NIS2 is de cyberbeveiligingsrichtlijn van de Europese Unie, die voortbouwt op zijn voorloper om een betere bescherming en veerkracht te garanderen. In dit blogartikel nemen we de nationale implementatie die vereist is door de NIS2-richtlijn onder de loep en bekijken we de lokale wetten: welke zijn beschikbaar op Cyberday en hoe verschillen ze van de Europese richtlijn?
De NIS2-richtlijn is een bijgewerkte versie van de oorspronkelijke NIS-richtlijn, die het toepassingsgebied van de oorspronkelijke richtlijn uitbreidt en tot doel heeft de cyberbeveiliging in de hele Europese Unie te versterken. De NIS2-richtlijn is van toepassing op een groot aantal sectoren die cruciaal zijn voor het functioneren van de economie, zoals energie, transport, water, voedsel, gezondheid, financiën, beheerders van digitale infrastructuur, de verwerkende industrie en vele andere.
Voorjaar 2024 publiceerden we een e-book over NIS2 klaar met ISO 27001 best practices. In ons gratis e-book leiden we je door de wereld van NIS2, de inhoud van de richtlijn en geven we je praktische tips over hoe je naleving kunt bereiken. Haal het uwe hier op: cyberday.ai/ebook
.png)
De EU-lidstaten moesten de NIS2-richtlijn uiterlijk op 17 oktober 2024 in nationale wetgeving hebben omgezet. Veel lidstaten hebben de deadline niet gehaald, maar er wordt vooruitgang geboekt en de meeste landen zullen hun wetgeving naar verwachting binnenkort afronden. De richtlijn breidt de sectoren die onder de richtlijn vallen uit en verscherpt de eisen voor risicobeheer, het melden van incidenten en cyberbeveiligingsmaatregelen, waaronder strengere normen voor het melden van incidenten en voor de beveiliging van de toeleveringsketen.
De belangrijkste beslissingen op nationaal niveau hebben betrekking op het definiëren van lokale autoriteiten, implementatie en monitoringdetails. De richtlijn stelt minimale controlemethoden vast en staat alleen aanvullingen op nationaal niveau toe. Overwegingen zijn onder andere:
In NIS2 wordt sterk de nadruk gelegd op de rol van overheidsinstanties bij het waarborgen van de cyberveiligheid van kritieke diensten en kritieke infrastructuur in de Europese Unie en op de behoefte aan meer samenwerking tussen overheidsinstanties in de EU-lidstaten.
In de nationale wetgeving moet worden gespecificeerd welke autoriteiten verantwoordelijk zijn voor het toezicht op de tenuitvoerlegging van NIS2 in het betreffende land, en of het toezicht bijvoorbeeld is verdeeld over verschillende autoriteiten op basis van hun bevoegdheidsgebieden. Landen moeten lokale autoriteiten aanwijzen om toe te zien op de naleving van de NIS2-regels: dit betekent dat er nationale toezichthoudende autoriteiten moeten worden aangewezen of dat er nieuwe toezichthoudende teams moeten worden opgericht voor sectoren als energie, gezondheid en vervoer.
NIS2 stelt duidelijke en strenge eisen aan de tenuitvoerlegging en het toezicht om ervoor te zorgen dat zowel organisaties als lidstaten de voorschriften naleven. De lidstaten moeten controlemaatregelen tegen belangrijke actoren afdwingen die doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de specifieke omstandigheden van elk geval. Als uit monitoring blijkt dat een belangrijke actor de regels mogelijk niet naleeft, moeten de autoriteiten passende maatregelen nemen, waaronder, indien nodig, controlemaatregelen achteraf. Daarnaast moeten landen teams oprichten om cyberbeveiligingsincidenten te behandelen en te onderzoeken waar nodig.
Volgens NIS2 moet een organisatie goed gedefinieerde beleidsregels hebben om risico's voor informatiebeveiliging te beheren, de effectiviteit van beveiligingsmaatregelen te beoordelen en belangrijke gebieden voor verbetering te identificeren.
De NIS2-richtlijn identificeert specifiek de volgende gebieden van informatiebeveiliging waarvoor de organisatie haar acties moet documenteren en implementeren, en het management van de organisatie is verantwoordelijk voor de toereikendheid van deze acties:
Elk land moet ervoor zorgen dat organisaties maatregelen nemen om risico's te beheersen. Deze maatregelen omvatten het waarborgen van de veiligheid van toeleveringsketens en het zorgvuldig evalueren van risico's.
Volgens NIS2 moeten belangrijke incidenten worden gemeld aan de nationale toezichthoudende autoriteit, dus de nationale wetgeving bepaalt wanneer en hoe incidenten moeten worden gemeld. NIS2 stelt dus de basisnormen vast, maar landen kunnen strengere of meer gedetailleerde regels opstellen naargelang hun eigen behoeften.
Op nationaal niveau is het ook mogelijk om verder te gaan dan het toepassingsgebied van de NIS2-richtlijn en specificaties op te stellen op basis van nationale behoeften. Deze afspraken en acties op nationaal niveau zullen ervoor zorgen dat de NIS2-richtlijn wordt afgestemd op de wetgeving van elk land, terwijl er tegelijkertijd een samenhangende aanpak van cyberbeveiliging in de hele EU wordt gehandhaafd.
België heeft de NIS2-richtlijn van de Europese Unie omgezet in nationale wetgeving als de NIS2-wet. Deze wetgeving sluit nauw aan bij de EU-richtlijn en bevat slechts kleine nationale aanpassingen. De wet stelt eisen op het gebied van cyberbeveiliging voor bedrijven die actief zijn in kritieke sectoren en geregistreerd zijn in België. De belangrijkste nationale maatregelen omvatten specifieke registratieprocedures en conformiteitsbeoordelingen.
Kroatische implementatie van NIS2 De Cyberbeveiligingswet (Zakon o kibernetičkoj sigurnosti NN 14/2024) is in februari 2024 in werking getreden. Deze wet definieert cyberbeveiligingsregels voor Kroatische bedrijven met dezelfde criteria als NIS2, met enkele uitzonderingen, zoals de opname van aanvullende sectoren, gedetailleerde categorisering van entiteiten, gedefinieerde tijdlijnen voor naleving en gespecificeerde sancties.
De Finse "Kyberturvallisuuslaki" wacht op de laatste goedkeuring, maar kan al worden gebruikt bij de implementatie. De Cyberbeveiligingswet creëert een duidelijk wettelijk kader voor risicobeheer op het gebied van informatiebeveiliging en het melden van incidenten in overeenstemming met de NIS2-richtlijn. De nieuwe wet is bedoeld om de huidige gefragmenteerde Finse wetgeving op het gebied van cyberbeveiliging te harmoniseren met de EU-brede normen die door NIS2 zijn geïntroduceerd. De reikwijdte van de eisen op het gebied van risicobeheer en rapportage wordt uitgebreid en het aantal bedrijven en overheidsinstellingen dat hieraan moet voldoen wordt verduidelijkt. De Cyberbeveiligingswet gaat uit van het minimumniveau van de richtlijn en omschrijft voornamelijk de punten die overeenkomen met de inhoud van de richtlijn. De Cybersecuritywet voegt niets toe aan het toepassingsgebied van de NIS2-richtlijn, noch aan de controlemiddelen.
NIS2 is in Letland aangenomen als "Nationale Cyberveiligheidswet". De wet verbetert de beveiliging van informatie- en communicatietechnologieën en stelt onder andere eisen aan de levering en ontvangst van essentiële en belangrijke diensten en de werking van informatie- en communicatietechnologieën. De wet breidt het toepassingsgebied uit naar zowel organisaties in de publieke als private sector en deelt ze in drie groepen in op basis van kriticiteit.
De wet inzake cyberbeveiliging "Kibernetinio Saugumo Įstatymas" implementeert de NIS2-wet van de Europese Unie in Litouwen. De wet stelt eisen aan verschillende organisaties om hun risicobeheer op het gebied van cyberbeveiliging te versterken. De Litouwse wet introduceert een uitgebreid toepassingsgebied, gedetailleerde implementatietijdlijnen (12 maanden vanaf opname) en gedefinieerde toezichthoudende rollen.
U kunt nu uw nationale wetten activeren op Cyberday! U kunt de algemene EU-versie van de NIS2-richtlijn vinden, evenals de nationale wetten van de landen die onder het NIS2-kader vallen. Activeer de wetgeving van uw keuze met één klik op de knop.
Als je nog vragen hebt, kun je contact opnemen met ons team via chat of e-mail team@cyberday.ai. We ontvangen ook graag feedback over het gebruik van Cyberday
.png)
