In deze blog lees je meer over de achtergrond en de redenen achter de nieuwe richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) van de EU. Dit is het eerste deel van een driedelige blogserie. Je krijgt het beste algemene beeld over de richtlijn en hoe je organisatie erop moet reageren door alle drie de delen te lezen.
Verwante blog: Deel 2 - NIS2 toepassingsgebied en belangrijkste beveiligingseisen
Verwante blog: Deel 3 - NIS2-compliant maken met Cyberday
De oorspronkelijke richtlijn voor netwerk- en informatiebeveiliging (NIB), die in 2016 werd gepubliceerd, was een belangrijke mijlpaal voor de cyberveiligheid van de Europese Unie. Het werd de eerste EU-brede wetgeving om de bedreigingen voor cyberveiligheid aan te pakken. Het belangrijkste doel was om een consistent en hoog niveau van cyberbeveiliging te garanderen in alle relevante sectoren in alle lidstaten.
De richtlijn slaagde er weliswaar in om de cyberveiligheid te verbeteren, maar stuitte tijdens het implementatieproces ook op uitdagingen. Deze obstakels leidden uiteindelijk tot verschillen in het niveau van gereedheid voor cyberbeveiliging tussen de lidstaten. Het werd duidelijk dat het creëren van een uniform en veerkrachtig cyberbeveiligingslandschap in de hele EU extra inspanningen vereiste.
Als reactie op de uitdagingen in de oorspronkelijke NIB-richtlijn en de toegenomen cyberdreigingen als gevolg van digitalisering en de groei van cybercriminaliteit, vervangt de Europese Commissie de NIB-richtlijn. Het nieuwe voorstel, de NIS2-richtlijn, heeft als doel de uitdagingen van de oorspronkelijke NIS aan te pakken door meer te investeren in de volgende aspecten:
De richtlijn inzake netwerk- en informatiebeveiliging is van toepassing op twee verschillende categorieën organisaties: exploitanten van essentiële diensten (OES's) en aanbieders van digitale diensten (DSP's).
OES verwijst naar organisaties die diensten leveren die cruciaal worden geacht voor het functioneren van de economie en de maatschappij als geheel. Hieronder vallen kritieke infrastructuursectoren zoals water, transport en energie, maar ook diensten zoals gezondheidszorg en digitale infrastructuur.
DSP's zijn organisaties die specifieke soorten digitale diensten aanbieden, meestal online zoekmachines, online marktplaatsen en cloud computing-diensten.
Om in aanmerking te komen als een DSP moet een organisatie een of meer van deze diensten leveren en binnen de categorie van een middelgrote onderneming vallen.
Er is een algemene vrijstelling voor kleine bedrijven in de digitale dienstensector. Als een organisatie minder dan 50 werknemers heeft en een omzet van minder dan €10 miljoen, worden ze niet beschouwd als een DSP en daarom is NIS2 niet op hen van toepassing. Als de organisatie echter deel uitmaakt van een grotere groep, moeten ze het personeel en de omzet van de hele groep evalueren.
We zullen het toepassingsgebied en de beveiligingseisen van NIS2 in meer detail behandelen in de volgende berichten in deze serie.
Verwante blog: Deel 2 - NIS2 toepassingsgebied en belangrijkste beveiligingseisen
Verwante blog: Deel 3 - NIS2-compliant maken met Cyberday
Implementatie
De implementatie van de richtlijn verschilde per lidstaat. Elke lidstaat paste de richtlijn anders toe, wat leidde tot inconsistenties tussen de cyberbeveiligingsniveaus van de lidstaten. Het gebrek aan consistentie verzwakte de impact van de richtlijn.
Bereidheidsniveau
Verschillende lidstaten waren in verschillende mate klaar voor de richtlijn. Sommige lidstaten hadden al consistente en sterke cyberbeveiligingsmaatregelen en andere moesten nog veel werk verzetten. De verschillen in uitgangspositie leidden tot verschillen in het bereiken van een hoog niveau van cyberbeveiliging.
OES's definiëren
Lidstaten moesten beslissen welke organisaties als OES zouden worden gedefinieerd. Dit bleek een moeilijk proces te zijn vanwege de complexiteit van de sectoren. Dit vergrootte bovendien de verschillen in het niveau van cyberbeveiliging tussen de lidstaten.
Rapportagevereisten
De richtlijn gaf de lidstaten te veel controle over de eisen voor het melden van cyberbeveiligingsincidenten.
Onvoldoende reikwijdte
Een van de eerste reacties op de richtlijn netwerk- en informatiebeveiliging was dat deze niet alle sectoren bestreek die belangrijke diensten leveren aan de economie en de maatschappij.
Hoewel de NIS2-richtlijn grotendeels gebaseerd is op de oorspronkelijke NIS-richtlijn, zullen er enkele grote veranderingen plaatsvinden. De NIS2-richtlijn introduceert een reeks strengere beveiligingseisen. De flexibiliteit om de naleving van deze vereisten aan te passen is verwijderd, omdat de oorspronkelijke NIS kwetsbaarheden toestond door de buitensporige flexibiliteit. NIS2 zorgt ervoor dat er geen ruimte is voor dergelijke kwetsbaarheden, omdat het duidelijk de regels schetst waaraan iedereen zich moet houden.
NIS2 vereist bijvoorbeeld dat de volgende beveiligingsthema's goed zijn georganiseerd in gerelateerde organisaties:
- Risicobeheer informatiebeveiliging
- Detectie, beheer en rapportage van incidenten
- Cyberveiligheidstraining
- Bedrijfscontinuïteitsplanning / crisisbeheer
- Veiligheid van de toeleveringsketen
- Gegevensencryptie
Lees meer over deze thema's en de reikwijdte van NIS2 in het tweede deel: NIS2 toepassingsgebied en belangrijkste beveiligingseisen
Heb je nog vragen, wil je een ander hulpartikel of wil je feedback geven? Neem dan contact op met ons team via cyberday of de chatbox rechtsonder.
.png)
