Op 10 november heeft de Europees parlement een nieuwe wet aangenomen. Met deze wet wil men de cyberbeveiliging van de hele Europese Unie op een hoger niveau brengen. De nieuwe richtlijn, NIS2, vervangt de huidige richtlijn over de beveiliging van netwerk- en informatiesystemen (NIS1). Deze was met name bedoeld voor grote bedrijven en instellingen die essentiële functies hebben. Denk aan energie- en waterbedrijven. Zij zijn al enkele jaren verplicht om maatregelen te nemen om de cyberweerbaarheid te verhogen.
Met de nieuwe wet wil men voorkomen dat cyberaanvallen in de toekomst de gehele samenleving of delen ervan ontwrichten. Het gaat nog wel even duren voor NIS2 in werking gaat omdat Nederland zelf de Wbni zal moeten aanpassen in dit ook voor ons van toepassing te laten worden. Daar zal voorafgaand aan dus worden gewerkt door ministeries en Tweede en Eerste kamer.
Dit zijn de belangrijkste punten van NIS2:
Verscherpte eisen en samenwerking
Met de nieuwe wet komen er verscherpte beveiligingseisen en de implementatie van cyberbeveiligingsmaatregelen in de lidstaten wordt gelijkgetrokken. Er komen minimumregels en de samenwerking tussen de relevante autoriteiten in elke lidstaat wordt beter gefaciliteerd. Met meer informatie-uitwisseling en samenwerking hoopt men beter weerbaar te zijn tegen aanvallen van buitenaf. Een onderdeel van de samenwerking is de “Europese kwetsbaarheidsdatabase”, zodat beter kan worden samengewerkt en signalen vroegtijdig worden gedeeld.
Uitbreiding van sectoren
Het aantal sectoren met een kritische economische functie wordt verder uitgebreid. Naast essentiële bedrijven zijn er nu ook belangrijke bedrijven. Nieuwe sectoren die onder de regelgeving gaan vallen zijn bijvoorbeeld post- en koeriersdiensten, afvalbeheer, chemische stoffen, levensmiddelen, productie van medische apparatuur en aanbieders van ICT-producten of -diensten (marktplaatsen, zoekmachines en sociale netwerken). Alle middelgrote en grote ondernemingen in deze sectoren gaan onder de wetgeving vallen. Bedrijven met minder dan 50 medewerkers en minder dan 10 miljoen euro omzet vallen erbuiten. Maar er zijn uitzonderingen, bijvoorbeeld als een bedrijf essentiële diensten aan consumenten levert. Ook kan de overheid bedrijven aanwijzen omdat zij een hoog veiligheidsrisico hebben.
Veiligheid in de keten
De essentiële en belangrijke bedrijven moeten niet alleen zichzelf beveiligen, maar krijgen ook zorgplicht in hun toeleveringsketen. Hackers die zich richten op grote bedrijven, vallen vaak eerst de kleinere bedrijven aan die in verbinding staan met die grote bedrijven. Daarom zullen essentieel en belangrijke bedrijven straks aan de slag moetn met die zorgplicht. Kleinere bedrijven die leveren aan grote bedrijven zullen moeten laten zien dat ze ook aan hun cybersecurity werken.
Flinke boetes
Organisaties die zich niet houden aan de NIS2-regels lopen het risico op hoge boetes. De boetes kunnen oplopen tot 10 miljoen euro of 2% van de jaarlijkse omzet, welk van de twee het hoogste uitkomt. Daarbij komt ook dat bestuurders met een relevante autoriteit of managementrol persoonlijk verantwoordelijk gehouden kunnen worden.
Hoe gaat het verder?
De NIS2 is een Europese richtlijn en wordt in de komende tijd omgezet naar Nederlandse wetgeving en dus onderdeel worden van de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2024.
