De Europese Commissie heeft een herziene richtlijn inzake netwerk- en informatiebeveiliging (NIS2) ingevoerd, die op 17oktober 2024in werking treedt. Het bouwt voort op het oorspronkelijke regelgevingskader voor cyberbeveiliging van NIS1 en heeft gevolgen voor zowel bedrijven uit de publieke als de private sector in kritieke infrastructuur en/of diensten (KRITIS).
In dit artikel geven Nitro-experts een uitgebreid overzicht van NIS2 en nuttige informatie over de nalevingsvereisten voor deze op handen zijnde verordening. Dit artikel is niet bedoeld als juridisch advies.
Wat is NIS-2?
Om een goed begrip van NIS2te krijgen, is het belangrijk om de bepalingen van NIS1te begrijpen. NIS1 - ook bekend als de NIS-richtlijn - was "het eerste horizontale instrument voor de interne markt dat gericht was op het verbeteren van de veerkracht van netwerk- en informatiesystemen in de [Europese] Unie tegen cyberbeveiligingsrisico's", aldus de Europese Commissie. Naarmate de digitalisering toenam, stelde de Commissie bepaalde tekortkomingen van de NIS-1 vast en ontwikkelde zij vervolgens NIS-2.
NIS2 is van toepassing op KRITIS-bedrijven met meer dan 50 werknemers of een jaaromzet van €10 miljoen. Omdat NIS2 het toepassingsgebied van entiteiten die onder de verordening vallen, uitbreidt, kunnen andere organisaties onder de nieuwe regels vallen, zelfs als ze niet over die omvang of omzetkwalificaties beschikken. De entiteiten binnen de toeleveringsketen van een gedekte organisatie kunnen ook onder het toepassingsgebied van NIS-2vallen. Daarnaast kunnen de EU-lidstaten hun eigen verlengingen van de uitspraak uitvaardigen.
Met de introductie van NIS2moeten organisaties een reeks beveiligingsmaatregelen en rapportageprocedures implementeren, waaronder risicobeheer, beveiliging van de toeleveringsketen en passende reactie op incidenten. De doelstellingen zijn het vergroten van de veerkracht en het reactievermogen van de publieke en private sector, de bevoegde autoriteiten en de EU.
Voor wie is NIS-2bedoeld?
NIS-2 zal naar schatting 100000 organisaties in de hele EU beïnvloeden, naast organisaties die al onder NIS-1vallen. Het toepassingsgebied van de sectoren is gestegen van zeven naar 18en omvat:
- Vervoer
- Bankieren
- Financiële markten
- Drinkwater
- Digitale infrastructuur
- Energie
- Gezondheid
- Post- en koeriersdiensten
- Productie van kritieke producten
- Afvalwater en afvalbeheer
- Overheidsadministratie
- Ruimte
- Onderzoek
- Digitale diensten
- Voedselproductie, -verwerking en -distributie
- Telecom
- Chemische productie, productie en distributie
- Digitale dienstverleners
Wat is er nodig voor NIS-2 ?
Hieronder staan de nieuwe eisen en verplichtingen voor organisaties die binnen de reikwijdte van NIS2vallen.
Sterker risicobeheer
De richtlijn bevat een minimumlijst van beveiligingsmaatregelen die entiteiten moeten nemen om cyberrisico's te minimaliseren, inclusief maar niet beperkt tot incidentbeheer, beveiliging van de toeleveringsketen, versleuteling, bedrijfscontinuïteit en beleid voor risicoanalyse. NIS-2 vereist specifiek dat organisaties plannen hebben die tijdens en na een incident in werking treden, zoals back-upmaatregelen, het waarborgen van toegang tot hun IT-systemen, het herstellen van gegevens en systemen, de procedure voor een crisisresponsteam en meer.
Strengere rapportageprocessen
NIS2 de rapportageverplichtingen van entiteiten aanscherpt als zij een beveiligingsincident ervaren. Organisaties kunnen verschillende instanties hebben waaraan ze een incident moeten melden, waaronder hun klanten. Sommige incidenten kunnen vallen in een categorie van inbreuken waarvoor naleving van 24meldingstermijnen van uur vereist is.
Beveiliging van de toeleveringsketen
De richtlijn vereist dat organisaties ervoor zorgen dat hun leveranciers en partners in hun toeleveringsketens risicobeheer uitvoeren en zich ook aan bepaalde beleidsregels houden. Deze verandering kan gevolgen hebben voor veel entiteiten die niet rechtstreeks binnen het toepassingsgebied van NIS2 vallen, maar zaken doen als leden van de toeleveringsketen van dergelijke bedrijven.
Verantwoordelijkheid van het management
NIS2 heeft tot doel de bedrijfsleiding verantwoordelijk te houden voor hun rol op het gebied van cyberbeveiliging en stelt sancties vast voor niet-naleving. Het management moet worden getraind in beveiligingsmaatregelen en kan aansprakelijk worden gesteld - of zelfs uit managementfuncties worden verwijderd - als er inbreuken plaatsvinden.
Wat u moet doen als u te maken heeft met NIS-2
De eerste stap voor elke organisatie die vermoedt dat ze binnen het bereik van NIS-2valt, is om te bepalen of ze worden beïnvloed.
NIS2 verandert de manier waarop organisaties worden ingedeeld in "essentiële" en "belangrijke" entiteiten. Elke categorie valt onder een andere toezicht- en handhavingsprocedure.
Essentiële entiteiten** (EE) | Belangrijke entiteiten** (IE) |
+250 +50MIJ | +50 +10M€ |
Energie, Vervoer, Water en afvalwater, Financiële markten, Bankwezen, Openbaar bestuur, ICT-diensten, Digitale infrastructuur, Gezondheid, Ruimtevaart | Post, Afval, Farmaceutisch, Chemicaliën, Productie, Voedselproductie, Digitale aanbieders, Onderzoek |
U moet dan uw bestaande beveiligingsmaatregelen en -beleid evalueren om een basisinzicht te krijgen in hoe u kunt voldoen aan NIS2. Onderzoeksbureau PwC raadt aan om een raamwerk voor cyberbeveiligingscontroles te gebruiken dat "specifieke controles die binnen uw bedrijf worden uitgevoerd, in kaart brengt met elke NIS-2 -clausule om u te helpen informeren over gebieden waar de organisatie op dit moment niet aan haar NIS-2 -verplichtingen kan voldoen."
Als onderdeel van uw evaluatie moet u nagaan of uw EU-lidstaat van plan is zijn eigen nalevingsvereisten in te voeren. Duitsland is bijvoorbeeld van plan om NIS2UmsuCG op 1oktober 2024te implementeren.
Vervolgens moet u uw tools en processen testen, zoals incidentrespons, crisisbeheer, bedrijfscontinuïteit en failover, en noodprocedures. Uiteindelijk is het ideaal om elk proces te testen dat betrekking heeft op uw vermogen om te voldoen aan NIS2.
Het is ook belangrijk om uw organisatiecultuur en benadering van cyberbeveiliging onder de loep te nemen om ervoor te zorgen dat teamleden op één lijn zitten op het gebied van compliance en dat het management zijn due diligence doet.
De gevolgen van NIS-2 niet-naleving
Als zij bepaalde vereisten overtreden, kunnen essentiële entiteiten een boete krijgen van maximaal €10,000000 of maximaal 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Belangrijke entiteiten kunnen een boete krijgen van maximaal €7,000,000 of maximaal 1.4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
Hoe u NIS2-conform blijft met Nitro
Nitro is een wereldwijd actieve aanbieder van PDF- en eSign-oplossingen, gespecialiseerd in de ondersteuning van documentbeveiliging en compliance voor organisaties in de EU. Wij bieden geavanceerde documentoplossingen die de veiligheid en integriteit van digitale documenten waarborgen voor zowel uw organisatie als partners in uw hele toeleveringsketen.
Met Nitro kunnen bedrijven strenge toegangscontroles, versleuteling, gegevensredigering en digitale handtekeningen implementeren, die allemaal essentieel zijn voor het naleven van de uitgebreide verplichtingen op het gebied van risicobeheer en incidentrapportage van NIS2. Deze functies helpen ongeoorloofde toegang te voorkomen en zorgen voor de bescherming van gevoelige informatie. Lees meer over hoe Nitro NIS2 compliance ondersteunt in deze blog.
Neem contact op met een van onze PDF- en eSign-experts om te ontdekken hoe wij u kunnen helpen of probeer Nitro gratis uit.