Zowel CEO’s als leden van de raad van bestuur moeten samenwerken met hogere leidinggevenden en andere belanghebbenden om strategieën te ontwikkelen en uit te voeren die de naleving van de NIS2-richtlijn waarborgen.

 

De NIS2-richtlijn zal ook belangrijke gevolgen hebben voor het midden- en kleinbedrijf (MKB) in heel Europa. Wat moet het mkb weten?

 

De NIS2-richtlijn is een nieuwe reeks verplichtingen inzake cyberbeveiliging voor organisaties in tal van sectoren die van cruciaal belang voor de economie worden geacht. Alle 27 EU-lidstaten moeten deze nieuwe verplichtingen vóór september 2024 in hun nationale wetgeving opnemen. De NIS2-richtlijn heeft tot doel de cyberveerkracht te vergroten van een breed scala aan in de EU gevestigde ondernemingen die actief zijn in alle relevante sectoren en essentiële activiteiten verrichten.

Wat de NIS2-richtlijn specifiek voor het MKB betekent, is het een uitdagende en dure taak om ervoor te zorgen dat aan de nieuwe eisen wordt voldaan. Het mkb kan door beperkte middelen en deskundigheid problemen ondervinden bij de uitvoering van deze cyberbeveiligingsverplichtingen en moet een geschikte Managed Service Provider (MSP) inschakelen voor begeleiding en hulp bij mogelijke oplossingen.

Het is belangrijk op te merken dat de exacte gevolgen van de NIS2-richtlijn voor het MKB kunnen variëren naargelang van de sector en de specifieke vereisten die op hen van toepassing zijn. In het algemeen wordt echter verwacht dat kmo’s zullen moeten investeren in cyberbeveiligingsmaatregelen om aan de NIS2-richtlijn te voldoen en de bescherming van hun gegevens en systemen te garanderen.

VRAAG MIJ hoe SDWAN en SASE Solutions uw bedrijf kunnen helpen uw cyberbeveiliging te verbeteren, met onze toonaangevende netwerk- en beveiligingsproducten, -diensten en -oplossingen.

Share This