De Network and Information Systems Directive 2 (NIS2) is een essentiële stap in de richting van het verbeteren van de cyberbeveiliging en de bescherming van informatiesystemen in de Europese Unie. Als opvolger van de oorspronkelijke NIS-richtlijn (NIS1) heeft NIS2 tot doel de weerbaarheid van essentiële en digitale dienstverleners te vergroten om hen te beschermen tegen cyberaanvallen en andere beveiligingsdreigingen.
Inwerkingtreding en Implementatie van NIS2
NIS2 is officieel van kracht gegaan in 2023 en vereist volledige implementatie door de lidstaten van de Europese Unie vóór 17 oktober 2024. Dit roept wellicht de vraag op of NIS2 van toepassing is op uw bedrijf. Laten we deze kwestie nader onderzoeken.
Essentiële en Belangrijke Entiteiten
NIS2 categoriseert bedrijven in twee hoofdgroepen: essentiële entiteiten en belangrijke entiteiten.
Essentiële entiteiten omvatten bedrijven die:
- Actief zijn binnen een van de zeer kritieke sectoren.
- Minimaal 250 werknemers hebben, of een jaarlijkse omzet van meer dan €50 miljoen, of een balanstotaal van meer dan €43 miljoen.
Belangrijke entiteiten omvatten bedrijven die:
- Actief zijn binnen een van de zeer kritieke of andere kritieke sectoren.
- Meer dan 50 werknemers hebben, of een jaarlijkse omzet van meer dan €10 miljoen.
Kleine en micro-ondernemingen worden doorgaans uitgesloten van de NIS2-richtlijn, met uitzondering van bepaalde sectoren waar entiteiten, ongeacht hun omvang, als “kritiek” worden beschouwd. Voorbeelden hiervan zijn aanbieders van openbare elektronische-communicatienetwerken, overheidsdiensten op centraal niveau, gekwalificeerde aanbieders van vertrouwensdiensten, en specifieke DNS-dienstverleners.
Daarnaast hebben nationale autoriteiten de bevoegdheid om entiteiten als “kritiek” of “belangrijk” te bestempelen, vooral wanneer ze de enige dienstverlener zijn of wanneer een verstoring ernstige gevolgen zou hebben voor de openbare veiligheid, volksgezondheid, of algemeen welzijn.
Verplichtingen voor gekwalificeerde bedrijven.
Bedrijven die aan de eerder genoemde criteria voldoen, worden onderworpen aan specifieke verplichtingen:
- het uitvoeren van een grondige risicoanalyse,
- de implementatie van doeltreffende beveiligingsmaatregelen,
- het verplicht melden van cyberincidenten.
Het onderscheid tussen deze twee categorieën is gebaseerd op de mate waarin een entiteit kritiek is voor de samenleving.
Essentiële entiteiten, met een potentieel grotere impact op de samenleving bij een cyberaanval, worden daarom onderworpen aan strengere verplichtingen. De naleving van verplichtingen door deze entiteiten wordt intensiever gecontroleerd, zowel vóór als na de implementatie, om ervoor te zorgen dat aan de voorschriften wordt voldaan.
Voor belangrijke entiteiten geldt er een lichtere vorm van toezicht dat alleen achteraf plaatsvindt, bijvoorbeeld als er een incident heeft plaatsgevonden.
Classificatie op basis van kritiek niveau
Naast het onderscheid tussen essentiële en belangrijke entiteiten wordt ook een opsplitsing gemaakt op basis van het kritieke niveau van verstoring voor de nationale veiligheid.
Zeer kritieke sectoren:
Deze sectoren worden beschouwd als van het hoogste belang voor de nationale veiligheid. Een verstoring of uitval in deze sectoren kan ernstige gevolgen hebben voor de samenleving, de economie en de nationale veiligheid als geheel. Voorbeelden van zeer kritieke sectoren kunnen zijn: de energievoorziening, de financiële sector, de gezondheidszorg, de ICT-infrastructuur en het transport.
Andere kritieke sectoren:
Deze sectoren zijn ook van groot belang voor de nationale veiligheid, maar in mindere mate dan de zeer kritieke sectoren. Een verstoring in deze sectoren kan nog steeds aanzienlijke gevolgen hebben, zij het mogelijk op een meer lokale of beperkte schaal. Voorbeelden van andere kritieke sectoren kunnen zijn: de voedselvoorziening, de waterinfrastructuur, de chemische sector en de telecommunicatie.
De classificatie van sectoren op basis van hun kritiek niveau helpt bij het bepalen van prioriteiten voor het waarborgen van de nationale veiligheid en het nemen van maatregelen om deze sectoren te beschermen tegen verschillende bedreigingen, waaronder cyberaanvallen, terroristische dreigingen en natuurlijke rampen.
Verplichtingen voor bedrijven die onder NIS2 vallen
Indien uw bedrijf onder de reikwijdte van NIS2 valt, is naleving van specifieke verplichtingen vereist. Deze omvatten:
Risicoanalyse en Beveiligingsbeleid
Formuleren van beleidsrichtlijnen voor het analyseren van risico’s en het beveiligen van informatiesystemen.
Incidentenbehandeling
Implementeren van doeltreffende procedures om adequaat te reageren op en incidenten effectief te behandelen.
Bedrijfscontinuïteit
Opstellen van gedetailleerde plannen voor bedrijfscontinuïteit, inclusief beheer van back-ups en noodvoorzieningen.
Beveiliging van Toeleveringsketen
Waarborgen van beveiliging in relaties met leveranciers en dienstverleners gedurende het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen.
Cyberhygiëne en Training
Implementeren van fundamentele praktijken voor cyberhygiëne en het regelmatig trainen van personeel op het gebied van cyberbeveiliging.
De bestuursorganen of leidinggevenden van deze entiteiten vervullen een essentiële rol. Zij zijn verantwoordelijk voor het goedkeuren van beveiligingsmaatregelen, het monitoren van de uitvoering ervan en kunnen aansprakelijk worden gesteld voor eventuele inbreuken. Om deze verantwoordelijkheid effectief te dragen, dienen bestuursleden een opleiding op het gebied van cyberbeveiliging te volgen.
Binnenkort zal de Europese NIS-samenwerkingsgroep richtlijnen bijwerken om de praktische reikwijdte van diverse beveiligingsdoelstellingen te verduidelijken. Op nationaal niveau zullen bevoegde autoriteiten gedetailleerde voorschriften verstrekken. Bovendien zal de Europese Commissie een uitvoeringsbesluit vaststellen met technische en methodologische vereisten voor risicobeheersmaatregelen op het gebied van cyberbeveiliging.
Mogelijke sancties en verantwoordelijkheden
In het kader van NIS2 dienen lidstaten actief toezicht te houden op entiteiten, waarbij zij gebruik kunnen maken van audits, inspecties en documentatieverzoeken.
Bevoegdheden van nationale autoriteiten
De bevoegde nationale autoriteiten hebben de bevoegdheid om diverse maatregelen te nemen, variërend van waarschuwingen tot bindende instructies en het informeren van klanten. Bij inbreuken op risicobeheersmaatregelen of incidentmeldingen kunnen administratieve boetes worden opgelegd, afhankelijk van de omvang van de entiteit.
- Sancties voor essentiële entiteiten: Voor essentiële entiteiten kunnen administratieve geldboetes worden opgelegd tot maximaal 10.000.000 euro of ten minste 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is.
- Sancties voor belangrijke entiteiten: Belangrijke entiteiten kunnen worden geconfronteerd met administratieve geldboetes tot maximaal 7.000.000 euro of ten minste 1,4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is.
- Uitzonderingen voor overheidsinstanties: Overheidsinstanties kunnen vrijgesteld zijn van boetes, maar andere sancties blijven van kracht. Lidstaten behouden het recht om dwangsommen op te leggen en natuurlijke personen in het topmanagement van essentiële entiteiten aansprakelijk te stellen voor het niet naleven van de richtlijn.
Deze handhavingsmaatregelen waarborgen een doeltreffende naleving van NIS2 en stimuleren een verantwoordelijke omgang met cybersecurity binnen essentiële en belangrijke entiteiten.
Conclusie
In dit tijdperk, waarin digitale veiligheid een absolute topprioriteit is, verschaft de Europese richtlijn een kader voor essentiële en belangrijke entiteiten om robuuste beveiligingsmaatregelen te implementeren. Door middel van samenwerking, doorgedreven training en voortdurende aanpassingen aan nieuwe dreigingen kunnen organisaties zich effectiever beschermen tegen cyberbeveiligingsrisico’s.
In een volgende publicatie zullen we onze diensten en oplossingen voorstellen die kunnen bijdragen aan het voldoen van enkele verplichtingen van NIS2. Neem gerust contact met ons op om uw situatie te bespreken en een plan op maat te maken voor uw organisatie.
Meer info? Contacteer ons op het tel. nr.: 011 858 858 of via mail: sales@myBNS.com.
Ontdek hier meer over de NIS2-richtlijnen:
CCB – De NIS2-richtlijn: Wat betekent dit voor mijn organisatie?
…………………………
Bovenstaand artikel is opgesteld met informatie die beschikbaar was tot 13/12/2023. We streven ernaar de tekst bij te werken indien er wijzigingen worden aangebracht aan de officiële NIS2-richtlijn. Ondanks onze inspanningen om nauwkeurige informatie te verstrekken, aanvaarden we geen verantwoordelijkheid voor mogelijke foutieve informatie.