Return to overview
7 min leestijd

NIS2: hoe wordt de richtlijn omgezet in Europese landen?

7 min Leestijd
juni 2, 2023
Door: Eye Security
image
Door: Eye Security
7 maart 2024

De NIS2-richtlijn is de nieuwste Europese regelgeving voor cyberbeveiliging en is gericht op het verbeteren van de algemene maatregelen voor cyberbeveiliging en de weerbaarheid tegen cyberaanvallen in verschillende sectoren. Bedrijven moeten beveiligingsincidenten onmiddellijk melden aan autoriteiten en de nieuwe voorschriften naleven. Niet-naleving kan leiden tot aanzienlijke financiële sancties en in sommige gevallen tot de aansprakelijkheid van de directeur.

Bedrijven moet zich voorbereiden op de komst van de NIS2 en zich richten op:

  1. het verbeteren van hun cyberbeveiligingshouding om bescherming te bieden tegen veranderende cyberdreigingen.
  2. op de hoogte blijven van het veranderende regelgevingslandschap en zich daaraan aanpassen.
  3. Zorgen voor tijdige detectie, respons en rapportage van incidenten zoals vereist door NIS2.

Inleiding

Nadat de leden van het Europees Parlement in november 2022 akkoord gingen, werd de nieuwe NIS-2-richtlijn op 16 januari 2023 van kracht. De lidstaten van de Europese Unie hebben nu 21 maanden (tot 17 oktober 2024) om deze maatregelen om te zetten in nationale wetgeving.

Wat zijn de belangrijkste elementen van de hervorming van de NIS-richtlijn? Hoe zijn landen zoals Frankrijk, Duitsland, België of Nederland van plan om deze nieuwe maatregelen en vereisten voor cyberbeveiliging om te zetten in hun respectieve nationale wetgeving? In dit artikel wordt dat uitgelegd.

1. NIS2, een wettelijke bescherming om cyberbeveiliging in Europa te versterken

In 2016 nam de Europese Unie de NIS-richtlijn (Network and Information Security) aan, een eerste reeks speciale maatregelen voor cyberbeveiliging. De bedoeling hiervan was het beveiligingsniveau op de Europese markt te verhogen als reactie op bedreigingen met betrekking tot de digitale transformatie in de lidstaten.

Naarmate deze bedreigingen zich verder ontwikkelden, de cyberaanvallen op de toeleveringsketen toenamen en de cybercriminaliteit professioneler werd, moest de richtlijn worden aangescherpt. Daarom worden met NIS-2 zowel de doelstellingen als het toepassingsgebied uitgebreid. Deze nieuwe versie van de richtlijn zal de cyberveiligheid van de Europese markt harmoniseren en versterken, en zal in het bijzonder:

  • Organisaties dwingen hun cyberbestendigheid tegen cyberaanvallen te verbeteren.
  • De cyberbeveiligingsverplichtingen harmoniseren in alle gevoelige sectoren die essentieel zijn voor een goede werking van de maatschappij en de landen.
  • Bedrijven verplichten om beveiligingsincidenten en hun respons binnen 24 uur te melden bij de bevoegde instanties.
  • Het delen van informatie tussen de lidstaten verbeteren.

Voor de meeste landen vallen nu 35 activiteitensectoren (in plaats van 19 in de eerste versie) onder de Europese richtlijn, waaronder de energie-, water- en transportsector, alsook de afvalbeheer-, postdienst- en voedselproductiesector. Het is belangrijk op te merken dat niet alle kleine en middelgrote ondernemingen onderworpen zijn aan NIS2. Deze verordening is specifiek van toepassing op bedrijven met meer dan 50 werknemers en een jaaromzet van 10 miljoen euro, met bepaalde uitzonderingen voor bedrijven die actief zijn op specifieke gebieden zoals MSP's en MSSP's. Deze voorschriften zijn van toepassing in alle EU-lidstaten.

Daarnaast hebben de vroegere statussen zoals OES (Operator of Essential Services) voor Frankrijk, een operator wiens activiteit als essentieel wordt beschouwd voor de maatschappij en het land en waarbij een storing ernstige gevolgen kan hebben voor de werking en de veiligheid van de staat, aanleiding gegeven tot het in het leven roepen van de nieuwe acroniemen EE (Essential Entities) en IE (Important Entities). Digitale serviceproviders en regionale autoriteiten zijn nu ook geïntegreerd in dit beveiligingsmechanisme, samen met de hele toeleveringsketen, de belangrijkste partijen die niet waren opgenomen in de NIS-1-richtlijn.

Het is nu de verantwoordelijkheid van elk land om een lijst op te stellen van nationale entiteiten die aan de NIS-2-richtlijn moeten worden onderworpen. Alle betrokken private of publieke ondernemingen moeten dan voldoen aan de vereisten van de richtlijn en zijn ook verplicht om hun bevoegde instanties van eventuele beveiligingsincidenten op de hoogte te stellen: binnen 24 uur voor vroegtijdige waarschuwingen en binnen 72 uur voor incidentmeldingen.

In geval van niet-naleving voorziet NIS-2 in aanzienlijke financiële sancties (in miljoenen euro's of een percentage van de wereldwijde omzet), en worden in specifieke gevallen ook directeuren aansprakelijk gesteld. Deze sancties zullen worden bekendgemaakt door de bevoegde nationale instanties.

2. In Nederland: Een toename van het aantal bevoegde instanties

De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de Nederlandse implementatie van de NIS-1-richtlijn, die moet worden bijgewerkt met de herziene NIS-2-richtlijn. De Nederlandse toezichthouder Rijksinspectie Digitale Infrastructuur (RDI) heeft een zelfevaluatietool ontwikkeld. Organisaties kunnen deze gebruiken om zelf te bepalen of de bepalingen van de Wbni op hen van toepassing zijn. Dit systeem zal evolueren met de omzetting van NIS-2. De Nederlandse bevoegde autoriteit, het het Nationaal Cyber Security Centrum (NCSC), heeft op haar website bekendgemaakt dat er in 2023 een consultatieperiode op het internet zal plaatsvinden met burgers, bedrijven en overheidsinstellingen, om "eventuele verbeteringen aan te geven voor de wetgeving en de voorschriften die worden opgesteld".

Er moet rekening mee worden gehouden dat er in Nederland niet slechts één bevoegde instantie is, en dat incidenten worden gemeld aan het CERT van het NCSC en aan de betrokken toezichthouder voor de desbetreffende activiteitsectoren:

  • Nationale inspectie van digitale infrastructuur: RDI sinds 1 januari 2023, ter vervanging van de toezichthouder van Autoriteit Persoonsgegevens (AP), is de toezichthoudende instantie voor cyberbeveiliging en gegevensbescherming in Nederland.
  • Nederlandse Centrale Bank (DNB): voor bedrijven in de financiële sector.
  • Inspectie Leefomgeving en Transport (ILT): voor bedrijven in de telecommunicatiesector.
  • Inspectie Gezondheidszorg en Jeugd (IGJ): voor instanties in de gezondheidszorg- en jeugdsector.

3. In Duitsland: de IT-beveiligingswet 3.0

In 2015 verplichtte de wet voor verbetering van de IT-beveiliging en cyberbeveiliging (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) kritieke bedrijven die zijn aangeduid als KRITIS (Kritische Infrastrukturen), om aan te tonen dat zij voldoen aan de beveiligingsvereisten die zijn vastgelegd door het BSI (Bundesamt für Sicherheit in der Informationstechnik), de Duitse federale instantie voor beveiliging van informatietechnologie.

In juni 2017 werd de NIS1-richtlijn omgezet in een IT-beveiligingswet, IT-Sicherheitsgesetz genaamd. In deze context ontving het BSI nieuwe bevoegdheden en functies en is het de bevoegde instantie die verantwoordelijk is voor het bewaken van de beveiliging van KRITIS-operatoren en aanbieders van digitale diensten. Het BSI heeft ook de taak om de reactie op cyberbeveiligingsincidenten op nationaal niveau te coördineren.

In 2021 versterkte de wet op IT-beveiliging 2.0 het beveiligingsniveau van KRITIS-entiteiten, die nu aanvallen moeten detecteren, relevante incidenten moeten aangeven en informatie aan het BSI moeten verstrekken voor crisisbeheer.

De vereisten van NIS-2 kunnen worden behandeld als versie 3.0 van de wet op IT-beveiliging, met de bedoeling om de methodologie, de gereguleerde bedrijven en de verplichtingen uit te breiden. In wezen wordt NIS-2 opgelegd aan de KRITIS, maar daar houdt het niet mee op. Het BSI heeft de taak om de EE- en IE-entiteiten in eigen land te identificeren (een uitbreiding van de huidige KRITIS-operatoren) en de vereisten voor cyberbeveiliging die zijn opgelegd door de NIS-2-richtlijn te bewaken en toe te passen.

4. In België: de NIS-2-wet

De bevoegde nationale instantie, opgericht in 2015, is het CCB (Centrum voor Cybersecurity België), dat is gekoppeld aan de Federale Overheidsdienst (FOD) Kanselarij van de Eerste Minister. Hierdoor kon de Europese NIS-richtlijn 2016 worden omgezet in de NIS-1-wet van 2019. Alle beveiligingsincidenten die van invloed zijn op de betrokken entiteiten moeten worden aangegeven op het platform voor het melden van incidenten dat is opgezet door het CCB en CERT.be (https://nis-incident.be/).

Voor deze tweede versie van de richtlijn schat het Belgische centrum dat het aantal betrokken organisaties met een factor 20 is toegenomen, van ongeveer honderd op dit moment tot ongeveer 2500 entiteiten. In België hebben 18 sectoren hiermee te maken. De 6 sectoren in NIS-1 zijn uitgebreid met 12 nieuwe sectoren, zoals de voedselproductie-industrie, de publieke sector, de chemische industrie of de gezondheids- en energiesector.

De nieuwe NIS-2-wet wordt momenteel voorbereid om te worden gepubliceerd vóór oktober 2024, de deadline die wordt opgelegd door de NIS-2-richtlijn. Deze wet is van toepassing op entiteiten die in België zijn opgericht en die op de officiële website van CCB zijn gedefinieerd als entiteiten met een "daadwerkelijke uitoefening van de activiteit door middel van stabiele regelingen. De rechtsvorm van dergelijke regelingen, hetzij via een filiaal, hetzij via een dochteronderneming met rechtspersoonlijkheid, is in dat opzicht geen bepalende factor. Of aan dat criterium wordt voldaan, mag niet afhangen van de vraag of de netwerk- en informatiesystemen zich fysiek op een bepaalde plaats bevinden." Buitenlandse bedrijven die in België aanwezig zijn en waarvan de activiteitssectoren deel uitmaken van de 18 belangrijkste sectoren, zijn onderworpen aan de NIS-2-richtlijn.

5. In Frankrijk: van OIV's tot EE’s

In 2013 introduceerde de LPM (Wet op militaire programmering) het concept van OIV's (organisaties van vitaal belang) en werden aan deze organisaties hoge beveiligingsvereisten opgelegd. In 2018 werden de OIV's uitgebreid naar OES’en, met de omzetting van NIS naar de Franse wet. Deze belangrijke spelers die essentieel waren voor de soepele werking van de staat werden vervolgens verplicht om zich aan cyberveiligheidsmaatregelen te onderwerpen en hun beveiligingsincidenten te melden aan het ANSSI (Agence nationale de la sécurité des systèmes d'information), de nationale instantie voor digitale beveiliging in Frankrijk.

De ANSSI geeft sturing aan het werk om de NIS-2-richtlijn om te zetten in Franse wetgeving, in samenwerking met ministers van de overheid, de verschillende belanghebbenden in Frankrijk en de Europese partners. Deze instantie is ook belast met het opstellen van de lijst met essentiële en belangrijke entiteiten van het land, die worden geclassificeerd op basis van hun kritische belangrijkheid. Het ANSSI "is van plan dit concept te gebruiken om vereisten te definiëren die zijn aangepast aan en in verhouding staan tot het belang van elk van deze categorieën", luidt het op de officiële website.

Guillaume Poupard, Chief Executive van ANSSI, zei toen NIS-2 in juni 2022 werd goedgekeurd door het Europees Parlement, dat "het aantal spelers dat als OES wordt geclassificeerd met een factor 10 zal toenemen en dat deze zullen worden gereguleerd". De toekomstige wetgeving is relevant voor duizenden entiteiten, van bedrijven in het MKB tot CAC40-geregistreerde bedrijven, met inbegrip van besturen van alle grootten (centrale en regionale overheden).

Conclusie

Elke lidstaat en haar bevoegde instanties werken nu aan het omzetten van de NIS-2-richtlijn, zodat de nationale wetgeving voor oktober 2024 kan worden goedgekeurd. Als uw bedrijf in de vermelde sectoren in de Europese Unie digitale diensten levert, is het van essentieel belang dat u ervoor zorgt dat u voldoet aan de nalevingsvereisten in elk van deze landen. Zoals we hebben gezien, kan de lijst met sectoren variëren, afhankelijk van de landen en de betrokken bevoegde instanties. Dit is ook het geval voor de manier waarop beveiligingsincidenten worden gemeld.

Als u hulp wilt van professionals op het gebied van cyberbeveiliging, aarzel dan niet om contact op te nemen met de teams van eye security.

Het aanbod van Eye Security

Om organisaties te helpen bij de complexe NIS2-vereisten, biedt Eye Security een uitgebreide MDR-service (Managed Detection and Response) in combinatie met verzekeringsdekking. Dit alles-in-één-pakket is ontworpen om een begrijpelijke en kosteneffectieve oplossing te bieden, met prijzen vanaf € 10 per werknemer per maand.

Door samen te werken met Eye Security kunnen kleine en middelgrote bedrijven:

  1. hun algemene cyberbeveiligingshouding en hun weerbaarheid tegen cyberaanvallen verbeteren.
  2. up-to-date blijven en voorbereid op veranderende cyberbeveiligingsvoorschriften.
  3. deskundige hulp ontvangen bij het detecteren, reageren en rapporteren van incidenten om te voldoen aan de meldingsvereisten van NIS2.
  4. de financiële en operationele impact minimaliseren van cyberbeveiligingsincidenten met op maat gemaakte verzekeringsdekking.

Met Eye Security kunnen organisaties zich vol vertrouwen richten op hun kernactiviteiten en tegelijkertijd ervoor zorgen dat hun behoeften op het gebied van cyberbeveiliging professioneel worden beheerd en in overeenstemming zijn met de vereisten van de NIS2-richtlijn.

Neem contact op

Benieuwd hoe we kunnen helpen?

Stuur ons een bericht
GET IN TOUCH
Deel dit artikel.