Geplaatst 21-03-23
Cyberaanvallen zijn op dit moment top-of-mind bij wetgevers vanwege de toenemende spanningen en economische onzekerheid in Europa. De oorlog tussen Rusland en Oekraïne heeft laten zien hoeveel schade kwaadwillende partijen kunnen aanrichten aan vitale infrastructuur.
Als reactie hierop is op 16 januari 2023 de nieuwe EU-brede cyberwetgeving, Richtlijn 2022/2555 (NIS2), vastgesteld. Naar verwachting zal deze veel invloed hebben op de bestaande cybersecurity-richtlijnen.
We bespreken vier belangrijke zaken die je moet weten over NIS2. Zo ben je goed voorbereid op wat er komen gaat.
18 oktober 2024
Alle EU-lidstaten hebben tot 18 oktober 2024 de tijd om de nieuwe richtlijn om te zetten in nationale wetgeving. De NIS2 is uitgebreider dan zijn voorganger en er komen aanzienlijke boetes voor niet-naleving. De richtlijn richt zich primair op het verbeteren en handhaven van de cybersecurity bij essentiële en belangrijke organisaties, die beide worden gedefinieerd in de richtlijn.
Ook voor kleine organisaties
Zelfs als je een kleine organisatie bent, kan je onder de reikwijdte van NIS2-wetgeving vallen. De richtlijn richt zich namelijk op het verbeteren van cybersecurity voor alle organisaties die essentieel of belangrijk zijn. Dit type organisatie levert goederen en diensten die noodzakelijk zijn voor sociale en economische verkeer.
Zelfs als je niet aan de financiële drempels voldoet, kan de richtlijn toch invloed hebben op je bedrijfsvoering bijvoorbeeld omdat je onderdeel bent van een toeleveringsketen.
Verplichte meldingen gefaseerd en gedetailleerd
De meldingsplicht(en) die in NIS2 worden beschreven zijn gefaseerd en gedetailleerd beschreven, met bijbehorende termijnen. Zie bijvoorbeeld de drie niveaus van rapportage als er zich een cybersecurity-inbreuk voordoet:
- 24 uur voor een eerste notificatie
- 72 uur voor een melding waarin duidelijk de ernst en de impact wordt toegelicht
- 1 maand voor een evaluatie rapport met oorzaak analyse.
Zo wil NIS2 afdwingen dat de organisatie de tijd en moeite neemt om zich pro-actief voor te bereiden op eventuele toekomstige incidenten.
Wil je een effectief ISMS?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor informatiebeveiliging (en privacy).
Directie is verantwoordelijk - en aansprakelijk
Sancties voor het niet naleven van maatregelen in NIS2 zullen direct impact hebben op de bestuurders. De richtlijn definieert niet wat een leidinggevend orgaan is, maar de raad van bestuur zal daar waarschijnlijk zeker onder vallen.
Cyberbeveiliging is dus niet alleen een zakelijk risico, maar moet ook in zakelijke termen worden gecommuniceerd om de begripskloof te overbruggen.
Meer bevoegdheden en handhaving
Regulerende instanties krijgen meer bevoegheden voor toezicht en zware middelen voor handhaving. Dat betekent eigenlijk dat je organisatie voortdurend onder een vergrootglas zal liggen. De richtlijn staat fysieke inspecties, beveiligingsaudits en zelfs toegang tot je data toe om cybersecurityrisicobeheermaatregelen te toetsen. Ook de eventuele boetes zijn zeer hoog en ingrijpend.
NIS2 voorziet in zware sancties voor het niet-naleven, afhankelijk van de categorie waaronder je organisatie valt: essentiële entiteiten: 10 miljoen euro of 2% van de wereldwijde omzet (afhankelijk van wat hoger is); belangrijke entiteiten: 7 miljoen euro of 1,4% van de wereldwijde omzet (afhankelijk van wat hoger is).
Het pad van Europese richtlijn naar Nederlandse wetgeving
Al sinds 2022 werkt de Rijksoverheid aan de nationale implementatie door de richtlijn om te zetten naar Nederlandse wetgeving. Daarvoor doorlopen we de volgende stappen:
De NIS2-richtlijn wordt formeel vastgesteld door de Europese Raad.
Publicatie van de NIS2-richtlijn in de Official Journal van de Europese Unie.
Aanvang van de implementatietermijn van 21 maanden. Gedurende deze periode is de Rijksoverheid verantwoordelijk voor het integreren van de richtlijn in de Nederlandse wetgeving.
Dit is de start van een internetconsultatie-periode van 6 weken. In deze fase kunnen burgers, bedrijven en overheidsinstanties suggesties ter verbetering doen voor de implementatie van NIS2 in de Nederlandse wet. De resultaten van deze consultatie worden gepubliceerd en indien mogelijk opgenomen in de Nederlandse interpretatie van de richtlijn.
De exacte startdatum van de consultatie wordt nog bekendgemaakt.
Naar verwachting zal de nieuwe wet nu in werking treden, volgend op de behandeling en goedkeuring door het Nederlandse parlement. Vanaf dit moment zullen de organisaties die onder de NIS2-richtlijn vallen, moeten voldoen aan de vastgestelde zorg- en meldplicht.
Regelmatige updates over de NIS2 op je tijdlijn? Volg TrustBound GRC op LinkedIn!
Informatiebeveiliging op orde met TrustBound GRC
Om er zeker van te zijn dat je compliant bent met de nieuwe wet- en regelgeving kan het een goed idee zijn om gebruik te maken van handige, overzichtelijke en gemakkelijke tools op de informatiebeveiliging te organiseren.
TrustBound GRC biedt de benodigde frameworks en praktische handvatten die bedrijven en organisaties nodig hebben om zichzelf te organiseren en beschermen.. Bekijk onze functies of plan een demo voor onze complete GRC-tool.